国产自产精品,亚洲尹人九九大色香蕉网站,亚洲日本中文字幕在线,特级毛片A级毛片免费播放100,色片视频在线点击进入观看,婷婷视频中文字幕一,精品色网

安卓APP被曝存在“應(yīng)用克隆”風險

2018-01-10 10:34:25 來源:北京青年報
原標題:安卓APP被曝存在“應(yīng)用克隆”風險

  騰訊安全玄武實驗室負責人于旸介紹漏洞修復情況 

  點擊一條手機短信,自己的手機應(yīng)用賬戶就被“克隆”到他人的手機中,對方還可以任意查看自己的賬戶信息,并可進行消費——昨天,騰訊玄武安全研究團隊發(fā)布了這一存在在國內(nèi)許多主流安卓APP中的手機漏洞,并給出了修復方案。

  點擊一條手機短信,自己的手機支付寶賬戶就被“克隆”到他人的手機中,對方還可以任意查看自己的賬戶信息,并可進行消費——昨天,騰訊玄武安全研究團隊發(fā)布了這一存在在國內(nèi)許多主流安卓APP中的手機漏洞,并給出了修復方案。目前,支付寶已在一個月前對App進行了升級,修復了這一安卓漏洞。國家互聯(lián)網(wǎng)應(yīng)急中心表示,已向涉及到的企業(yè)發(fā)送安全通報,目前仍有10家廠商未能反饋修復情況。

  APP被克隆威脅用戶信息安全

  在他人的手機上克隆一份APP,克隆者可以輕松獲取賬戶權(quán)限,盜取用戶賬號及資金等,這聽上去很可怕,但這樣的“應(yīng)用克隆”攻擊模型已經(jīng)存在,且對大多數(shù)移動應(yīng)用都有效。騰訊安全玄武實驗室表示,其此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP,如支付寶、餓了么等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內(nèi)所有安卓用戶。

  騰訊安全玄武實驗室負責人于旸表示,該攻擊模型是基于移動應(yīng)用的一些基本設(shè)計特點導致的,所以幾乎所有移動應(yīng)用都適用該攻擊模型。玄武實驗室以某APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上,利用其自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信,用戶一旦點擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶信息,并可直接操作該應(yīng)用,竊取隱私信息,盜取賬號及資金等?;谠摴裟P?,騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞,比例超過10%。不過,于旸表示,本次玄武實驗室發(fā)現(xiàn)的“應(yīng)用克隆”漏洞只針對安卓系統(tǒng)。

  CNVD:仍有10家廠商未能反饋

  國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長李佳表示,國家信息安全漏洞共享平臺(CNVD)在獲取到漏洞的相關(guān)情況之后:首先,安排了相關(guān)的技術(shù)人員對漏洞進行了驗證,并且為漏洞分配了漏洞編號CNE201736682;同時,CNVD向這次漏洞涉及到的27家APP相關(guān)企業(yè),發(fā)送了點對點的漏洞安全通報,同時向各個企業(yè)提供了漏洞的詳細情況以及建立了修復方案。

  李佳稱,在發(fā)出通報后不久,CNVD就收到了包括支付寶、百度外賣、國美等等大部分APP的主動反饋,表示他們已經(jīng)在修復漏洞進程中,目前一些APP已經(jīng)修復。不過截止到前天,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了么、聚美優(yōu)品、豆瓣、易車、鐵友火車票、微店等。李佳希望,上述廠商切實加強網(wǎng)絡(luò)安全運營能力,落實網(wǎng)絡(luò)安全法規(guī)的主體責任要求;當本公司的產(chǎn)品出現(xiàn)了重大的安全漏洞或者隱患的時候能夠第一時間進行響應(yīng)和解決修復,能夠切實地維護和保障廣大用戶的權(quán)利。

  騰訊共享修復方案提供技術(shù)援助

  于旸透露,在發(fā)現(xiàn)這些漏洞后,騰訊安全玄武實驗室在去年12月通過CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)向廠商通報了相關(guān)信息,并給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計劃”協(xié)助處理。

  于旸表示,由于對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應(yīng)用市場進行檢測,所以希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞,并進行修復。對用戶量大、涉及重要數(shù)據(jù)的APP,玄武實驗室也愿意提供相關(guān)技術(shù)援助。

  新聞內(nèi)存

  騰訊七大安全實驗室建立安全矩陣

  玄武實驗室是騰訊旗下聚焦各類型漏洞的挖掘、利用、檢測、防御的一支團隊,除此之外,騰訊還有六大安全實驗室,分別是科恩實驗室、湛瀘實驗室、云鼎實驗室、反病毒實驗室、反詐騙實驗室和移動安全實驗室。每個實驗室的研究方向都不盡相同,這七大實驗室共同構(gòu)建了騰訊互聯(lián)網(wǎng)安全實驗室矩陣,專注安全技術(shù)研究及安全攻防體系搭建,安全防范和保障范圍覆蓋了連接、系統(tǒng)、應(yīng)用、信息、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。

  2016年,騰訊安全聯(lián)合實驗室科恩實驗室憑借“全球首次遠程無物理接觸方式入侵特斯拉汽車”研究成果獲得特斯拉官方最高獎勵及榮譽。同時,在反詐騙領(lǐng)域,騰訊安全反詐騙實驗室與公安部、運營商等共同推出了“守護者計劃”,利用“反詐騙智慧大腦”等新技術(shù)武器,精準打擊詐騙黑產(chǎn),保障用戶資金安全。

  文/記者 溫婧

返回頂部