夜雨聆风
你是用安卓手机吗?大量安卓系统软件被曝致命漏洞,支付账号密码瞬间被盗
最近腾讯安全玄武实验室发现,大量安卓系统的应用都存在着一个普遍性漏洞,可以允许攻击者轻松将软件内容克隆,漏洞波及支付宝、携程、饿了么等软件。被攻击后,你的软件能看什么,能做什么,攻击者也能做到。
安卓系统软件有漏洞
克隆竟会如此简单?
近日,腾讯安全玄武实验室发现,有大量安卓系统软件存在类似的漏洞,可以使不法人员利用漏洞,直接将有漏洞程序内容复制到别人手机里,实验室负责人于旸告诉记者,一开始他们发现漏洞如此严重,影响多个程序且同时存在时,自己也被吓到了。
一个很不起眼的点,造成的危害是非常非常大的,当时我们发现后自己都吓了一跳,都不敢相信,不是安卓系统,而是应用本身的漏洞,是应用厂商在开发过程中犯的一个错误。
按照玄武实验室发现的漏洞,攻击者只需要把含有恶意链接的短信或邮件伪装成红包、紧急信息甚至银行通知发送给其他人,用户点击链接后,程序里的一切内容就会被克隆至攻击者手机。
攻击可能是发送一条手机短信或者以其他形式,把链接发到用户这里,可能被短信文字内容诱惑,就打开了里面的链接,只需要打开链接,接下来的过程,可能用户没有什么异常的感觉,打开链接可能还能看到新闻一类的内容,但是攻击在背后已经就悄悄地完成了,用户手机上有漏洞的应用,就被克隆到攻击者那里了。用户正常你可以用这个应用干什么,攻击者也能干什么,你可以用这个应用看见什么,攻击者就可以从它那边看见什么。
于旸
根据玄武实验室排查200个应用后发现,27个主流软件都有此类漏洞,包括支付宝、豆瓣、携程、百度旅游、饿了么等应用程序。在实验室研究人员的一段试验中,可以看到,用户在接收伪装成红包的恶意短信后,支付宝就被攻击者克隆,由于快捷支付无需密码,攻击者就能用克隆程序,使自己的手机,花别人的钱。
工作人员:现在我给你的手机发了一个短信,短信里有个链接
记者:只要我点开就会被攻击对吗?
工作人员:对。
记者:我现在看到的是一个……
工作人员:抢红包的一个网页,但此时我这里已经克隆成功了,攻击者就可以在他的手机上,完完全全操纵这个账户,包括查看隐私信息,甚至还可以盗刷该用户的钱财。
网络配图
攻击者利用该漏洞,可远程获取用户隐私数据,包括手机应用数据、照片、文档等敏感信息,甚至还能窃取用户登录凭证,在受害者毫无察觉的情况下,实现账户的完全控制。简单来说,被克隆之后,用户自己在应用里能看到哪些隐私信息,能做什么,攻击者也能看到、做到。
用户究竟该怎样防范?
截至目前,支付宝、饿了么、百度旅游已经通过升级软件修复了应用,但12306智行火车票、聚美优品、国美、携程等软件,仍未进行升级。
于旸介绍,随着智能手机发展,黑客开始针对移动端特性研究新的攻击手段,从传统的“打洞攻击“变成了复制用户数据,让普通用户防不胜防。
传统的攻击思路,就好比要进到你家里来,在你家墙上留一个洞,他就可以随时进出你家。如果攻击者换个思路,不是进到你的家里,而是把你的家复制到另外一个空间里,那么在那个空间,攻击者可以随便拿东西,但是在你家,东西也会相应地消失,而你是没有感知的。你在自己家里做了什么事情,攻击者都能看见。
于旸
于旸建议,除了不点击陌生链接、不扫陌生二维码外,在漏洞查找修复方面,用户能做的很少,所以及时升级程序,非常必要。
除了我们不要轻易点击陌生人给你发来的链接之外,其实12月我们就已经通知了这些有问题的厂商,很多厂商在新版应用中修复了这些问题,其实现在用户最该做的,是到应用市场里把所有应用都升级到最新版。
于旸
有业界人士指出,这些知名APP的技术团队实力都较强,尚且如此,那么数量更为庞大非一线APP,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。
由于并非个例且事关重大,玄武实验室已于近日将录音中提到的27家APP的漏洞情况上报到国家信息安全漏洞共享平台(CNVD)。尽管CNVD已对27家APP进行了点对点的通报,不过,还有不少APP未修复漏洞或未予反馈。
需要提及的是,此前勒索病毒之所以能在短时间内波及全球,其中一个重要原因就是警示信息沟通不及时。此次玄武试验室只是选取了较为知名的200个APP进行了测试,13%存在“应用克隆”漏洞。不难想见,还有大量存在漏洞的APP在“裸奔”,使用这些APP的用户的手机随时可能遭到攻击。所以披露的意义更多还是需要厂商自查。
来源:中国之声《新闻纵横》
央广记者:任梦岩
微信编辑:张天健
