趕緊自查!安卓系統曝重大漏洞,別人手機竟能操控自己的錢包 | 晨讀天下

來源︰金羊網 作者︰ 發表時間︰2018-01-11 09:50

晨讀天下 一條縱覽天下風雲

安卓系統曝重大漏洞

別人手機竟能操控自己的錢包

隨著新年到來,小伙伴們開始頻繁地收發紅包,有朋友間的互送,也有商家的推廣活動。可你有沒有想過,你常用的一款掃碼支付軟件竟然能被克隆到別人的手機上,而他可以像你一樣使用該賬號,包括掃碼支付。

這不是小編聳人听聞,你安裝的手機應用里,真的可能存在這種漏洞。

1月9日,騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。在這個攻擊模型的視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。

先通過一個演示來了解它,以某常用支付軟件為例︰

在升級到最新安卓8.1.0的手機上↓

“攻擊者”向用戶發送一條包含惡意鏈接的手機短信↓

用戶一旦點擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機中↓

然後“攻擊者”就可以任意查看用戶信息,並可直接操作該應用。

為了驗證這個克隆APP是不是真的能花錢,記者借到了一部手機,經過手機機主的同意,記者進行了測試。

記者發現,中了克隆攻擊之後,用戶這個手機應用中的數據被神奇地復制到了攻擊者的手機上,兩台手機看上去一模一樣。那麼,這台克隆手機能不能正常的消費呢?記者到商場買了點東西。

通過克隆來的二維碼,記者在商場輕松地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在賬單中。

因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。

漏洞幾乎影響國內所有安卓用戶

騰訊經過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。

騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP,多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。

目前,“應用克隆”這一漏洞只對安卓系統有效,隻果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。

“應用克隆”有多可怕?

騰訊安全玄武實驗室負責人于--表示,該攻擊模型基于移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。

“應用克隆”的可怕之處在于︰和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用。

網絡安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用里的內容搬出去,在其他地方操作。 和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。

騰訊相關負責人比喻︰“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是復制了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”

↑玄武實驗室9日檢測結果

修復︰APP廠商需自查

一個令人吃驚的事實是,這一攻擊方式並非剛剛被發現。騰訊相關負責人表示,在發現這些漏洞後,騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關信息,並給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計劃”協助處理。

于--表示,由于對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對用戶量大、涉及重要數據的APP,玄武實驗室也願意提供相關技術援助。

用戶如何進行防範?

而普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人回答記者提問時表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施︰

首先是別人發給你的鏈接少點,不太確定的二維碼不要出于好奇去掃;

更重要的是,要關注官方的升級,包括你的操作系統和手機應用,有小紅點出來時一定要及時升級。目前餓了麼等主流APP已主動修復了該漏洞,只需用戶升級到最新版本。

微信出重拳!

這些行為將被嚴厲打擊

永久封號

昨天中午,針對微信公眾平台存在的一些亂象,微信團隊發布了一條重磅公告︰

微信公眾平台一直致力于為用戶提供綠色、健康的生態環境,堅決打擊涉嫌淫穢、色情及低俗類等信息。自2015年發布關于低俗內容整頓公告以來,仍存在公眾號繼續發布低俗、虛假標題和內容的行為,並采取技術手段惡意對抗。

因此,依照《互聯網用戶公眾賬號信息服務管理規定》、《微信公眾平台服務協議》及《微信公眾平台運營規範》,將針對上述行為進行以下處理︰

從公告即日起,對于仍在發送低俗、虛假標題和內容的公眾號,文章進行刪除並實施相應的能力處罰,多次違規處理後仍繼續發送違規內容的,或是故意利用各種手段惡意對抗,將進行永久封號處理。

個人賬號大規模被封

2017年12月,不少用戶在微博反饋吐槽,自己的微信賬號被微信官方給封了......

據悉,微信此輪大規模封號,主要針對使用第三方軟件登錄的用戶,被封用戶基本都使用了微信“分身”軟件。有網友吐槽︰“被封號了才知道微信是我的全部。”

當時,微信中心給出的封號理由是︰該微信賬號因使用非官方微信客戶端被限制登錄,若後續仍繼續使用將永久限制登錄。

很多安卓手機廠商都推出了微信雙開的功能,並以此為賣點,一些第三方軟件,也支持微信雙開。而在隻果iOS系統,多數是第三方開發者開發的非微信官方app。

騰訊決定打擊多開軟件,原因大致有以下幾點︰

第一,是從保障用戶信息安全方面考慮。

第二,是為了打擊微商,給用戶良好的用戶體驗。

此外,微信個人帳號使用規範也有關于第三方軟件的說明,一經發現用戶使用第三方軟件或插件,騰訊有權對前述行為進行獨立判斷,並對相關違規帳號進行處理。

如何正確使用微信

這9種消息千萬別發!

微信上任何發言都要擔負法律責任,以下這9種消息千萬別發!

1、政治敏感話題不發;

2、不信謠不傳謠;

3、所謂的內部資料不發;

4、涉黃、涉毒、涉爆等不發;

5、有關港澳台新聞在官方網站未發布前不發;

6、軍事資料不發;

7、有關涉及國家機密文件不發;

8、來源不明的疑似偽造的黑警辱警的小視頻不發;

9、其他違反相關法律法規的信息不發。

這4件事千萬別做!

微信代購彩票被判刑

去年重慶市渝北區人民法院審結一起微信代購彩票刑事案件。被告人羅某、王某、李某、劉某在未取得中國福利彩票發行管理中心授權的情況下,利用網絡社交平台擅自發行、銷售彩票,分別被判處一年六個月至三年不等的有期徒刑,並處罰金。

法院審理認為,被告人羅某、王某、劉某、李某違反國家規定,未經批準,擅自發行、銷售彩票,擾亂市場經濟秩序,情節嚴重,其行為均已構成非法經營罪。

微信上不可銷售香煙

去年10月,福建省一小伙張某未獲煙草專賣許可,通過利用網絡微信、QQ等方式與他人交易並郵寄發貨,非法經營香煙數額24萬余元,違反國家法律禁止性規定而被公訴。

身份信息、位置信息、孩子照片

統統曬不得!

很多人喜歡在朋友圈曬車票、護照、飛機票等,但這些票據上的二維碼或條形碼都含個人姓名、身份證號等信息,借助特殊軟件,便能輕易讀取。

家長發布孩子照片、文字記錄時,會無意間泄露孩子的相貌和姓名。

微信朋友圈投票暗藏驚天騙局

在微信朋友圈投票,想必很多人都遇到過,但是,這種投票的背後也可能隱藏著騙局。去年11月,遼寧警方制作了相關視頻,詳細講解朋友圈投票、拉票的詐騙內幕。

警方介紹,朋友圈投票最容易被騙的是報名者。不法分子往往先是許以豐厚的禮品,吸引大家參與報名,借此套取個人的詳細信息和郵寄地址。

遼寧省公安廳刑事偵查局李濤說,父母把孩子的身份、姓名、就讀的學校,甚至照片都提供給後台,後台一旦取得這些信息,將這些個人信息非法出售,不法分子拿到這些信息之後,可能編造一些重病、車禍等謠言,對父母進行詐騙。

廣州“兩會”時間到!

羊城晚報全媒體報道節目

《坤少上兩會》今天上線

昨天,廣州進入“兩會”時間!廣州市政協十三屆二次會議于1月10日至1月13日舉行,廣州市第十五屆人大三次會議將于今天上午至1月15日上午召開。

羊城晚報全媒體報道節目《坤少上兩會》今天也正式上線。昨天,代表委員們關注的民生熱點是什麼?在羊城晚報全媒體指揮中心,市兩會現場,羊城晚報全媒體記者為你帶來最新資訊,作全面解讀。

據海關總署消息,中國海關正在牽頭制定《跨境電商標準框架》,這將成為世界海關跨境電商監管與服務的首個指導性文件。

9日,我國用長征二號丁運載火箭,將高景一號03、04星成功發射升空,中國航天2018年首次發射任務取得圓滿成功。

韓國總統文在寅10日表示,朝鮮半島決不能發生戰爭,不急于立即統一,任期內的目標是實現無核化。

中央氣象台繼續發布寒潮黃色預警,未來三天,河南東部和南部、安徽北部等地,局地氣溫將低于-14℃,接近歷史同期極值。

國家衛計委9日就患者反映“流感抗病毒藥物難買到”一事回應,我國抗病毒藥物的生產供應完全充足,將要求全國醫療機構緊急臨時采購。

國家統計局公布,2017年全年居民消費價格指數CPI同比上漲1.6%,物價溫和上漲,工業生產者出廠價格結束了連續5年的下降態勢。

春節回家你可能要快人一步咯!為什麼?因為廣州北三環高速二期工程全面進入收尾階段,預計春節前可完成主線施工並通車!北三環高速二期全線途經增城區、從化區、白雲區、花都區。建成通車後,增城區市民通往白雲國際機場將更加便捷。

5輛“廣州古城游”特色主題旅游電車來啦!電車涵蓋102線、104線和106線三條線,內外裝飾體現廣府文化、傳統中軸、研學旅游、食在越秀和節慶活動5大主題,車上掃碼還能自動定位導航講解!一起去感受下越秀的古韻芳華吧!

國家網信辦近日就“支付寶年度賬單默認勾選用戶信息”一事約談支付寶等企業有關負責人,要求企業進行專項整頓,防止類似事件再次發生。

10日,安徽鐵路公安通報“女子阻攔高鐵發車”事件處理結果,羅某因涉嫌“非法攔截列車、阻斷鐵路運輸”,被處2000元罰款。

近日雲南一男孩頭頂冰霜上學引發關注。昨日,共青團雲南省委等部門為男孩所在學校送去10萬元捐款,一企業提供了144套保暖服和20套取暖設備,並為男孩父親安排了工作。

近日,河南新密一居民樓失火,一位懷孕8個月的孕婦被困屋內。電工任留彬爬上三樓,砸破窗戶,將孕婦單手抱住救出。

縱覽同城媒體頭版

最新資訊一眼讀懂

羊城晚報

新快報

南方日報

南方都市報

廣州日報

信息時報

來源 | 羊晚新媒體綜合羊城晚報、羊城晚報.掌上羊城、金羊網、羊城派、人民日報、新華社、廣州日報、經濟日報(jjrbwx)、央視財經(cctvyscj)、工人日報(ID︰grrbwx)、微信公眾平台等

編輯︰陽揚
數字報

趕緊自查!安卓系統曝重大漏洞,別人手機竟能操控自己的錢包 | 晨讀天下

金羊網2018-01-11 09:50:31

晨讀天下 一條縱覽天下風雲

安卓系統曝重大漏洞

別人手機竟能操控自己的錢包

隨著新年到來,小伙伴們開始頻繁地收發紅包,有朋友間的互送,也有商家的推廣活動。可你有沒有想過,你常用的一款掃碼支付軟件竟然能被克隆到別人的手機上,而他可以像你一樣使用該賬號,包括掃碼支付。

這不是小編聳人听聞,你安裝的手機應用里,真的可能存在這種漏洞。

1月9日,騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。在這個攻擊模型的視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。

先通過一個演示來了解它,以某常用支付軟件為例︰

在升級到最新安卓8.1.0的手機上↓

“攻擊者”向用戶發送一條包含惡意鏈接的手機短信↓

用戶一旦點擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機中↓

然後“攻擊者”就可以任意查看用戶信息,並可直接操作該應用。

為了驗證這個克隆APP是不是真的能花錢,記者借到了一部手機,經過手機機主的同意,記者進行了測試。

記者發現,中了克隆攻擊之後,用戶這個手機應用中的數據被神奇地復制到了攻擊者的手機上,兩台手機看上去一模一樣。那麼,這台克隆手機能不能正常的消費呢?記者到商場買了點東西。

通過克隆來的二維碼,記者在商場輕松地掃碼消費成功。記者在被克隆的手機上看到,這筆消費已經悄悄出現在賬單中。

因為小額的掃碼支付不需要密碼,一旦中了克隆攻擊,攻擊者就完全可以用自己的手機,花別人的錢。

漏洞幾乎影響國內所有安卓用戶

騰訊經過測試發現,“應用克隆”對大多數移動應用都有效,在200個移動應用中發現27個存在漏洞,比例超過10%。

騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP,多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。

目前,“應用克隆”這一漏洞只對安卓系統有效,隻果手機則不受影響。另外,騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。

“應用克隆”有多可怕?

騰訊安全玄武實驗室負責人于--表示,該攻擊模型基于移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。

“應用克隆”的可怕之處在于︰和以往的木馬攻擊不同,它實際上並不依靠傳統的木馬病毒,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用。

網絡安全工程師告訴記者,和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。因為不會多次入侵你的手機,而是直接把你的手機應用里的內容搬出去,在其他地方操作。 和過去的攻擊手段相比,克隆攻擊的隱蔽性更強,更不容易被發現。

騰訊相關負責人比喻︰“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現在的方式是復制了一張你的酒店房卡,不但能隨時進出,還能以你的名義在酒店消費。”

↑玄武實驗室9日檢測結果

修復︰APP廠商需自查

一個令人吃驚的事實是,這一攻擊方式並非剛剛被發現。騰訊相關負責人表示,在發現這些漏洞後,騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關信息,並給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計劃”協助處理。

于--表示,由于對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對用戶量大、涉及重要數據的APP,玄武實驗室也願意提供相關技術援助。

用戶如何進行防範?

而普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人回答記者提問時表示,普通用戶的防範比較頭疼,但仍有一些通用的安全措施︰

首先是別人發給你的鏈接少點,不太確定的二維碼不要出于好奇去掃;

更重要的是,要關注官方的升級,包括你的操作系統和手機應用,有小紅點出來時一定要及時升級。目前餓了麼等主流APP已主動修復了該漏洞,只需用戶升級到最新版本。

微信出重拳!

這些行為將被嚴厲打擊

永久封號

昨天中午,針對微信公眾平台存在的一些亂象,微信團隊發布了一條重磅公告︰

微信公眾平台一直致力于為用戶提供綠色、健康的生態環境,堅決打擊涉嫌淫穢、色情及低俗類等信息。自2015年發布關于低俗內容整頓公告以來,仍存在公眾號繼續發布低俗、虛假標題和內容的行為,並采取技術手段惡意對抗。

因此,依照《互聯網用戶公眾賬號信息服務管理規定》、《微信公眾平台服務協議》及《微信公眾平台運營規範》,將針對上述行為進行以下處理︰

從公告即日起,對于仍在發送低俗、虛假標題和內容的公眾號,文章進行刪除並實施相應的能力處罰,多次違規處理後仍繼續發送違規內容的,或是故意利用各種手段惡意對抗,將進行永久封號處理。

個人賬號大規模被封

2017年12月,不少用戶在微博反饋吐槽,自己的微信賬號被微信官方給封了......

據悉,微信此輪大規模封號,主要針對使用第三方軟件登錄的用戶,被封用戶基本都使用了微信“分身”軟件。有網友吐槽︰“被封號了才知道微信是我的全部。”

當時,微信中心給出的封號理由是︰該微信賬號因使用非官方微信客戶端被限制登錄,若後續仍繼續使用將永久限制登錄。

很多安卓手機廠商都推出了微信雙開的功能,並以此為賣點,一些第三方軟件,也支持微信雙開。而在隻果iOS系統,多數是第三方開發者開發的非微信官方app。

騰訊決定打擊多開軟件,原因大致有以下幾點︰

第一,是從保障用戶信息安全方面考慮。

第二,是為了打擊微商,給用戶良好的用戶體驗。

此外,微信個人帳號使用規範也有關于第三方軟件的說明,一經發現用戶使用第三方軟件或插件,騰訊有權對前述行為進行獨立判斷,並對相關違規帳號進行處理。

如何正確使用微信

這9種消息千萬別發!

微信上任何發言都要擔負法律責任,以下這9種消息千萬別發!

1、政治敏感話題不發;

2、不信謠不傳謠;

3、所謂的內部資料不發;

4、涉黃、涉毒、涉爆等不發;

5、有關港澳台新聞在官方網站未發布前不發;

6、軍事資料不發;

7、有關涉及國家機密文件不發;

8、來源不明的疑似偽造的黑警辱警的小視頻不發;

9、其他違反相關法律法規的信息不發。

這4件事千萬別做!

微信代購彩票被判刑

去年重慶市渝北區人民法院審結一起微信代購彩票刑事案件。被告人羅某、王某、李某、劉某在未取得中國福利彩票發行管理中心授權的情況下,利用網絡社交平台擅自發行、銷售彩票,分別被判處一年六個月至三年不等的有期徒刑,並處罰金。

法院審理認為,被告人羅某、王某、劉某、李某違反國家規定,未經批準,擅自發行、銷售彩票,擾亂市場經濟秩序,情節嚴重,其行為均已構成非法經營罪。

微信上不可銷售香煙

去年10月,福建省一小伙張某未獲煙草專賣許可,通過利用網絡微信、QQ等方式與他人交易並郵寄發貨,非法經營香煙數額24萬余元,違反國家法律禁止性規定而被公訴。

身份信息、位置信息、孩子照片

統統曬不得!

很多人喜歡在朋友圈曬車票、護照、飛機票等,但這些票據上的二維碼或條形碼都含個人姓名、身份證號等信息,借助特殊軟件,便能輕易讀取。

家長發布孩子照片、文字記錄時,會無意間泄露孩子的相貌和姓名。

微信朋友圈投票暗藏驚天騙局

在微信朋友圈投票,想必很多人都遇到過,但是,這種投票的背後也可能隱藏著騙局。去年11月,遼寧警方制作了相關視頻,詳細講解朋友圈投票、拉票的詐騙內幕。

警方介紹,朋友圈投票最容易被騙的是報名者。不法分子往往先是許以豐厚的禮品,吸引大家參與報名,借此套取個人的詳細信息和郵寄地址。

遼寧省公安廳刑事偵查局李濤說,父母把孩子的身份、姓名、就讀的學校,甚至照片都提供給後台,後台一旦取得這些信息,將這些個人信息非法出售,不法分子拿到這些信息之後,可能編造一些重病、車禍等謠言,對父母進行詐騙。

廣州“兩會”時間到!

羊城晚報全媒體報道節目

《坤少上兩會》今天上線

昨天,廣州進入“兩會”時間!廣州市政協十三屆二次會議于1月10日至1月13日舉行,廣州市第十五屆人大三次會議將于今天上午至1月15日上午召開。

羊城晚報全媒體報道節目《坤少上兩會》今天也正式上線。昨天,代表委員們關注的民生熱點是什麼?在羊城晚報全媒體指揮中心,市兩會現場,羊城晚報全媒體記者為你帶來最新資訊,作全面解讀。

據海關總署消息,中國海關正在牽頭制定《跨境電商標準框架》,這將成為世界海關跨境電商監管與服務的首個指導性文件。

9日,我國用長征二號丁運載火箭,將高景一號03、04星成功發射升空,中國航天2018年首次發射任務取得圓滿成功。

韓國總統文在寅10日表示,朝鮮半島決不能發生戰爭,不急于立即統一,任期內的目標是實現無核化。

中央氣象台繼續發布寒潮黃色預警,未來三天,河南東部和南部、安徽北部等地,局地氣溫將低于-14℃,接近歷史同期極值。

國家衛計委9日就患者反映“流感抗病毒藥物難買到”一事回應,我國抗病毒藥物的生產供應完全充足,將要求全國醫療機構緊急臨時采購。

國家統計局公布,2017年全年居民消費價格指數CPI同比上漲1.6%,物價溫和上漲,工業生產者出廠價格結束了連續5年的下降態勢。

春節回家你可能要快人一步咯!為什麼?因為廣州北三環高速二期工程全面進入收尾階段,預計春節前可完成主線施工並通車!北三環高速二期全線途經增城區、從化區、白雲區、花都區。建成通車後,增城區市民通往白雲國際機場將更加便捷。

5輛“廣州古城游”特色主題旅游電車來啦!電車涵蓋102線、104線和106線三條線,內外裝飾體現廣府文化、傳統中軸、研學旅游、食在越秀和節慶活動5大主題,車上掃碼還能自動定位導航講解!一起去感受下越秀的古韻芳華吧!

國家網信辦近日就“支付寶年度賬單默認勾選用戶信息”一事約談支付寶等企業有關負責人,要求企業進行專項整頓,防止類似事件再次發生。

10日,安徽鐵路公安通報“女子阻攔高鐵發車”事件處理結果,羅某因涉嫌“非法攔截列車、阻斷鐵路運輸”,被處2000元罰款。

近日雲南一男孩頭頂冰霜上學引發關注。昨日,共青團雲南省委等部門為男孩所在學校送去10萬元捐款,一企業提供了144套保暖服和20套取暖設備,並為男孩父親安排了工作。

近日,河南新密一居民樓失火,一位懷孕8個月的孕婦被困屋內。電工任留彬爬上三樓,砸破窗戶,將孕婦單手抱住救出。

縱覽同城媒體頭版

最新資訊一眼讀懂

羊城晚報

新快報

南方日報

南方都市報

廣州日報

信息時報

來源 | 羊晚新媒體綜合羊城晚報、羊城晚報.掌上羊城、金羊網、羊城派、人民日報、新華社、廣州日報、經濟日報(jjrbwx)、央視財經(cctvyscj)、工人日報(ID︰grrbwx)、微信公眾平台等

編輯︰陽揚
新聞排行版