安卓定制存漏洞,可伪造银行短信
昨日,大河报记者从大会获悉,被三星、HTC等热门手机品牌商广泛运用的安卓手机软件,其定制系统有近九成存在安全隐患。
恶意程序通过安卓定制系统所带来的漏洞,可伪装成银行短信号码并发送内容给机主,也可伪装成包括亲友号码在内的任意字符发送诈骗短信。昨日互联网安全大会上,360移动研究院高级研究员周亚金现场演示了黑客利用定制手机引发的漏洞,导致恶意程序任意伪造来自银行短信的全过程。
演示过程中,在座嘉宾看到,这些银行短信并非真实银行所发,而是由恶意程序伪装而来,且银行短信内容及发送号码可被任意控制的,也就是说,除银行短信外,还可伪装成亲友号码等更多的钓鱼短信,使接受用户丧失安全警惕,因此该类漏洞所出现的恶意程序具有非常大的迷惑性。
在分析的手机中,64%到85%的漏洞都是由于厂商的定制所造成的。
移动领域的手机木马病毒危害,正由最初的扣费、耗流量向操纵手机发送诈骗短信、隐私窃取等方向转变,具备盗取网银密码能力的手机木马也日益增加。
记者了解到,今年上半年,仅360互联网安全中心截获的新增手机木马、恶意软件及恶意广告插件就达45万款,感染总量超过4.8亿人次。
360称,二季度网购人均受骗额为1133元
拇指轻点“授权支付”,短短24秒就被不法分子转走10万元现金。扫了恶意二维码,一觉醒来卡上万余元不翼而飞。网购为“淘一族”省了银子,却因安全问题频发让不少网购族吃了大亏。记者了解到,2013年上半年我国人均网购消费650元,而360公布的2013年二季度网购人均受骗金额为1133元,几乎是人均网购消费的两倍。
怎样辨别和防范网购诈骗?
昨日大会上,资深安全研究员万仁国表示,常见的网购欺诈有木马、钓鱼和人工欺诈三类。
网银劫持和支付劫持木马,会在网民执行付款操作时,秘密篡改收款人、商品名目、付款金额等网银订单信息。消费者在搜索引擎里查询商品信息或用聊天工具与商家进行在线沟通时,容易被藏身其中的钓鱼网站迷惑,点击“中招儿”。
此外,依靠沟通技巧对受害者进行心理攻势的人工欺诈骗局,在互联网时代愈加泛滥。对于不了解网购规则的消费者,诈骗方往往将可绑定两张银行卡的“授权支付”功能,说成交易出现异常时的“解锁器”,使不熟悉甚至从没听说过网银授权支付业务用户,轻易将自己的网银“授权”给了骗子。
万仁国认为,“网址云安全”等新型互联网安全技术虽然能在一定程度上与钓鱼网站进行技术对抗,但能否在反人工欺诈领域为网民提供大量服务支持,将成为安全厂商确保网民安全上网的重要发力点和突破点。