年1月9日下午,腾讯七大实验室之一的玄武实验室宣布发现了攻击威胁模型“应用克隆”,该漏洞让支付宝、京东到家、饿了么、携程等27款App的安卓版纷纷中招。黑客可以利用该漏洞远程“克隆”一个跟你账户一模一样的App,还顺便帮你花钱甚至干各种让你无法想象的勾当。
目前,支付宝等部分App已经修复了该漏洞,但还有10款App尚未修复,另外,部分已经修复的App仍然存在修复不完全的情况。
需要强调的是,该漏洞仅存在于上述App的安卓版,iPhone上的这些App不受影响。并且,截至目前,还没有发现该漏洞被黑客利用的实际案例。
玄武实验室在现场演示了两款App被克隆、攻击的过程,一款是支付宝,一款是携程。
以支付宝为例,黑客向用户发送一条隐藏着攻击信息的短信,并以红包加以引诱,用户在这种情况下点开短信里的链接,他看到的是一个真实的抢红包页面,但攻击者却在另一个手机上复制了该用户完整的支付宝账户信息,包括头像、用户名等完全一样,也可以查看用户的芝麻信用分,还可以用支付宝的付款码进行消费。在演示中,攻击者成功帮助用户消费了元。
“攻击”支付宝和携程的演示视频
当我问TK,黑客是否可以连用户的支付密码也“克隆”过去时,他告诉我:“就支付宝而言,密码是拿不到的。”但他又补充了一句:“但有些App因为还存在其它漏洞,在克隆后,再配合其它漏洞真的可以拿到密码,完完全全控制账号。”
万幸的是,TK告诉我,包括支付宝在内的这些存在“应用克隆”漏洞隐患的App目前都还是安全的,还没有发现利用该漏洞攻击用户的行为,“至少我们没有知道的案例会通过这种途径发起攻击。”但今天他们公布了之后就说不准了。
支付宝相关负责人告诉我,他们接到通知后立马进行了修复。
短信只是其中一种诱导方式,该漏洞还可以被黑客隐藏在