安卓APP被曝存在“應用克隆”風險

2018-01-12 08:53:45|來源:北京青年報|編輯:朱安娜 |責編:韓俁

騰訊安全玄武實驗室負責人于旸介紹漏洞修復情況

  點擊一條手機短信,自己的手機應用賬戶就被“克隆”到他人的手機中,對方還可以任意查看自己的賬戶資訊,並可進行消費——昨天,騰訊玄武安全研究團隊發佈了這一存在在國內許多主流安卓APP中的手機漏洞,並給出了修復方案。

  點擊一條手機短信,自己的手機支付寶賬戶就被“克隆”到他人的手機中,對方還可以任意查看自己的賬戶資訊,並可進行消費——昨天,騰訊玄武安全研究團隊發佈了這一存在在國內許多主流安卓APP中的手機漏洞,並給出了修復方案。目前,支付寶已在一個月前對App進行了升級,修復了這一安卓漏洞。國家網際網路應急中心表示,已向涉及到的企業發送安全通報,目前仍有10家廠商未能反饋修復情況。

  APP被克隆威脅用戶資訊安全

  在他人的手機上克隆一份APP,克隆者可以輕鬆獲取賬戶許可權,盜取用戶賬號及資金等,這聽上去很可怕,但這樣的“應用克隆”攻擊模型已經存在,且對大多數移動應用都有效。騰訊安全玄武實驗室表示,其此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。

  騰訊安全玄武實驗室負責人于旸表示,該攻擊模型是基於移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。玄武實驗室以某APP為例展示了“應用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上,利用其自身的漏洞,“攻擊者”向用戶發送一條包含惡意連結的手機短信,用戶一旦點擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然後“攻擊者”就可以任意查看用戶資訊,並可直接操作該應用,竊取隱私資訊,盜取賬號及資金等。基於該攻擊模型,騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應用中發現27個存在漏洞,比例超過10%。不過,于旸表示,本次玄武實驗室發現的“應用克隆”漏洞只針對安卓系統。

  CNVD:仍有10家廠商未能反饋

  國家網際網路應急中心網路安全處副處長李佳表示,國家資訊安全漏洞共用平臺(CNVD)在獲取到漏洞的相關情況之後:首先,安排了相關的技術人員對漏洞進行了驗證,並且為漏洞分配了漏洞編號CNE201736682;同時,CNVD向這次漏洞涉及到的27家APP相關企業,發送了點對點的漏洞安全通報,同時向各個企業提供了漏洞的詳細情況以及建立了修復方案。

  李佳稱,在發出通報後不久,CNVD就收到了包括支付寶、百度外賣、國美等等大部分APP的主動反饋,表示他們已經在修復漏洞進程中,目前一些APP已經修復。不過截止到前天,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了麼、聚美優品、豆瓣、易車、鐵友火車票、微店等。李佳希望,上述廠商切實加強網路安全運營能力,落實網路安全法規的主體責任要求;當本公司的產品出現了重大的安全漏洞或者隱患的時候能夠第一時間進行響應和解決修復,能夠切實地維護和保障廣大用戶的權利。

  騰訊共用修復方案提供技術援助

  于旸透露,在發現這些漏洞後,騰訊安全玄武實驗室在去年12月通過CNCERT(國家網際網路應急中心)向廠商通報了相關資訊,並給出了修復方案,避免該漏洞被不法分子利用。另外,玄武實驗室將提供“玄武支援計劃”協助處理。

  于旸表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對用戶量大、涉及重要數據的APP,玄武實驗室也願意提供相關技術援助。

  新聞記憶體

  騰訊七大安全實驗室建立安全矩陣

  玄武實驗室是騰訊旗下聚焦各類型漏洞的挖掘、利用、檢測、防禦的一支團隊,除此之外,騰訊還有六大安全實驗室,分別是科恩實驗室、湛瀘實驗室、雲鼎實驗室、反病毒實驗室、反詐騙實驗室和移動安全實驗室。每個實驗室的研究方向都不盡相同,這七大實驗室共同構建了騰訊網際網路安全實驗室矩陣,專注安全技術研究及安全攻防體系搭建,安全防範和保障範圍覆蓋了連接、系統、應用、資訊、設備、雲六大網際網路關鍵領域。

  2016年,騰訊安全聯合實驗室科恩實驗室憑藉“全球首次遠端無物理接觸方式入侵特斯拉汽車”研究成果獲得特斯拉官方最高獎勵及榮譽。同時,在反詐騙領域,騰訊安全反詐騙實驗室與公安部、運營商等共同推出了“守護者計劃”,利用“反詐騙智慧大腦”等新技術武器,精準打擊詐騙黑產,保障用戶資金安全。(溫婧)

分享到:

國際線上版權與資訊產品內容銷售的聲明:

1、“國際線上”由中國國際廣播電臺主辦。經中國國際廣播電臺授權,國廣國際線上網路(北京)有限公司獨家負責“國際線上”網站的市場經營。

2、凡本網註明“來源:國際線上”的所有資訊內容,未經書面授權,任何單位及個人不得轉載、摘編、複製或利用其他方式使用。

3、“國際線上”自有版權資訊(包括但不限于“國際線上專稿”、“國際線上消息”、“國際線上XX消息”“國際線上報道”“國際線上XX報道”等資訊內容,但明確標注為第三方版權的內容除外)均由國廣國際線上網路(北京)有限公司統一管理和銷售。

已取得國廣國際線上網路(北京)有限公司使用授權的被授權人,應嚴格在授權範圍內使用,不得超範圍使用,使用時應註明“來源:國際線上”。違反上述聲明者,本網將追究其相關法律責任。

任何未與國廣國際線上網路(北京)有限公司簽訂相關協議或未取得授權書的公司、媒體、網站和個每人平均無權銷售、使用“國際線上”網站的自有版權資訊產品。否則,國廣國際線上網路(北京)有限公司將採取法律手段維護合法權益,因此產生的損失及為此所花費的全部費用(包括但不限于律師費、訴訟費、差旅費、公證費等)全部由侵權方承擔。

4、凡本網註明“來源:XXX(非國際線上)”的作品,均轉載自其他媒體,轉載目的在於傳遞更多資訊,豐富網路文化,此類稿件並不代表本網贊同其觀點和對其真實性負責。

5、如因作品內容、版權和其他問題需要與本網聯繫的,請在該事由發生之日起30日內進行。