安卓APP被曝存在“应用克隆”风险

2018-01-12 08:53:45|来源:北京青年报|编辑:朱安娜 |责编:韩俣

腾讯安全玄武实验室负责人于旸介绍漏洞修复情况

  点击一条手机短信,自己的手机应用账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。

  点击一条手机短信,自己的手机支付宝账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。目前,支付宝已在一个月前对App进行了升级,修复了这一安卓漏洞。国家互联网应急中心表示,已向涉及到的企业发送安全通报,目前仍有10家厂商未能反馈修复情况。

  APP被克隆威胁用户信息安全

  在他人的手机上克隆一份APP,克隆者可以轻松获取账户权限,盗取用户账号及资金等,这听上去很可怕,但这样的“应用克隆”攻击模型已经存在,且对大多数移动应用都有效。腾讯安全玄武实验室表示,其此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

  腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。玄武实验室以某APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用其自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户信息,并可直接操作该应用,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。不过,于旸表示,本次玄武实验室发现的“应用克隆”漏洞只针对安卓系统。

  CNVD:仍有10家厂商未能反馈

  国家互联网应急中心网络安全处副处长李佳表示,国家信息安全漏洞共享平台(CNVD)在获取到漏洞的相关情况之后:首先,安排了相关的技术人员对漏洞进行了验证,并且为漏洞分配了漏洞编号CNE201736682;同时,CNVD向这次漏洞涉及到的27家APP相关企业,发送了点对点的漏洞安全通报,同时向各个企业提供了漏洞的详细情况以及建立了修复方案。

  李佳称,在发出通报后不久,CNVD就收到了包括支付宝、百度外卖、国美等等大部分APP的主动反馈,表示他们已经在修复漏洞进程中,目前一些APP已经修复。不过截止到前天,尚有10家厂商仍未反馈漏洞情况,其中包括:饿了么、聚美优品、豆瓣、易车、铁友火车票、微店等。李佳希望,上述厂商切实加强网络安全运营能力,落实网络安全法规的主体责任要求;当本公司的产品出现了重大的安全漏洞或者隐患的时候能够第一时间进行响应和解决修复,能够切实地维护和保障广大用户的权利。

  腾讯共享修复方案提供技术援助

  于旸透露,在发现这些漏洞后,腾讯安全玄武实验室在去年12月通过CNCERT(国家互联网应急中心)向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。另外,玄武实验室将提供“玄武支援计划”协助处理。

  于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室也愿意提供相关技术援助。

  新闻内存

  腾讯七大安全实验室建立安全矩阵

  玄武实验室是腾讯旗下聚焦各类型漏洞的挖掘、利用、检测、防御的一支团队,除此之外,腾讯还有六大安全实验室,分别是科恩实验室、湛泸实验室、云鼎实验室、反病毒实验室、反诈骗实验室和移动安全实验室。每个实验室的研究方向都不尽相同,这七大实验室共同构建了腾讯互联网安全实验室矩阵,专注安全技术研究及安全攻防体系搭建,安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。

  2016年,腾讯安全联合实验室科恩实验室凭借“全球首次远程无物理接触方式入侵特斯拉汽车”研究成果获得特斯拉官方最高奖励及荣誉。同时,在反诈骗领域,腾讯安全反诈骗实验室与公安部、运营商等共同推出了“守护者计划”,利用“反诈骗智慧大脑”等新技术武器,精准打击诈骗黑产,保障用户资金安全。(温婧)

分享到:

国际在线版权与信息产品内容销售的声明:

1、“国际在线”由中国国际广播电台主办。经中国国际广播电台授权,国广国际在线网络(北京)有限公司独家负责“国际在线”网站的市场经营。

2、凡本网注明“来源:国际在线”的所有信息内容,未经书面授权,任何单位及个人不得转载、摘编、复制或利用其他方式使用。

3、“国际在线”自有版权信息(包括但不限于“国际在线专稿”、“国际在线消息”、“国际在线XX消息”“国际在线报道”“国际在线XX报道”等信息内容,但明确标注为第三方版权的内容除外)均由国广国际在线网络(北京)有限公司统一管理和销售。

已取得国广国际在线网络(北京)有限公司使用授权的被授权人,应严格在授权范围内使用,不得超范围使用,使用时应注明“来源:国际在线”。违反上述声明者,本网将追究其相关法律责任。

任何未与国广国际在线网络(北京)有限公司签订相关协议或未取得授权书的公司、媒体、网站和个人均无权销售、使用“国际在线”网站的自有版权信息产品。否则,国广国际在线网络(北京)有限公司将采取法律手段维护合法权益,因此产生的损失及为此所花费的全部费用(包括但不限于律师费、诉讼费、差旅费、公证费等)全部由侵权方承担。

4、凡本网注明“来源:XXX(非国际在线)”的作品,均转载自其它媒体,转载目的在于传递更多信息,丰富网络文化,此类稿件并不代表本网赞同其观点和对其真实性负责。

5、如因作品内容、版权和其他问题需要与本网联系的,请在该事由发生之日起30日内进行。