1月10日《观察者网》刊登了一篇《支付宝账户一秒钟被“克隆” 腾讯安全玄武实验室发现大漏洞》的新闻: 报道中阐述:玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信。用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。据了解,支付宝目前已经在最新版本中修复了该漏洞。 据腾讯安全玄武实验室负责人于旸介绍,“应用克隆”攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。通过该漏洞,攻击者可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。 并配有一段演示视频: 12日,微信派推送了一篇《我们修复了一个漏洞》的内容,文中提到因阿里安全团队及时提交和反馈漏洞,所以向对方表示感谢。 阿里的支付宝和腾讯的微信,同时又涉及到对方的安全团队,眉来眼去,含情脉脉。 祝情人节快乐~? |