随着新年到来,小伙伴们开始频繁地收发红包,可你有没有想过,当你点开一个红包链接时,你的支付宝可能被克隆到别人的手机上,而他可以像你一样使用该账号,包括扫码支付……
这不是耸人听闻,你安装的手机应用里,真的可能存在这种漏洞
近日,一种针对安卓手机操作系统的新型攻击被公布,这种“攻击”能瞬间把手机应用,克隆到攻击者的手机上,并克隆你的支付二维码,进行隐蔽式盗刷。
攻击者向用户发送短信,用户点击短信中的链接后,在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作,账户名、用户
头像等信息完全一致。
在升级到新安卓8.1.0的手机上↓
“攻击者”向用户发送一条包含恶意链接的手机短信↓
用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中↓
然后“攻击者”就可以任意查看用户信息(以支付宝为实验对象),并可直接操作该应用↓
因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。
通过测试发现,“应用克隆”对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。试验发现的漏洞至少涉及国内安卓应用市场十分之一的APP,多个主
流APP均存在漏洞,因此该漏洞几乎影响国内所有安卓用户。目前,“应用克隆”这一漏洞只对安卓系统有效。另外,目前尚未有已知案例利用这种途径发起攻击。
张掖电信提醒:
1、别人发给你的链接不要轻易点击,不明来源的二维码不要出于好奇去扫;
2、关注官方的升级更新提醒,包括操作系统和手机应用,并及时更新
微信号:jihaoba999
