近期卫视财经频道节目中爆光了一种安卓新漏洞,功击者可以轻松复制被害者手机的软件和登录信息,国外安全机构披露,测量发觉国外安卓应用市场约有非常之一的APP存在漏洞,但是这些漏洞容易被“应用克隆”攻击,甚至如支付宝、携程、饿了么等多个主流APP均存在漏洞,几乎影响了国外所有安卓用户,但是像支付宝这些联通支付也能直接盗拿来消费。
#0:8:4:a:e:c:6:b:4:1:4:4:8:4:f:5:a:3:4:b:2:d:7:0:d:5:7:f:a:d:8:8#
具体的窃取流程是,功击者发送一条带有恶意代码的链接,只要被功击者打开了这个链接,这么功击者的手机上就可以复制出和被功击者手机相同的软件和登录信息,整个过程很快就完成,被功击者没有办法察觉。
#0:0:3:8:3:d:1:c:c:3:e:0:1:8:6:7:0:6:2:a:5:4:5:e:b:6:f:e:5:b:9:2#
卫视节目中演示的时侯也是这么,功击者手机发过去一条邮件,借助另一个手机缴纳邮件后打开其中的链接,即使是一个抢红包的页面,但在毫无察觉的情况下,仅仅几秒钟,功击手机就多出了一个一模一样的支付宝,但是帐号也登在里面,更重要的是,当记着拿着克隆到的支付宝帐号去超市进行消费的时侯,居然成功支付。也就是说,完全可以像原手机一样查看隐私、账单而且消费。
#5:0:6:b:2:3:a:2:6:8:c:b:a:d:6:f:6:b:f:2:c:3:a:8:d:b:b:4:1:2:f:6#
且,根绝支付宝安全保障规则而言,这些漏洞盗刷是否得到补偿仍是未知。
支付宝安全保障规则:以下情况不在本保障服务的保障范围内:
(1)经调查或经支付宝合理判定,对您主张您的资金未经本人授权开支的事实存疑或支付宝有理由觉得可能由您本人操作或是您的配偶、亲属、朋友或雇员、代理人等所为的。如:资金总额的操作行为发生在可信网路环境下(如常用设备、IP、通过邮件验证等),或存在您本人陈述与支付宝调查到的事实不符等可疑情形。
(2)经调查或经支付宝合理判定觉得是因您的故意行为、重大过错或违规行为导致您自身资金损失的。
(3)经调查或经支付宝合理判定觉得是因别人的欺诈、胁迫等行为导致您资金损失的。
(4)您无法提供支付宝所要求提供的全部或部份资料,或不积极配合支付宝调查的;或经支付宝合理判定以后觉得您提供的资料不能证明您的资金是在未经本人授权情况下开支的。
(5)因为窃取者以外的其他第三方缘由导致您资金损失的。
(6)您的支付宝帐户在本次未经本人授权的开支发生之前,早已享受过本保障服务的。
(7)您没有遵循本规则或则《支付宝服务合同》或其附件,或则支付宝公布的其他规则,经支付宝合理判定觉得不须要向您进行补偿的,包括您曾在任一阿里网站、支付宝网站或则使用阿里或支付宝任一产品时,有过欺诈、炒信、侵犯别人合法权益等行为。
(8)因台风、地震、海啸、洪水、停电、战争、恐怖袭击等不可抗力之诱因,导致本公司系统障碍不能执行业务的。
(9)因为黑客功击、电信部门技术调整或故障、网站升级、银行方面的问题等缘由而导致的服务中断或则延后。
目前这些漏洞只在安卓系统上生效,还没有发觉苹果手机出现类似的情况,所以建议你们缴纳到由来不明的邮件、信息等请勿点击其中的链接,安卓手机也可以考虑装一个病毒防护软件来避免病毒入侵。
这一重大安全漏洞会造成对安卓手机操作系统的新型功击危险,这些“攻击”能顿时把你手机的应用克隆到功击者的手机上,并克隆你的支付二维码,进行隐蔽式盗刷。
之所以会出现这些危险,是因为安卓手机系统的一个WebView控件存在高危漏洞,而这个WebView控件广泛应用于Android平台,造成大量APP受影响,构成较为严重的功击恐吓。
怎么修复呢?据网监专业技术人员介绍,首先用户要关注官方的升级,包括安卓操作系统和手机应用,有小红点下来时一定要及时升级。(目前支付宝、饿了么等主流APP已主动修补了该漏洞)。“只要升级到最新版本,大部份的应用就可以防止克隆功击。”除此之外,网监提醒用户须慎重点击他人发给你的邮件链接,不要出于好奇去扫描不太确定的二维码。
