推荐信息:
行业新闻
频道
您的位置:首页 > 行业新闻 > 社会热点 > 正文

赶紧自查!安卓手机被曝致命漏洞,别人可以偷你的钱!

2018/1/14 0:57:55 来源:与成功者同行 []

来源:新华网、南方都市报

扫一扫二维码

领取一个小红包

点击一条链接

商家送给你一个优惠红包

但你有没有想过

点击一个红包链接

自己的支付宝信息瞬间被“克隆”

不仅如此

别人还可以像你一样使用该账号

包括扫码支付!!!

听起来挺可怕的

但这事儿确实是真的!!!

日前,来自haohaoyun.com腾讯安全玄武实验室与知道创宇404实验室披露攻击威胁模型——“应用克隆”。这是一款针对安卓系统的隐私窃取手段。日前,国家信息安全漏洞共享平台针对“克隆漏洞”发布公告,将该漏洞综合评级为“高危”,并给出了修复建议。

先用一个演示来了解,以支付宝为例:

1、在安卓手机上,“攻击者”向用户发送一条包含恶意链接的手机短信;

2、用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中;

3、“攻击者”就可以任意查看用户信息,并可直接操作该应用好好孕

看完之后,是不是觉得很可怕?

腾讯安全玄武实验室在国内安卓应用市场上检测了大概200个应用,发现有27个存在问题,其中18个App可以被远程攻击,即通过短信链接复制。另外9个App只能从本地被攻击,即通过手机上装载的恶意应用实现类似“克隆”功能。

据了解,支付宝、百度外卖、国美等等大部分App主动反馈,表示已经在修复漏洞的进程中。

哪些手机受到影响?

目前,好好孕“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击

哪些App存有漏洞?

截至1月9日,27款存在漏洞的App中有11个已进行修复,但其中有三个没有完全修复。此外,目前还没有收到反馈的App厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。对于拒不修复的将会按照《网络安全法》采取强制措施。

安全玄武实验室表示,赶紧自查!安卓手机被曝致命漏洞,别人可以偷你的钱!由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以希望更多的App厂商关注并自查产品是否仍存在相应漏洞,并进行修复

“应用克隆”有多可怕?

和以往的木马攻击不同,“应用克隆”实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。

腾讯相关负责人比喻:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,赶紧自查!安卓手机被曝致命漏洞,别人可以偷你的钱!不但能随时进出,还能以你的名义在酒店消费。”

用户如何进行防范?

“这类攻击真实发生的时候普通用户很难防范”,网络安全公司知道创宇首席安全官周景平表示,因为在现实的场景下,攻击者会伪装成各种各样的场景,包括链接短信、扫描二维码访问网页等。周景平建议,普通用户应该从以下方面进行防范:

2、关注官方的升级,操作系统、各类App要及时升级。

网络安全工程师表示,好好孕和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。因为不会多次入侵你的手机,而是直接把你的手机应用里的内容搬出去,在其他地方操作。和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。

专家表示,只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,App中的数据都可能被复制。

就在前晚,国家信息安全漏洞共享平台发布公告称,安卓WebView控件存在跨域访问漏洞。好好孕网络安全工程师表示如果现在把安卓操作系统和所有的手机应用都升级到最新版本,大部分的应用就可以避免克隆攻击

通过键盘前后键←→可实现翻页阅读
文章来源网络,版权归属原作者,未注明作者均因传阅太多无从查证。本站为公益性非盈利网站,在本网转载其他媒体稿件是为传播更多的信息,此类稿件不代表本网观点。如果本网转载的稿件涉及您的版权、名益权等问题,请尽快与我们联系,我们将第一时间处理!

IT美食教育娱乐旅游推荐

  • 美国天文学家新发现12颗木星卫星

    中新社休斯敦7月17日电美国天文学家17日宣布,经一年多的观测,他们新发现12颗木星卫星,并取得国际天文学联合会承认。其中两颗卫星绕木星逆行,引起天文学家关注,“或是木星存在如此多卫星的成因”。美国科学网站TheVerge消息,斯坦福大学卡耐基科学研究所的天文学家当日宣布,自2017年3月起,通过美洲国家天文观测站智利分站的布朗科天文望远镜(Blanco4-metertelescope)的观测,他们新发现12颗木星卫星。与木卫一木卫二等大型卫星不同的是,这些卫星直径在1至2英里之间。“尺寸非常小

  • Segway曾经想要改变世界 ,现在却只想做个玩具

    今天我们提到电动平衡车时,会想到什么?曾几何时,看见有人踩着平衡车呼啸而过时,大家还会回头久久注视。但如今Segway上路17年后,却已离它最初的定位越滑越远。现在已经没人把它当作正经的“出行工具”。它也离酷炫、未来的概念越来越远,慢慢变成某种“办公工具”,就像红木书桌、皮质大椅子、保温杯一样。大部分时候,你在电动平衡车上看见的,都是这样的穿制服的中年男子们:城管标配而且当它出现在新闻中的时候,总是它的主人最狼狈的时候:(摄像师很爱用它,但总是摔跤)(只有平衡车打倒过博尔特)(平衡感太差,平衡车

  • 烟台人,不要下载这些违法有害APP!推箱子、雷霆战机也在内……

    国家计算机病毒应急处理中心:不要下载这些违法有害移动应用软件国家计算机病毒应急处理中心近期通过互联网监测发现10款违法有害移动应用存在于移动应用发布平台中这些违法有害移动应用软件主要危害涉及恶意传播和流氓行为两类,具体如下:《CandyCrushSaga》(版本V1.12.0)《雷霆战机》(版本V1.0)《推箱子》这三款移动应用捆绑了恶意广告插件,这些广告插件会在手机屏幕上匿名弹窗,强行推送广告,严重干扰手机正常使用,造成流量损失。《快抢红包最新版》(版本V2.0.7)《快抢红包最新版》(版本V

  • 《猎毒人》:吴新河从暖男到戏精 是真爱还是阴谋

    今年暑期档播出的《猎毒人》果然不负众望,随着剧情不断的深入,各个实力派演员在剧中都有相当杰出表现,纷纷让观众不由竖起大拇指并赞叹“演的就是好”,而刚刚出场没几集的吴新河,前几天还被网友称为暖男,而今天咋又多了个称号:“戏精”捏。记得吴新河刚刚出场的时候,虽然戏份不是很多,但他肩负光鲜的高学历和富二代背景,再加上对梦瑶母女心细如发的体贴入微的照顾,真的是圈粉无数,这样的男生简直就是很多女生心里的白马王子嘛。当好多观众准备为吴新河这样的暖男绅士点赞打call时,谁知道剧风已转,他竟然和蝎子联系上了!

  • 赛事直播在直播内容上又有哪些创新点?

    预示着电竞体育化大幕的徐徐展开。与此同时,诸如电竞赛事线上直播等话题随即而来——赛事有专业的运营团队接入运营,赛事直播是否有专业的团队接入运营,在直播内容上又有哪些创新点?对于这一点,虎牙公司CEO董荣杰表示:直播作为连接内容和用户的最佳载体,是电竞体育化的最大助力之一。如何更好地给电竞主播提供内容环境,如何将线上交互培养的人群与线下感官结合,以及如何将中国的电竞直播优势输出到海外市场,将是电竞直播下一阶段要重点考虑的课题。由此可以得出结论,内容精品化,格局全球化是大势所趋,将成为各大直播平台逐

  • Pinterest剥离Instapaper,现已重新独立运营

    Pinterest收购了“稍后阅读与书签服务提供商”Instapaper。不过今日,后者宣布从Pinterest中剥离,现已重新独立运营。据悉,Instapaper允许用户将文章离线保存,然后将文本发送到Kindle等电子墨水阅读器上。当然,你也可以将包括视频在内的媒体加入书签,并在文件中组织保存的材料——比Safari内置的阅读列表更具优势。值得一提的是,为了庆祝服务顺利剥离,Instapaper的betaworks团队还专门成立了一个独立的公司,其在公告中称:今天,我们宣布与Pinteres

  • 云创携手华为云,打造“互联网+智慧城市”产业生态圈

    秦风汉韵忆长安。在悠悠的历史长河中,西安所沉淀的不朽民族精神与新时代相结合,形成了自信开明的“新长安”文化。西咸新区秦汉新城新丝路数字文化科技有限公司总经理潘剑平表示,秦汉新丝路正在做三件事,第一是积累数字文化资源,第二是打造数字博物馆,第三是建设秦渲云。从而用先进的数字手段将优秀的中华文化展现给当代人,展现给全世界。秦汉新丝路打造的秦渲云平台,坚持文化和科技融合的理念,携手华为云共同领跑云渲染行业进入公有云时代,依托华为云优秀的云计算资源,秦渲云将为国内外优秀的影视动漫制作公司提供国际领先的优

  • Adobe将于2019年为苹果iPad发布完整版Photoshop

    Adobe将于2019年为苹果iPad发布完整版Photoshop。与目前iOS上的移动端应用不同,这款应用将是这个流行桌面图像编辑套件的“完整版”。媒体获悉,Adobe的CreativeCloud产品官已经证实了这些计划,并表示希望尽快将它们推向市场,不过对于发布时间拒绝评论。彭博社方面的消息表示,这款新的应用程序将在10月份进行演示,目标是在2019年亮相。Adobe目前在苹果AppStore上有着几个移动版Photoshop应用,但它们只构成了完整桌面应用程序功能集的一小部分。全新的应用程

  • 景驰科技回应:潘思宁已被罢免 【图】

    7月7日下午,景驰科技法人代表潘思宁通过微信公众号“景驰科技潘思宁”发文称:景驰科技CFO吕庆等人未经潘本人同意,将其股权进行质押,近期又通过伪造潘思宁的签名和股东会决议,将北京景骐信息技术有限公司的法定代表人和执行董事非法变更为吕庆。且在上个月,吕庆等人已经通过伪造潘思宁的签名,并谎称公司的公章、营业执照正副本丢失,欺骗工商局进行补领。

  • 雅虎正式关闭Yahoo Messenger即时通讯服务

    雅虎著名的“信使”(YahooMessenger)正式告别的舞台。在过去20年里,它曾经在数以百万计的客户端上活跃过。然而大约一个半月前,雅虎宣布了这项即时消息服务的终结日期:“2018年7月17日,我司将不再支持YahooMessenger。在此之前,您可继续正常使用该服务。之后,您将无法再访问聊天内容,因为该服务将不再有效”。如果你现在尝试访问YahooMessenger网站,雅虎会建议使用FacebookMessenger、Viber、Telegram、Line或Skype来继续满足未来的