央广网北京1月13日消息(记者任梦岩)据中国之声《新闻晚高峰》报道,抢红包抢到手软,不是一句玩笑话,红包密集时,看到红包两个字,很可能会下意识地点击。有人利用这种心态,将恶意链接披上红包的外衣,当你点击链接,以为自己赚到了便宜时,你的手机程序就被攻击者轻松“克隆”了。
最近腾讯安全玄武实验室发现,大量安卓系统的应用都存在着一个普遍性漏洞,可以允许攻击者轻松将软件内容克隆,漏洞波及支付宝、携程、饿了么等软件。被攻击后,你的软件能看什么,能做什么,攻击者也能做到。
近日,腾讯安全玄武实验室发现,有大量安卓系统软件存在类似的漏洞,可以使不法人员利用漏洞,直接将有漏洞程序内容复制到别人手机里,实验室负责人于旸告诉记者,一开始他们发现漏洞如此严重,影响多个程序且同时存在时,自己也被吓到了。“一个很不起眼的点,造成的危害非常大,当时我们发现后都不敢相信。不是安卓系统的漏洞,而是应用本身的漏洞,是应用厂商在开发过程中犯的一个错误。”
按照玄武实验室发现的漏洞,攻击者只需要把含有恶意链接的短信或邮件伪装成红包、紧急信息甚至银行通知发送给其他人,用户点击链接后,程序里的一切内容就会被克隆至攻击者手机,于旸说:“攻击可能是发送一条手机短信或者以链接等其他形式发到用户那里,用户可能被短信文字内容诱惑,可能用户没有异常感觉,打开链接可能看到新闻一类的内容,但是攻击在背后已经悄悄完成了。用户手机上有漏洞的应用,被克隆到攻击者那里了。用户正常可以用这个应用做什么,攻击者也能做什么,用户可以用这个应用看见什么,攻击者就可以从他那边看见什么。”
根据玄武实验室排查200个应用后发现,27个主流软件都有此类漏洞,包括支付宝、豆瓣、携程、百度旅游、饿了么等应用程序。在实验室研究人员的一段试验中,可以看到用户在接收伪装成红包的恶意短信后,支付宝就被攻击者克隆,由于快捷支付无需密码,攻击者能用克隆程序,用自己的手机,花别人的钱。
工作人员:现在我给你的手机发了一个短信,短信里有个链接。
记者:只要我点开就会被攻击对吗?
工作人员:对。
记者:我现在看到的是一个……
工作人员:抢红包的一个网页,但此时我这里已经克隆成功了,攻击者就可以在他的手机上,完完全全操纵这个账户,包括查看隐私信息,甚至还可以盗刷该用户的钱财。
攻击者利用该漏洞,可远程获取用户隐私数据,包括手机应用数据、照片、文档等敏感信息,甚至还能窃取用户登录凭证,在受害者毫无察觉的情况下,实现账户的完全控制。简单来说,被克隆之后,用户自己在应用里能看到哪些隐私信息、能做什么,攻击者也能看到、做到。
截至目前,支付宝、饿了么、百度旅游已经通过升级软件修复了应用,但12306智行火车票、聚美优品、国美、携程等软件,仍未进行升级。
于旸介绍,随着智能手机发展,黑客开始针对移动端特性研究新的攻击手段,从传统的“打洞攻击”变成了复制用户数据,让普通用户防不胜防。“传统的攻击思路,好比要先进到你家里来,在你家墙上留一个洞,他可以随时进出你家。如果攻击者换个思路,不是进到你的家里,而是把你的家复制到另外一个空间里,在那个空间攻击者可以随便从里面拿东西,但是在你家的东西也会相应地消失,而你没有感知。你在自己家里做了什么事情,攻击者都能看见。”
于旸建议,除了不点击陌生链接、不扫陌生二维码外,在漏洞查找修复方面,用户能做的很少,所以及时升级程序,非常必要。
冰与火的交融 世界最炎热的沙漠下雪了
