名为“寄生兽”的安卓手机漏洞曝光已经一个多星期,各大受影响的手机应用纷纷紧急排查产品并修复漏洞。然而据安全专家验证,QQ手机浏览器最新版本6.0至今仍未修复该漏洞,广大用户谨慎使用QQ浏览器进行支付相关操作,避免造成经济损失。
据央视报道,“寄生兽”的安卓系统安全漏洞正影响市面上数以千万的安卓手机,包括百度、腾讯等主流厂商的手机应用都易受到攻击。利用该漏洞,攻击者可以直接在用户手机中植入木马,盗取用户的短信照片等个人隐私,盗取银行、财付通、微信支付等账号密码等。由于该漏洞属于“通杀型”,可能影响超过90%的手机应用。央视曝光该漏洞后,各大受影响的手机应用大多对“寄生兽”漏洞进行紧急修复。记者通过相关安全人员对此前确认存在问题的手机应用进行测试验证,发现QQ浏览器最新版本6.0仍存在寄生兽漏洞。
根据“寄生兽”攻击路径,攻击者通过QQ浏览器下载文件时可能植入恶意代码,并可将QQ浏览器的财付通、微信支付SDK文件替换,之后用户只要在QQ浏览器上使用财付通或微信支付,黑客都可以轻而易举地获取到用户输入的账号和密码。这也是寄生兽漏洞风险系数极高的原因,黑客完全可做到随时随地神不知鬼不觉地将用户财付通和微信账号的钱转走。
通过对QQ浏览器6.0进行检测发现,其在文件下载过程中并没有进行安全性校验,安全人员将zip文件精心构造成特定文件名后,便轻易将QQ浏览器支付sdk文件替换。以下截图为被替换前后的文件时间以及文件大小都不同了
之后安全专家在QQ浏览器小说功能中购买书币,在支付环节时便可看到起支付页面出现安全人员故意留下的恶意信息。如果用户继续进入支付操作,攻击者便可轻松获得支付账号和密码等信息。在实际攻击中,攻击者完全不会像模拟攻击这样故意在支付页面留下信息,一旦支付sdk被替换,用户想要通过防止钓鱼网站的方式来避免被骗几乎不可能,基本在毫不知情的情况便将自己的支付账号和密码给了攻击者。
专家验证,不仅仅是购物,在任何需要支付的环节,比如购买小说、购买Q币、购买游戏豆,该风险都可能存在。为了保证用户使用安全,安全专家呼吁QQ浏览器尽快修复寄生兽漏洞,同时建议广大手机用户:近期谨慎使用QQ浏览器打开陌生网址链接、扫描二维码和下载zip文件,更尽量避免进行支付操作,以免造成不必要的损失。
