赶紧自查！安卓系统曝重大漏洞，别人手机竟能操控自己的钱包 | 晨读天下

赶紧自查！安卓系统曝重大漏洞，别人手机竟能操控自己的钱包 | 晨读天下

晨读天下 一条纵览天下风云

安卓系统曝重大漏洞

别人手机竟能操控自己的钱包

随着新年到来，小伙伴们开始频繁地收发红包，有朋友间的互送，也有商家的推广活动。可你有没有想过，你常用的一款扫码支付软件竟然能被克隆到别人的手机上，而他可以像你一样使用该账号，包括扫码支付。

这不是小编耸人听闻，你安装的手机应用里，真的可能存在这种漏洞。

1月9日，腾讯安全玄武实验室与知道创宇404实验室披露攻击威胁模型——“应用克隆”。在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。

先通过一个演示来了解它，以某常用支付软件为例：

在升级到最新安卓8.1.0的手机上↓

“攻击者”向用户发送一条包含恶意链接的手机短信↓

用户一旦点击，其账户一秒钟就被“克隆”到“攻击者”的手机中↓

然后“攻击者”就可以任意查看用户信息，并可直接操作该应用。

为了验证这个克隆APP是不是真的能花钱，记者借到了一部手机，经过手机机主的同意，记者进行了测试。

记者发现，中了克隆攻击之后，用户这个手机应用中的数据被神奇地复制到了攻击者的手机上，两台手机看上去一模一样。那么，这台克隆手机能不能正常的消费呢？记者到商场买了点东西。

通过克隆来的二维码，记者在商场轻松地扫码消费成功。记者在被克隆的手机上看到，这笔消费已经悄悄出现在账单中。

因为小额的扫码支付不需要密码，一旦中了克隆攻击，攻击者就完全可以用自己的手机，花别人的钱。

漏洞几乎影响国内所有安卓用户

腾讯经过测试发现，“应用克隆”对大多数移动应用都有效，在200个移动应用中发现27个存在漏洞，比例超过10%。

腾讯安全玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，多个主流APP均存在漏洞，所以该漏洞几乎影响国内所有安卓用户。

目前，“应用克隆”这一漏洞只对安卓系统有效，苹果手机则不受影响。另外，腾讯表示目前尚未有已知案例利用这种途径发起攻击。

“应用克隆”有多可怕？

腾讯安全玄武实验室负责人于旸表示，该攻击模型基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。

“应用克隆”的可怕之处在于：和以往的木马攻击不同，它实际上并不依靠传统的木马病毒，也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。

网络安全工程师告诉记者，和过去的攻击手段相比，克隆攻击的隐蔽性更强，更不容易被发现。因为不会多次入侵你的手机，而是直接把你的手机应用里的内容搬出去，在其他地方操作。 和过去的攻击手段相比，克隆攻击的隐蔽性更强，更不容易被发现。

腾讯相关负责人比喻：“这就像过去想进入你的酒店房间，需要把锁弄坏，但现在的方式是复制了一张你的酒店房卡，不但能随时进出，还能以你的名义在酒店消费。”

↑玄武实验室9日检测结果

修复：APP厂商需自查

一个令人吃惊的事实是，这一攻击方式并非刚刚被发现。腾讯相关负责人表示，在发现这些漏洞后，腾讯安全玄武实验室通过国家互联网应急中心向厂商通报了相关信息，并给出了修复方案，避免该漏洞被不法分子利用。另外，玄武实验室将提供“玄武支援计划”协助处理。

于旸表示，由于对该漏洞的检测无法自动化完成，必须人工分析，玄武实验室无法对整个安卓应用市场进行检测，所以希望更多的APP厂商关注并自查产品是否仍存在相应漏洞，并进行修复。对用户量大、涉及重要数据的APP，玄武实验室也愿意提供相关技术援助。

用户如何进行防范？

而普通用户最关心的则是如何能对这一攻击方式进行防范。知道创宇404实验室负责人回答记者提问时表示，普通用户的防范比较头疼，但仍有一些通用的安全措施：

首先是别人发给你的链接少点，不太确定的二维码不要出于好奇去扫；

更重要的是，要关注官方的升级，包括你的操作系统和手机应用，有小红点出来时一定要及时升级。目前饿了么等主流APP已主动修复了该漏洞，只需用户升级到最新版本。

微信出重拳！

这些行为将被严厉打击

永久封号

昨天中午，针对微信公众平台存在的一些乱象，微信团队发布了一条重磅公告：

微信公众平台一直致力于为用户提供绿色、健康的生态环境，坚决打击涉嫌淫秽、色情及低俗类等信息。自2015年发布关于低俗内容整顿公告以来，仍存在公众号继续发布低俗、虚假标题和内容的行为，并采取技术手段恶意对抗。

因此，依照《互联网用户公众账号信息服务管理规定》、《微信公众平台服务协议》及《微信公众平台运营规范》，将针对上述行为进行以下处理：

从公告即日起，对于仍在发送低俗、虚假标题和内容的公众号，文章进行删除并实施相应的能力处罚，多次违规处理后仍继续发送违规内容的，或是故意利用各种手段恶意对抗，将进行永久封号处理。

个人账号大规模被封

2017年12月，不少用户在微博反馈吐槽，自己的微信账号被微信官方给封了......

据悉，微信此轮大规模封号，主要针对使用第三方软件登录的用户，被封用户基本都使用了微信“分身”软件。有网友吐槽：“被封号了才知道微信是我的全部。”

当时，微信中心给出的封号理由是：该微信账号因使用非官方微信客户端被限制登录，若后续仍继续使用将永久限制登录。

很多安卓手机厂商都推出了微信双开的功能，并以此为卖点，一些第三方软件，也支持微信双开。而在苹果iOS系统，多数是第三方开发者开发的非微信官方app。

腾讯决定打击多开软件，原因大致有以下几点：

第一，是从保障用户信息安全方面考虑。

第二，是为了打击微商，给用户良好的用户体验。

此外，微信个人帐号使用规范也有关于第三方软件的说明，一经发现用户使用第三方软件或插件，腾讯有权对前述行为进行独立判断，并对相关违规帐号进行处理。

如何正确使用微信

这9种消息千万别发！

微信上任何发言都要担负法律责任，以下这9种消息千万别发！

1、政治敏感话题不发；

2、不信谣不传谣；

3、所谓的内部资料不发；

4、涉黄、涉毒、涉爆等不发；

5、有关港澳台新闻在官方网站未发布前不发；

6、军事资料不发；

7、有关涉及国家机密文件不发；

8、来源不明的疑似伪造的黑警辱警的小视频不发；

9、其他违反相关法律法规的信息不发。

这4件事千万别做！

微信代购彩票被判刑

去年重庆市渝北区人民法院审结一起微信代购彩票刑事案件。被告人罗某、王某、李某、刘某在未取得中国福利彩票发行管理中心授权的情况下，利用网络社交平台擅自发行、销售彩票，分别被判处一年六个月至三年不等的有期徒刑，并处罚金。

法院审理认为，被告人罗某、王某、刘某、李某违反国家规定，未经批准，擅自发行、销售彩票，扰乱市场经济秩序，情节严重，其行为均已构成非法经营罪。

微信上不可销售香烟

去年10月，福建省一小伙张某未获烟草专卖许可，通过利用网络微信、QQ等方式与他人交易并邮寄发货，非法经营香烟数额24万余元，违反国家法律禁止性规定而被公诉。

身份信息、位置信息、孩子照片

统统晒不得！

很多人喜欢在朋友圈晒车票、护照、飞机票等，但这些票据上的二维码或条形码都含个人姓名、身份证号等信息，借助特殊软件，便能轻易读取。

家长发布孩子照片、文字记录时，会无意间泄露孩子的相貌和姓名。

微信朋友圈投票暗藏惊天骗局

在微信朋友圈投票，想必很多人都遇到过，但是，这种投票的背后也可能隐藏着骗局。去年11月，辽宁警方制作了相关视频，详细讲解朋友圈投票、拉票的诈骗内幕。

警方介绍，朋友圈投票最容易被骗的是报名者。不法分子往往先是许以丰厚的礼品，吸引大家参与报名，借此套取个人的详细信息和邮寄地址。

辽宁省公安厅刑事侦查局李涛说，父母把孩子的身份、姓名、就读的学校，甚至照片都提供给后台，后台一旦取得这些信息，将这些个人信息非法出售，不法分子拿到这些信息之后，可能编造一些重病、车祸等谣言，对父母进行诈骗。

广州“两会”时间到！

羊城晚报全媒体报道节目

《坤少上两会》今天上线

昨天，广州进入“两会”时间！广州市政协十三届二次会议于1月10日至1月13日举行，广州市第十五届人大三次会议将于今天上午至1月15日上午召开。

羊城晚报全媒体报道节目《坤少上两会》今天也正式上线。昨天，代表委员们关注的民生热点是什么？在羊城晚报全媒体指挥中心，市两会现场，羊城晚报全媒体记者为你带来最新资讯，作全面解读。

据海关总署消息，中国海关正在牵头制定《跨境电商标准框架》，这将成为世界海关跨境电商监管与服务的首个指导性文件。

9日，我国用长征二号丁运载火箭，将高景一号03、04星成功发射升空，中国航天2018年首次发射任务取得圆满成功。

韩国总统文在寅10日表示，朝鲜半岛决不能发生战争，不急于立即统一，任期内的目标是实现无核化。

中央气象台继续发布寒潮黄色预警，未来三天，河南东部和南部、安徽北部等地，局地气温将低于-14℃，接近历史同期极值。

国家卫计委9日就患者反映“流感抗病毒药物难买到”一事回应，我国抗病毒药物的生产供应完全充足，将要求全国医疗机构紧急临时采购。

国家统计局公布，2017年全年居民消费价格指数CPI同比上涨1.6%，物价温和上涨，工业生产者出厂价格结束了连续5年的下降态势。

春节回家你可能要快人一步咯！为什么？因为广州北三环高速二期工程全面进入收尾阶段，预计春节前可完成主线施工并通车！北三环高速二期全线途经增城区、从化区、白云区、花都区。建成通车后，增城区市民通往白云国际机场将更加便捷。

5辆“广州古城游”特色主题旅游电车来啦！电车涵盖102线、104线和106线三条线，内外装饰体现广府文化、传统中轴、研学旅游、食在越秀和节庆活动5大主题，车上扫码还能自动定位导航讲解！一起去感受下越秀的古韵芳华吧！

国家网信办近日就“支付宝年度账单默认勾选用户信息”一事约谈支付宝等企业有关负责人，要求企业进行专项整顿，防止类似事件再次发生。

10日，安徽铁路公安通报“女子阻拦高铁发车”事件处理结果，罗某因涉嫌“非法拦截列车、阻断铁路运输”，被处2000元罚款。

近日云南一男孩头顶冰霜上学引发关注。昨日，共青团云南省委等部门为男孩所在学校送去10万元捐款，一企业提供了144套保暖服和20套取暖设备，并为男孩父亲安排了工作。

近日，河南新密一居民楼失火，一位怀孕8个月的孕妇被困屋内。电工任留彬爬上三楼，砸破窗户，将孕妇单手抱住救出。

纵览同城媒体头版

最新资讯一眼读懂

羊城晚报

新快报

南方日报

南方都市报

广州日报

信息时报

来源 | 羊晚新媒体综合羊城晚报、羊城晚报.掌上羊城、金羊网、羊城派、人民日报、新华社、广州日报、经济日报（jjrbwx）、央视财经（cctvyscj）、工人日报（ID：grrbwx）、微信公众平台等