— 本帖被 admin 从 在线互助 移动到本区(2018-01-11) —
安卓系统“克隆漏洞”曝光
27家App查出“克隆漏洞”
q6`b26  
        随着新年到来,小伙伴们开始频繁地收发红包,有朋友间的互送,也有商家的推广活动。 h2J/c#Qvh  
        可你有没有想过,哪天当你点开一个红包链接,自己的支付宝信息瞬间在另一个手机上被“克隆”了?而别人可以像你一样使用该账号,包括扫码支付 P?B;_W+~A.  
        近日,一款针对安卓系统的隐私窃取手段被曝光。据了解,“克隆漏洞”于2012年首次被发现,2017年底由腾讯安全玄武实验室通报给工信部,目前已被编号为CNE201736682,并由国家信息安全漏洞共享平台(简称CNVD)通知存在漏洞的App厂商对之进行排查、修复。1月9日,CNVD针对“克隆漏洞”发布公告,将该漏洞综合评级为“高危”,并给出了修复建议。 v~V!ayn)wQ  
        “目前还没有收到修复反馈的App厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家”,国家互联网应急中心网络安全处副处长李佳向南都记者表示,对于拒不修复的将会按照《网络安全法》采取强制措施。 !()$8  
        27家App查出“克隆漏洞” J1sv[$9  
        “我们在国内安卓应用市场上检测了大概200个应用,发现有27个存在问题,其中18个App可以被远程攻击,即通过短信链接复制。另外9个App只能从本地被攻击,即通过手机上装载的恶意应用实现类似‘克隆’功能”,腾讯安全玄武安全实验室负责人于旸称。 se>8Z4  
        尽管目前尚未发现有黑客利用该漏洞窃取用户隐私案例,但于旸认为,该漏洞应引起广泛关注,普通用户应对此有防范心理,而App厂商和手机厂商则应提前修复以防范于未然。 *|C^=*j9  
        “这类攻击真实发生的时候普通用户很难防范”,网络安全公司知道创宇首席安全官周景平向南都记者表示,因为在现实的场景下,攻击者会伪装成各种各样的场景,包括链接短信、扫描二维码访问网页等。周景平建议,普通用户应该从以下方面进行防范,“别人发的链接少点,不太确定的二维码不要出于好奇扫码;其次要关注官方的升级,操作系统、各类App要及时升级。” e .2ib?8  
        目前8个应用完全修复 +)<wDDC_  
        据悉,该“克隆漏洞”仅存在于安卓系统中。目前,无论是安卓系统的安全团队还是各个安卓手机厂商的技术团队都尚未对此漏洞作出回应。 ")dH,:#S  
        “操作系统的架构更改比较困难,考虑因素更多,很难针对每一款漏洞都作出调整”,但周景平建议,比如对开发App的个人和厂商作系统能够出些提示,在调用开发时提示可能存在克隆攻击的风险,需要怎么安全开发。” +"cq(Y@  
        据了解,CNVD去年12月10号向漏洞涉及的27家App企业发送漏洞安全通报,同时提供了修复方案。据李佳介绍,通知发出一周后,收到了包括支付宝、百度外卖、国美等等大部分App的主动反馈,表示已经在修复漏洞的进程中 bRJMYs  
        “截至2018年1月9日,27款存在漏洞的App中有11个已进行修复,但其中有三个没有完全修复”,于旸称。此外,“目前还没有收到反馈的App厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商”,李佳向南都记者表示,对于拒不修复的将会按照《网络安全法》采取强制措施。
;WM"cJo9  
hMUs" <.  
最后来看看“克隆漏洞”测试
P8>d6;o($  
测试一 RGg(%.  
点击抢红包链接,支付宝账户被克隆 TUDr\' @/f  
        攻击者向用户发短信,用户点击短信中的链接,用户在自己的手机上看到的是一个真实的抢红包网页,攻击者则已经在另一台手机上完成了克隆支付宝账户的操作。账户名用户头像完全一致。
ZF|+W?0&%  
        记者在现场借到了一部手机,经过手机机主的同意,记者决定试一下“克隆攻击”是不是真实存在。
;A'Z4=*~  
        记者发现,中了克隆攻击之后,用户这个手机应用中的数据被神奇地复制到了攻击者的手机上,两台手机看上去一模一样。那么,这台克隆手机能不能正常的消费呢?记者到商场进行了简单的测试。 Ucm :S-  
y^Kph# F"  
?a8(a zn  
        通过克隆来的二维码,记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到,这笔消费已经悄悄出现在支付宝账单中。 vR=6pl$|~~  
        因为小额的扫码支付不需要密码,一旦中了克隆攻击,攻击者就完全可以用自己的手机,花别人的钱。 rBTeb0i?  
测试二: s^|.Zr;,>  
点击携程页面,账户完整被克隆 v-Fg +  
        攻击者向用户发一个短信,包含一个链接,用户收到了短信,点击一下短信中的链接,用户看起来是打开了一个正常的携程页面,此时攻击者已经完整的克隆了用户。所有的个人隐私信息,这个账户都可以查看到的。 ;?~$h-9)  
k({\/t3i  
-:9P%jWt  
        网络安全工程师告诉记者,和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。因为不会多次入侵你的手机,而是直接把你的手机应用里的内容搬出去,在其他地方操作。 和过去的攻击手段相比,克隆攻击的隐蔽性更强,更不容易被发现。 :BukUket1e  
        专家表示,只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据都可能被复制 IU]^&e9u  
        目前,“应用克隆”这一漏洞只对安卓系统有效苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。 \WrFqm#  
        就在前晚,国家信息安全漏洞共享平台发布公告称,安卓 WebView控件存在跨域访问漏洞。网络安全工程师告诉记者,如果现在把安卓操作系统和所有的手机应用都升级到最新版本,大部分的应用就可以避免克隆攻击 4E[!,zvl  
再次提醒
安卓用户要小心了
>A q870n  
沙发  发表于: 01-12
只要手机应用存在漏洞,一旦点击短信中的攻击链接,或者扫描恶意的二维码,APP中的数据都可能被复制。
2楼 发表于: 04-01
真不安全