警惕！安卓系统曝“致命”漏洞：别人拿自己的手机，可以偷刷你的钱！

央视新闻客户端 ​ 央视财经 2018年01月12日 09:43 A-A+
扫一扫 手机阅读

我要分享

QQ空间新浪微博腾讯微博QQ微信

原标题：

当前，无论是朋友间还是商家的推广，用手机收发红包越来越成为更多人的选择。可你有没有想过，当你点开一个红包链接时，自己的支付宝信息会瞬间在另一个手机上被“克隆”，而对方可以像你一样自由使用该账号进行扫码支付……

9日下午，一种针对安卓手机操作系统的新型攻击危险被公布，这种“攻击”能瞬间把手机应用，克隆到攻击者的手机上，并克隆你的支付二维码，进行隐蔽式盗刷。

瞬间克隆手机应用 花你的钱不用商量

攻击者向用户发送短信，用户点击短信中的链接后，在自己的手机上看到的是一个真实的抢红包网页，攻击者则已经在另一台手机上完成了克隆支付宝账户的操作，账户名、用户头像等信息完全一致。

“克隆攻击”是否真实存在呢？记者决定现场试验一下。通过试验发现，中了克隆攻击之后，用户手机应用中的数据被完全复制到了攻击者的手机上，两台手机看上去一模一样。而克隆的二维码，也可以在商场里扫码消费成功，这笔消费已经悄悄出现在了被克隆手机的支付宝账单中。

因为小额的扫码支付不需要密码，一旦中了克隆攻击，攻击者完全可以用自己的手机，花别人的钱。

网络安全工程师称，由于该操作不会多次入侵手机，而是直接把手机应用里的内容搬出去，在其他地方操作。和过去的攻击手段相比，克隆攻击的隐蔽性更强，更不容易被发现。

“应用克隆”可能波及国内所有安卓用户

“应用克隆”的可怕之处在于：和以往的木马攻击不同，它并不依靠传统的木马病毒，也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。 

相关网络专家比喻：“就像过去想进入你的酒店房间，需要把锁弄坏，但现在的方式是复制了一张你的酒店房卡，不但能随时进出，还能以你的名义在酒店消费。”

据了解，攻击者会把与攻击相关的代码，隐藏在一个看起来很正常的页面里面，当你打开的时候，看见的是正常的网页，可能是个新闻、可能是个视频、可能是个图片，但实际上攻击代码正悄悄地运行。只要手机应用存在漏洞，一旦点击短信中的攻击链接，或者扫描恶意的二维码，APP中的数据都可能被复制。

目前漏洞已被捕捉 尚未形成危害 

目前，“应用克隆”这一漏洞只对安卓系统有效，苹果手机不受影响。另外，目前尚未有已知案例利用这种途径发起攻击。

提醒：不要随意点击链接 及时更新升级系统

网络安全工程师提醒：

如果现在把安卓操作系统和所有的手机应用都升级到最新版本，大部分的应用就可以避免克隆攻击。

此外，尽量不要随意点击别人发的链接，不太确定的二维码不要去扫；关注官方的升级更新提醒，包括操作系统和手机应用。