精品日韩欧美一区二区三区,伊人婷婷色,亚洲欧美日韩中另类在线,国产成人精品一区二三区2022,日韩欧美国产亚洲制服,国产精品玖玖玖影院,fc2ppv在线观看

安卓APP被曝存在“應用克隆”風險

2018-01-10 10:34:25 來源:北京青年報
原標題:安卓APP被曝存在“應用克隆”風險

  騰訊安全玄武實驗室負責人于旸介紹漏洞修復情況 

  點擊一條手機短信,自己的手機應用賬戶就被“克隆”到他人的手機中,對方還可以任意查看自己的賬戶信息,并可進行消費——昨天,騰訊玄武安全研究團隊發(fā)布了這一存在在國內(nèi)許多主流安卓APP中的手機漏洞,并給出了修復方案。

  點擊一條手機短信,自己的手機支付寶賬戶就被“克隆”到他人的手機中,對方還可以任意查看自己的賬戶信息,并可進行消費——昨天,騰訊玄武安全研究團隊發(fā)布了這一存在在國內(nèi)許多主流安卓APP中的手機漏洞,并給出了修復方案。目前,支付寶已在一個月前對App進行了升級,修復了這一安卓漏洞。國家互聯(lián)網(wǎng)應急中心表示,已向涉及到的企業(yè)發(fā)送安全通報,目前仍有10家廠商未能反饋修復情況。

  APP被克隆威脅用戶信息安全

  在他人的手機上克隆一份APP,克隆者可以輕松獲取賬戶權限,盜取用戶賬號及資金等,這聽上去很可怕,但這樣的“應用克隆”攻擊模型已經(jīng)存在,且對大多數(shù)移動應用都有效。騰訊安全玄武實驗室表示,其此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應用市場十分之一的APP,如支付寶、餓了么等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內(nèi)所有安卓用戶。

  騰訊安全玄武實驗室負責人于旸表示,該攻擊模型是基于移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。玄武實驗室以某APP為例展示了“應用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上,利用其自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信,用戶一旦點擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶信息,并可直接操作該應用,竊取隱私信息,盜取賬號及資金等?;谠摴裟P停v訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應用中發(fā)現(xiàn)27個存在漏洞,比例超過10%。不過,于旸表示,本次玄武實驗室發(fā)現(xiàn)的“應用克隆”漏洞只針對安卓系統(tǒng)。

  CNVD:仍有10家廠商未能反饋

  國家互聯(lián)網(wǎng)應急中心網(wǎng)絡安全處副處長李佳表示,國家信息安全漏洞共享平臺(CNVD)在獲取到漏洞的相關情況之后:首先,安排了相關的技術人員對漏洞進行了驗證,并且為漏洞分配了漏洞編號CNE201736682;同時,CNVD向這次漏洞涉及到的27家APP相關企業(yè),發(fā)送了點對點的漏洞安全通報,同時向各個企業(yè)提供了漏洞的詳細情況以及建立了修復方案。

  李佳稱,在發(fā)出通報后不久,CNVD就收到了包括支付寶、百度外賣、國美等等大部分APP的主動反饋,表示他們已經(jīng)在修復漏洞進程中,目前一些APP已經(jīng)修復。不過截止到前天,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了么、聚美優(yōu)品、豆瓣、易車、鐵友火車票、微店等。李佳希望,上述廠商切實加強網(wǎng)絡安全運營能力,落實網(wǎng)絡安全法規(guī)的主體責任要求;當本公司的產(chǎn)品出現(xiàn)了重大的安全漏洞或者隱患的時候能夠第一時間進行響應和解決修復,能夠切實地維護和保障廣大用戶的權利。

  騰訊共享修復方案提供技術援助

  于旸透露,在發(fā)現(xiàn)這些漏洞后,騰訊安全玄武實驗室在去年12月通過CNCERT(國家互聯(lián)網(wǎng)應急中心)向廠商通報了相關信息,并給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計劃”協(xié)助處理。

  于旸表示,由于對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注并自查產(chǎn)品是否仍存在相應漏洞,并進行修復。對用戶量大、涉及重要數(shù)據(jù)的APP,玄武實驗室也愿意提供相關技術援助。

  新聞內(nèi)存

  騰訊七大安全實驗室建立安全矩陣

  玄武實驗室是騰訊旗下聚焦各類型漏洞的挖掘、利用、檢測、防御的一支團隊,除此之外,騰訊還有六大安全實驗室,分別是科恩實驗室、湛瀘實驗室、云鼎實驗室、反病毒實驗室、反詐騙實驗室和移動安全實驗室。每個實驗室的研究方向都不盡相同,這七大實驗室共同構建了騰訊互聯(lián)網(wǎng)安全實驗室矩陣,專注安全技術研究及安全攻防體系搭建,安全防范和保障范圍覆蓋了連接、系統(tǒng)、應用、信息、設備、云六大互聯(lián)網(wǎng)關鍵領域。

  2016年,騰訊安全聯(lián)合實驗室科恩實驗室憑借“全球首次遠程無物理接觸方式入侵特斯拉汽車”研究成果獲得特斯拉官方最高獎勵及榮譽。同時,在反詐騙領域,騰訊安全反詐騙實驗室與公安部、運營商等共同推出了“守護者計劃”,利用“反詐騙智慧大腦”等新技術武器,精準打擊詐騙黑產(chǎn),保障用戶資金安全。

  文/記者 溫婧

返回頂部