baidu地图 百度手机助手 美图T8

资讯站

您的位置:91门户 > 安卓 > 正文

腾讯安全玄武实验室:国内主流安卓app存在“应用克隆”风险

凤凰网科技讯(作者/花子健)1月9日消息,腾讯安全玄武实验室将“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎...

凤凰网科技讯(作者/花子健)1月9日消息,腾讯安全玄武实验室将“应用克隆”这一移动攻击威胁模型正式对外披露。

腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。在发现这些漏洞之后,腾讯安全玄武实验室通过CNCERT向厂商报告了相关漏洞,并提供了修复方法。

于旸介绍,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被app厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。这一漏洞利用方式一旦被不法分子利用,就可以轻松克隆获取用户账户权限,盗取用户账号及资金等。

玄武实验室以支付宝app为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝app自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。

据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的app,如支付宝、携程、饿了么等多个主流app均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的app厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的app,玄武实验室也会提供相关技术援助。

来源:tech.ifeng.com
信息也是生产力,精简才是硬道理!情报猎手带你突破信息迷雾,每日独家为您锁定最有价值的IT行业新鲜事。打开微信,扫描关注,赢取每月粉丝奖!

热门话题

  • 苹果发布会iPhone X
    苹果发布会 iPhone X

    北京时间9月13日凌晨1点苹果公司召开秋季新品发布会,苹果正式发布了iPhone 8/8 Plus以及万众瞩目的iPhone X。

  • 小米MIX2小米发布会
    小米发布会 MIX2发布会

    9月11日,小米MIX2正式发布。引领全面屏新时代。本次发布会小米还带来了小米Note 3、15.6英寸全新笔记本等产品,我们拭目以待。

  • 三星Note8三星发布会
    三星发布会 Note8发布会

    三星于北京时间8月23日晚间11点召开发布会,正式发布旗下的全新旗舰手机-三星Galaxy Note 8。将于九月中旬正式发售。

  • 魅族Pro 7魅族发布会
    魅族发布会 Pro 7发布会

    魅族科技于8月23日下午15点在北京演艺中心召开发布会,发布会上正式发布魅蓝旗下的首部搭载高通的新机魅蓝Note 6。

苹果发布会 百度手机卫士 百度手机助手