近日,央视新闻曝光名为“寄生兽”的安卓手机漏洞,攻击者利用该漏洞通过UC浏览器等手机APP在安卓用户手机中植入木马,盗取用户网银、支付宝等账号密码信息。目前已有多名手机用户因此遭受经济损失。截至发稿前,UC浏览器方面未对此次事件作出任何回应。 病毒伪装成图片,利用UC浏览器漏洞大肆窃取用户隐私 日前,手机用户王小姐收到朋友发来的二维码,据称扫码能享受网购打折优惠。王小姐扫码后,手机里自动下载了一张陌生的美女图片,对此王小姐以为是朋友恶作剧而并未引起警惕,谁知当晚其支付宝账户中的几百元余额竟不翼而飞! 手机安全专家表示,王小姐的手机被黑客精心制造的木马病毒攻击了。黑客制造了一个包含木马病毒的压缩包,利用部分手机APP存在的安全漏洞,病毒可将自身伪装成图片,一旦用户下载打开图片,木马病毒便注入到某一个存在安全漏洞的手机app中,大肆窃取用户的短信、照片以及银行卡号、支付宝账号和密码等个人隐私信息。 安全专家现场模拟还原了黑客的作案手法:首先,使用安卓手机扫描二维码,下载打开包含木马病毒的美女图片,手机此时并未表现出异状。之后,打开手机中安装的UC 浏览器进入淘宝网,输入账号密码后,中毒的手机仍未表现出任何异样,然而用户刚刚输入的账号和密码已经自动发送到了一旁指定的电脑上,用户的账号密码信息就这样神不知鬼不觉地被黑客窃取了。此外,病毒还能随被注入的手机App一起运行,可以拦截用户手机短信,并转发短信。黑客一旦获取用户的手机号、身份证号、支付宝账号,就可以通过病毒窃取到的手机支付短信验证码修改支付宝密码,盗刷资金。
专家称手机软件本身不安全給“寄生兽”可趁之机 专家称,黑客利用“寄生兽”漏洞作案的必要条件之一,是用户手机中存在有安全漏洞的软件。此次UC浏览器等手机软件之所以被黑客利用,成为协助黑客获取用户隐私、盗取网银账号的工具,主要原因还在于软件自身存在较为严重的安全问题:其一是软件开发者没有考虑odex的安全问题,其二是软件没有对zip解压缩时的恶意文件名做检测,才导致严重的安全隐患,給病毒可趁之机。 专家建议,手机用户应谨慎打开任何陌生网址链接,不要轻易扫描二维码,平时要留意手机软件安全信息,避免安装使用存在安全漏洞的手机软件。 |