最近很多人都在用的这款手机,小心了!
随着新年的到来,朋友们开始频繁地收发红包,包括朋友间的相互交流和商家的促销活动。但是你有没有想过,当你点击一个红包链接时,你的支付宝信息会瞬间“克隆”到另一部手机上?其他人也可以像你一样使用账号,包括扫码支付。
这不是我的编辑的耸人听闻的说法。你安装的移动应用可能真的有这样的漏洞。
1月9日,腾讯安全玄武实验室、智创鱼404实验室披露了攻击威胁模型——“应用克隆”。我们先通过一个demo来了解一下,以支付宝为例:
在升级到最新 的手机上 8.1.0↓
“攻击者”向用户发送包含恶意链接的短信↓
一旦用户点击,他们的账号会在一秒内被“克隆”到“攻击者”的手机上↓
那么“攻击者”就可以随意查看用户信息,可以直接操作应用↓
详情请点击视频↓↓↓
你的手机会受到影响吗?
有什么办法可以预防吗?
在这种“可怕”的攻击威胁背后,
在移动互联网时代体现出什么样的安全新局面?
1
该漏洞影响了中国几乎所有的 用户
腾讯测试发现“应用克隆”对大部分移动应用都有效,发现200款移动应用中有27款存在漏洞,占比超过10%。
本次腾讯安全玄武实验室发现的漏洞涉及国内安卓应用市场中至少十分之一的APP,比如支付宝、饿了么等很多主流APP都有漏洞,所以漏洞影响几乎所有国内安卓用户。
目前“应用克隆”漏洞仅对安卓系统有效,苹果手机不受影响。
此外,腾讯表示目前尚无已知案例使用这种方式发起攻击。
2
“应用克隆”有多可怕?
“应用克隆”的可怕之处在于,与以往的木马攻击不同,它实际上并不依赖传统的木马病毒,也不需要用户下载“冒充”常用应用的“李鬼”应用。
腾讯相关负责人的比喻:
“就像以前想进你的酒店房间,你需要打破锁,但现在方法是复制一份你的酒店房卡,它不仅可以随时进出,还要以你的名义在酒店消费。”
↑玄武实验室9日检测结果
3
用户如何保护自己?
普通用户最关心的是如何防范这种攻击。在回答记者提问时,知创宇404负责人表示,普通用户的预防是头疼的,但还是有一些通用的安全措施:
首先,别人发给你的链接比较少,你不应该出于好奇去扫描你不确定的二维码;
更重要的是,密切关注官方更新,包括你的操作系统和移动应用,确实需要及时更新。
4
漏洞:在造成危险之前被发现
一个令人惊讶的事实是腾讯被攻击,这种攻击并非刚刚被发现。腾讯相关负责人表示:“整个攻击过程中涉及的每一个风险点,其实都有人提到过。”
那为什么以前安全厂商没有发现这种危害极大的攻击方式,也没有攻击案例呢?
“这是新的多点耦合造成的漏洞。”负责人打了个比方,“就像网线插头上的一个突起,结果路由器在插座的位置设计了一个复位按钮。”
网线本身没有问题,路由器也没有问题,但是结果是一插网线路由器就重启了。多点耦合也是如此,其中每个问题都是已知的腾讯被攻击,但结合起来会带来额外的风险。 "
多点耦合的出现实际上意味着网络安全形势的变化。一方面是漏洞“联合作战”的“乘数效应”,另一方面是防御者形成的合力。
在移动时代,最重要的是用户账号系统和数据的安全。
要保护这些,仅仅提高系统本身的安全性是远远不够的。手机制造商、应用开发商、网络安全研究人员等各方需要通力合作。