第013章 寄生兽漏洞

    中间人攻击能够窃取网页的账号密码，像‘当当’‘点起’‘宝淘’等。但是，黑客必须与被攻击者处于同一个网络中，一般只有免费的wifi热点才行，限制非常大。

    像‘宝淘’的支付密码，即使在同一个网络中，仍然是无法窃取的。

    中间人攻击与李教授现场演示攻击实验，窃取‘支付保’的账号密码和支付密码，难度根本就不再一个级别上。

    经过周杨两人以数百台手机作为平台隔空喊话，充分的激起在座学生争强好胜的斗志，没有人愿意承认自己比别人差，所有学生心底压着一口气，有着一股不服气的劲头，想着超越他们。

    所有学生以更加热烈的眼神盯着李教授，周杨明白李教授实验的难度，远远高于中间人工具，同样认真的听着他的讲解。

    “手机安全研究团队vulpeckertea提交了其发现的新型通用安全漏洞，它是‘寄生兽’，市面上超过千万个app都可能存在这一漏洞。”

    李教授话刚刚脱口，便是不出意外的在人头汹涌的教室中带起一阵惊呼的骚动。

    “vulpeckertea？寄生兽？”

    “安全漏洞，超过千万个app都存在寄生兽漏洞？”

    “岂不是说我们手机肯定存在寄生兽漏洞！”

    “怎么可能？”

    周围传来不可思议的惊呼声，一浪高过一浪，冲击着每个人的耳膜。

    周杨脸色凝重，说道：“李老师的意思，每部手机都存在寄生兽漏洞，那么……”

    没等他说完，王瑾接着道：“如果寄生兽漏洞能够被利用，造成的损失将是不可估量的。”

    李教授微笑着，眼神在教室中的学生身上扫过，等到他们的震惊声慢慢平息，问道：“寄生兽这一严重的安全漏洞是由两方面原因造成的，同学们，有谁知道是什么原因吗？”

    听着李教授的提问，在座学生皱眉思虑。

    周杨思索道：“市面上超过千万的app存在寄生兽漏洞，那么造成寄生兽漏洞的肯定一部分原因是app本身存在的问题；而app是在手机操作系统上运行的，又是基于操作系统开发的，因此，很大的原因应该是操作系统本身存在寄生兽漏洞，才会造成app存在寄生兽漏洞。”

    他皱眉沉吟，却也不敢确定他的猜测是否准确。

    李教授抛出问题后，并没有一直等待，而是略微在在座学生身上扫视一下，便直接解释道：“寄生兽漏洞，主要是因为系统本身存在没有对缓存进行强校验的缺陷造成的；另一方面，在系统缺陷的基础上，企业推出的app都存在涉及缓存信息安全的寄生兽漏洞。”

    “李老师，市面上到底哪些app存在寄生兽漏洞？”

    “是啊，它们都有什么特点？老师说说，我们好区分啊。”

    周杨竖起耳朵，同样关心这个问题，如果能够很好的辨别，那么手机不安装这些app,危害应该会减小吧。

    李教授粗略估算道：“市面上超过千万的app都在此范围，特别是常用的输入法类，地图类，浏览器类应用都在。”

    他顿了顿总结道：“只要是读取各类压缩文件的app都可能受到寄生兽漏洞的影响。”

    听着李教授的例子，人群中响起哗然，都有些坐不住了，目瞪口呆的盯着他。

    输入法，地图，浏览器。

    这简直完美覆盖每个手机，如果寄生兽漏洞被黑客利用，手机中的‘私密照片’‘私密短信’非常容易泄露，岂不是每天都有一场yan照门！

    李教授又抛出一个炸弹，说道：“而我报告的主题：窃取支付密码，就是利用寄生兽安全漏洞。接下来，我将现场演示。”

    他拿起两部手机，一部xii,另外一部是vol，说道：“首先，利用vol给xii发送一个二维码。”

    他一边说着，一边拿起vol手机，现场将一个二维码发送给xii手机。

    王瑾疑惑的问道：“为什么要发送二维码？”

    周杨摇摇头，同样不是很明白。

    李教授不等众人提问，主动解释道：“这个二维码就是我精心构建的。它是一个包含木马病毒的压缩包，然后，将压缩包的地址转换成二维码图片。”

    他略微一解释，在场的学生立马就明白他的意思。

    周杨惊叹道：“你看到的二维码图片，实际上是一个貌似图片的压缩文件，而压缩文件包含木马病毒，当你毫不犹豫点开的时候，木马就会利用app中存在的寄生兽漏洞，入侵到你的手机里了。”

    李教授接着演示，将xii手机拿起，点击利用vol发送来的二维码。

    “现在，我构建的木马已经入侵到xii手机中，那么它的危害是什么呢？”

    他一边操作，一边说道：“我的支付保中还有几百块钱余额，同学们可以看一下。”登陆帐户后，说着递给前排学生看了看。

    李教授拿起vol手机，手机在上面快速的操作一下。

    然后，将xii手机重新递给前排学生。

    “几百块余额不见了？”

    “什么，不见了，我看看。”

    当他们拿到xii手机后，看到李教授登陆的账号中，竟然发现支付保里的几百块余额不见了。

    “怎么回事？”

    xii手机在教室中快速的传了一圈，周杨同样看到余额已经变成了零，说道：“转眼间，支付保中的余额竟然就被转走了。”

    听到学生的惊奇声，李教授微笑道：“xii手机点击二维码，而二维码实际是一个木马的压缩文件，点击后，木马就成功入侵xii手机，当你访问支付保的时候，木马利用寄生兽漏洞，黑客可以在用户的手机中直接盗取帐号密码和支付密码。”

    他顿了顿，接道：“当我知道帐号密码和支付密码时，就可以轻易将帐号中的余额转走。”

    突然，周杨提问道：“目前，存在很多扫二维码，网购，报班，吃饭等的时候可以有优惠，而李老师将包含木马的压缩包做成的很大原因，是二维码更加利于木马的扩散。”

    李教授点头道：“不错，你的理解很正确。”

    “这，就是顶级黑客吗？”周杨的心底，第一次有了清晰的黑客认识。

    同样的……

    周杨，对于顶级的黑客，心底也有了渴望。

    “如果有一天，我也能够挖掘安全漏洞，并针对漏洞构建精细的木马攻击。”想到那一幕，周杨就感到自己体内的热血沸腾到了极限，那是一种极度激动的状态。

    这一刻……

    周杨知道了自己将来的道路。

    追求颠覆，黑客的颠覆。

    而不是在同一网络下玩中间人攻击，那简直就是对一个顶级黑客的侮辱。