安卓機最新漏洞：千萬別點不明鏈接否則你的支付寶將被“克隆”

2018-01-11

據中青在線11日報道，近日，一種針對安卓手機的攻擊危險被公佈。在毫無察覺的情況下，你的錢可能悄悄就被盜刷了……

安卓用户小心！你的錢可能悄悄被盜刷。

據中新網報道，國內安全機構披露，檢測發現國內安卓應用市場十分之一的APP存在漏洞而容易被進行“應用克隆”攻擊，甚至國內用户上億的多個主流APP均存在這類漏洞，幾乎影響國內所有安卓用户。

玄武實驗室以某APP為例展示了“應用克隆”攻擊的效果。來源：中新網

據央視報道，當不小心點了某短信中的鏈接，你的錢可能會被盜刷。

來看具體演示：

兩台手機，被攻擊的“用户手機”（圖左）和“攻擊者手機”（圖右）。“用户手機”收到攻擊者發來的短信，當用户點擊短信中的鏈接：

用户在自己的手機上看到的是一個搶紅包頁面：

“攻擊者手機”則克隆了該“用户手機”的支付寶賬户，賬户名用户頭像完全一致，兩台手機看上去一模一樣。

那麼“攻擊者手機”能不能正常的消費呢？記者到商場進行了簡單的測試。

通過克隆來的二維碼，“攻擊者手機”在商場輕鬆地掃碼消費成功。記者在被克隆“用户手機”上看到，這筆消費已經悄悄出現在支付寶賬單中。

因為小額的掃碼支付不需要密碼，一旦中了克隆攻擊，攻擊者就完全可以用自己的手機，花別人的錢。

騰訊安全玄武實驗室研究員王永科表示，攻擊者可以在他的手機上完全地操作賬户，包括查看隱私信息，甚至還可以盜用裏面的錢財。

來看視頻演示：

部分設備無法播放視頻請點擊這裏觀看

點擊短信中鏈接或掃二維碼，都可能中招

騰訊安全玄武實驗室負責人於暘介紹，攻擊者完全可以把與攻擊相關的代碼，隱藏在一個看起來很正常的頁面裏面，你打開的時候，你肉眼看見的是正常的網頁，可能是個新聞，可能是個視頻、可能是個圖片，但實際上攻擊代碼悄悄的在後面執行。

有時候，點開鏈接還可能看起來是一款常用APP的推廣頁面：

現場展示：用户點擊一下短信中的鏈接，看起來是打開了一個正常的攜程頁面，此時攻擊者已經完整的克隆了用户。個人隱私信息，這個賬户都可以查看到的

專家表示，只要手機應用存在漏洞，一旦點擊短信中的攻擊鏈接，或者掃描惡意的二維碼，APP中的數據都可能被複制。

目前，“應用克隆”這一漏洞只對安卓系統有效，蘋果手機則不受影響。

如何進行防範？

據中新網報道，國家互聯網應急中心網絡安全處副處長李佳表示，在獲取到漏洞的相關情況之後，中心安排了相關的技術人員對漏洞進行了驗證，並且也為漏洞分配了漏洞編號(CVE201736682)，於2017年12月10號向27傢俱體的APP發送了漏洞安全通報，提供漏洞詳細情況及建立了修復方案。目前有的APP已經有修復了，有的還沒有修復。

1月9日，國家信息安全漏洞共享平台發佈公告稱，安卓 WebView控件存在跨域訪問高危漏洞。

國家信息安全漏洞共享平台（CNVD）接收到騰訊玄武實驗室報送的Android WebView存在跨域訪問漏洞。

攻擊者利用該漏洞，可遠程獲取用户隱私數據（包括手機應用數據、照片、文檔等敏感信息），還可竊取用户登錄憑證，在受害者毫無察覺的情況下實現對APP用户賬户的完全控制。

由於該組件廣泛應用於Android平台，導致大量APP受影響，構成較為嚴重的攻擊威脅。

普通用户最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人回答記者提問時表示，普通用户的防範比較頭疼，但仍有一些通用的安全措施：

一是別人發給你的鏈接少點，不太確定的二維碼不要出於好奇去掃；

更重要的是，要關注官方的升級，包括你的操作系統和手機應用，真的需要及時升級。