安卓系統曝致命漏洞：可無聲操控手機，盜錢竊取隱私

本周有哪些隱私大事件，隊長為你來盤點。

1.「克隆漏洞」曝光可竊取App賬戶信息

2. 沒有匿名權！波蘭公布768名性侵者個人信息

3. 湖北18歲女生悉尼被綁架 背後實為電信詐騙

「克隆漏洞」曝光可竊取App賬戶信息

一條帶有網址鏈接的簡訊，可能暗藏玄機。一旦點擊，有人就能「克隆」並登上你的APP賬戶，竊取相關的隱私信息，甚至是盜刷你的錢。

近日，一款針對安卓系統的「應用克隆」漏洞被披露。9日，國家信息安全漏洞共享平台(簡稱CNVD)發布安全公告，將該漏洞綜合評級為「高危」。攻擊者利用該漏洞，可遠程獲取用戶手機應用數據、照片、文檔等敏感數據，還可竊取用戶登錄憑證，在受害者毫無察覺的情況下，完全控制App用戶賬號。

好比複製了你的房卡 可隨意進出

與以往的攻擊手段相比，「應用克隆」漏洞隱蔽性更強，不會多次入侵手機，且攻擊過程並無明顯異常。當點開鏈接後，用戶在自己的手機看到的是真實的搶紅包頁面，而攻擊者的手機顯示，已同步登錄用戶的賬號，甚至能用刷碼支付。

據漏洞發現方，騰訊安全玄武實驗室負責人於暘介紹，傳統的攻擊方式一般先是利用漏洞獲得控制再植入後門。這好比有人想潛入你的房間，可以提前悄悄尾隨進門，然後把鎖弄壞方便出入，「應用克隆」則是通過複製你的房卡，便可隨意進出，還能以你的名義消費。

現場演示。圖來自騰訊

於暘指出，「目前大部分移動應用在設計上都沒有考慮這種攻擊方式。」因此，「應用克隆」對大多數移動應用都有效，幾乎影響國內所有安卓用戶。

據悉，在國內安卓應用市場被檢測的200個應用中，有27個存在問題，其中18個App可以被遠程攻擊，即通過簡訊鏈接複製。另外9個App只能從本地被攻擊，即通過手機上裝載的惡意應用實現類似「克隆」功能。

已有8款應用修復成功

去年12月10日，CNVD向漏洞涉及的27家App企業發送漏洞安全通報，同時提供了修復方案。截至1月9日，包括支付寶、餓了么、百度旅遊、驢媽媽旅遊、咕咚、墨跡天氣、Wi-Fi萬能鑰匙、小米生活等8款App已經完全修復成功。另有亞馬遜（中國版）、一點資訊、卡牛信用管家等三款App被發現修復不全。

其實早在2014年，可能導致「應用克隆」漏洞的條件就已經被披露，但未能引起重視。來自梆梆安全的移動應用安全專家羅睿向隱私護衛隊表示，這款漏洞的攻擊方式比常見的漏洞攻擊方式更為複雜和隱蔽，並且需要一定的技術門檻。

除了漏洞描述中提到的前提條件外，一個關鍵因素是攻擊者構造的惡意文件如何傳送至目標應用並且成功執行，該惡意文件的內容和執行方式也比較專業。這次漏洞的突發，其實是基於在一直存在的安全隱患中找到了具體實現的技術手段，因此大多數的App都沒能提前規避。所幸目前暫未發現太多被該漏洞惡意攻擊並且造成損失的具體案例。

在他看來，隨著安全問題越來越普及，漏洞的爆發頻率也越來越高。相應的安全策略必須提前考慮並採取應對措施，否則風險積累得越久，造成的影響也越大。

沒有匿名權！波蘭公布768名性侵者個人信息

日前，波蘭政府公布了768名兒童性侵犯的個人資料，包括照片、姓名、生日、住址等詳細信息，並開放資料庫供公眾查詢，以幫助父母們提防住家附近的潛在性侵者。

「保障兒童的安全是首要之重。」波蘭政府指出，被公開的768人主要都是針對15歲以下兒童進行性侵的罪犯，當中有些人犯罪手段殘忍。根據外媒報道，波蘭司法部長Zbigniew Ziobro表示，性侵犯必須為自己的罪行承擔嚴重後果，不僅包括入獄服刑，還有剝奪匿名權。

然而，此舉也引起了不少人的批評，認為這不利於性侵犯回歸社會，而且容易讓他們產生報復心理。

據隱私護衛隊了解，相同質疑不久前也曾發生在國內。2017年12月1日，江蘇省淮安市淮陰區人民法院在審理一起未成年性侵案時表示，將公布四名犯罪人員的個人信息，並且禁止他們從事與未成年人密切接觸的工作。

在接受隱私護衛隊採訪時，北京青少年法律援助與研究中心研究員張雪梅表示，性侵害兒童案件中往往具有受害人數多、持續時間長的突出特點，這說明性侵害兒童的犯罪人員再犯風險非常高。在她看來，兒童利益優先應成為社會的價值取向。雖然要保障犯罪人員權利，但不能片面強調保護犯罪人員的隱私，而忽視公共利益尤其是兒童安全。

湖北18歲女生悉尼被綁架 背後實為電信詐騙

遠在澳大利亞悉尼的女兒被「綁架」了！不久前，來自湖北宜昌市李榮、張麗夫婦接到一通電話，「劫匪」還發來了女兒小萍手腳被捆的照片，索要100萬元。後經警方調查，這是一起跨國的電信詐騙。

根據楚天都市報報道，2017年12月28日，18歲的小萍接到了一張關於自己的「通緝令」，稱其涉嫌「洗黑錢」。對方要求小萍不能將此事告知他人，並讓其重新辦了手機號，還借著辦案為由，要求她將自己捆起來，並發自拍照和求助音頻給對方。

劫匪發來的綁架圖。圖片來自楚天都市報。

如此「綁架」圖片，兩天後隨之傳到小萍父母的手機里。在「劫匪」的連續威脅下，加之始終聯繫不上女兒，夫妻倆慌了。好在有朋友提醒他們趕緊聯繫小萍在悉尼的朋友，並向當地警方報案。最後，在悉尼總領館、悉尼警察和宜昌警方的合作下，這場精心策劃的電信詐騙被識破。小萍也於1月2日在一家茶樓被當地警方找到。

在這起詐騙案中，「劫匪」先是誘騙小萍製造被綁架和失聯的場景，然後使用惡意改號軟體以她的手機號，向小萍父母勒索錢財。其實，這樣的電信詐騙並不少見。隱私護衛隊注意到，近日駐澳大利亞使館也發布消息，提醒在澳中國公民注意保護個人信息，防範電信詐騙。

中國駐澳使館提醒防範電信詐騙。

公告提及，近期假冒中國駐澳使館名義進行電信詐騙案前時有發生。不法分子利用各種手段獲取公民個人信息，實施詐騙。比如，以辦證服務或涉及刑事案件調查等為由，電話要求個人提供銀行賬號、凍結銀行信息或轉賬服務等。駐澳大利亞使館提醒，公民應加強個人信息保護意識，謹防個人信息泄露，以免上當，造成損失。特別注意以下幾點：

謹防釣魚網站。網購時要仔細查驗登錄的網址，不要輕易接收和安裝不明軟體，要慎重填寫銀行賬戶和密碼，防止個人信息泄露。

妥善管理機票、快遞單等單據。機票、快遞單等上有個人信息，應妥善保管和處置，以防落入不法分子手中，導致個人信息泄露。

身份證複印件上要寫明用途。銀行、學校等很多機構需要留存申請人的身份證複印件，在提供身份證複印件時，要在含有身份信息區域寫明用途和日期，複印完成後要清除複印機緩存。

不在微博、微信等社交網路中透露個人信息。使用微博、微信、貼吧、論壇、臉書、Instagram等社交網路時，要盡量避免說出或者標註自己姓名、地址、電話等真實身份信息。

免費WiFi易泄露隱私。通過手機、電腦等電子設備連接公共場所WiFi（無線網路）易導致用戶名和密碼被盜，為了個人信息安全，最好把WiFi連接設置為手動。

采寫：南都記者 李玲

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！