• 歡迎訪問奇跡の海網站,本站不上傳任何資源,所有資源均來自于網絡,歡迎加入奇跡の海~!奇跡の海-WordPress QQ群
  • 本站下載資源為網絡上收集整理而來,并且以計算機技術研究交流為目的,版權歸原作者所有,僅供大家參考,學習,不存在任何商業目的與商業用途.
  • 本站系統鏡像均來自于官方原版,ed2k可視為P2P下載鏈接。所有操作系統默認均為試用版,如有正版密鑰可以有效激活,本站不提供任何激活和相關服務。

Android系統 支付賬號密碼瞬間被盜

前沿資訊 奇跡の海 2年前 (2018-01-18) 538次瀏覽 已收錄 0個評論 掃描二維碼

最近騰訊安全玄武實驗室發現,大量安卓系統的應用都存在著一個普遍性漏洞,可以允許攻擊者輕松將軟件內容克隆,漏洞波及支付寶、攜程、餓了么等軟件。被攻擊后,你的軟件能看什么,能做什么,攻擊者也能做到。

按照玄武實驗室發現的漏洞,攻擊者只需要把含有惡意鏈接的短信或郵件偽裝成紅包、緊急信息甚至銀行通知發送給其他人,用戶點擊鏈接后,程序里的一切內容就會被克隆至攻擊者手機。

Android系統 支付賬號密碼瞬間被盜

根據玄武實驗室排查200個應用后發現,27個主流軟件都有此類漏洞,包括支付寶、豆瓣、攜程、百度旅游、餓了么等應用程序。在實驗室研究人員的一段試驗中,可以看到,用戶在接收偽裝成紅包的惡意短信后,支付寶就被攻擊者克隆,由于快捷支付無需密碼,攻擊者就能用克隆程序,使自己的手機,花別人的錢。

瞬間克隆手機應用

花錢不用與你商量

攻擊者向用戶發短信,用戶點擊短信中的鏈接,用戶在自己的手機上看到的是一個真實的搶紅包網頁,攻擊者則已經在另一臺手機上完成了克隆支付寶賬戶的操作。賬戶名用戶頭像完全一致。

Android系統 支付賬號密碼瞬間被盜

記者在現場借到了一部手機,經過手機機主的同意,記者決定試一下“克隆攻擊”是不是真實存在。

記者發現,中了克隆攻擊之后,用戶這個手機應用中的數據被神奇地復制到了攻擊者的手機上,兩臺手機看上去一模一樣。記者到商場進行了簡單的測試。

Android系統 支付賬號密碼瞬間被盜

通過克隆來的二維碼,記者在商場輕松地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在支付寶賬單中。

因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。

網絡安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用里的內容搬出去,在其他地方操作。和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。

“應用克隆”有多可怕

Android系統 支付賬號密碼瞬間被盜

專家表示,只要手機應用存在漏洞,一旦點擊短信中的攻擊鏈接,或者掃描惡意的二維碼,APP中的數據都可能被復制。

目前,“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。

用戶如何進行防范?

截至目前,支付寶、餓了么、百度旅游已經通過升級軟件修復了應用,但12306智行火車票、聚美優品、國美、攜程等軟件,仍未進行升級。

普通用戶應當做到如下幾點:

一是別人發給你的鏈接少點,不太確定的二維碼不要出于好奇去掃;

更重要的是,要關注官方的升級,包括你的操作系統和手機應用,真的需要及時升級。


版權聲明:本站所有文章和資源使用CC BY-NC-SA 4.0協議授權發布 , 轉載應當以相同方式注明文章來自“SeaOMC.COM->Android系統 支付賬號密碼瞬間被盜!在下邊可以分享本文哦!
喜歡 (0)
[]
分享 (0)
奇跡の海
關于作者:
一個WordPress菜鳥!
發表我的評論
取消評論

表情 貼圖 加粗 刪除線 居中 斜體 簽到

Hi,您需要填寫昵稱和郵箱!

  • 昵稱 (必填)
  • 郵箱 (必填)
  • 網址
中国福利彩票36选7开奖结果