快讯
《超市尖叫购物车》E3试玩报告充满尖叫的游戏
25分钟前
育碧新游《冠军冲刺》E3试玩报告打球打人两不误
32分钟前
《孤岛先锋》全新英雄“赏金猎人”全解析
32分钟前
翻山涉水都不怕,20万元级硬派SUV推荐这几款
35分钟前
天刀插画大赛结果揭晓7.1免费领纪念外装
39分钟前
发改委:水果价格涨势不可持续将比较快回落到正常区间
46分钟前
新一代宝马3系究竟市面预售情况如何?我已经都替你打听好了
48分钟前
《雪鹰领主》手游首度亮相E3东方玄幻老外盛赞
50分钟前
《圣女战旗》人物介绍战火中成长的人们
54分钟前
《神武3》电脑版暑期“夏日奇谭”6·28来袭
56分钟前
1.9亿90后已成消费支柱
1小时前
起亚翻身了!一口气上5款新车,SUV高颜值,降价超万元
1小时前
《超惑星战记零》预计未来半年登陆更多PC发行平台
1小时前
《全面战争:三国》人物介绍(8)
1小时前
发改委回应水果价格上涨:涨势不可持续
1小时前
新一代创酷:天生的运动基因|侃车·约驾
1小时前
1年30亿条隐私被窃取!赶紧用这功能保护隐私,杜绝推销电话!
1小时前
《荒野大镖客救赎2》原声集7月12日推出预购可下载两首单曲
1小时前
汽车长成今天这个样子不只是设计师的锅
1小时前
两款优惠惊人的合资B级车,哪款更适合家用?
1小时前
心动到准备入手但又犹豫了,国产宝马三厢120i为啥令人那么纠结?
1小时前
发改委:今年年底前取消外资准入负面清单外限制性规定
1小时前
育碧公布《看门狗:军团》游戏地图大小细节信息
1小时前
江淮全新轿车设计图曝光有望第四季度上市
1小时前
车子跑得快不快,关键还是看这
1小时前
势|2019YFBF9正式启动发掘原创女装设计力量
1小时前
发改委:落实好财税和金融政策完善科创板相关制度安排
1小时前
“越野版GK5”来了!搭载思域同款动力,空间大到堪比五菱宏光
1小时前
国产独游《彩虹坠入》今年下半年将推主机版
1小时前
E32019巨人孵化展台巡礼五款游戏大放异彩
1小时前

腾讯安全玄武实验室发现“应用克隆”漏洞,涉及国内10%的主流安卓应用

费倩文 2018-01-09 21:26:45

DoNews1月9日消息 (记者 费倩文)1月9日,腾讯安全玄武实验室正式对外披露Android APP里普遍存在的“应用克隆”这一移动攻击威胁模型。受此威胁模型影响,支付宝、携程、饿了么等近十分之一的主流APP都有信息、账户被盗的风险。据了解,“应用克隆”漏洞仅对安卓系统有效,iOS系统不受影响。

20180109_201819_14.jpg

腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。

玄武实验室以支付宝app为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝app自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。

据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的app,如支付宝、携程、饿了么等多个主流app均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

国家互联网应急中心网络安全处副处长李佳表示,在获取到漏洞的相关情况之后,中心安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的APP发送了漏洞安全通报,提供漏洞详细情况及建立了修复方案。目前有的APP已经有修复了,有的还没有修复。

考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的app厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的app,玄武实验室也会提供相关技术援助。(完)


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......