快讯
如何利用物联网改善用户体验?
46分钟前
物联网中的商业道德
46分钟前
《中国大数据发展指数报告(2018年)》全文出炉!(附下载)
57分钟前
从新零售到新制造:阿里巴巴经济体的新故事
1小时前
军情锐评 | 美国“神盾局”为何黑科技多?未来中国要与其掰手腕
1小时前
他是哈佛毕业的中国高材生,年薪百万美金的总裁,如今却在艾滋村“沦落”到一无所有!
1小时前
轻松一刻,每天都被自己萌醒!
1小时前
重磅新品 中银策略-稳富(封闭式)5年期产品上市
1小时前
电销行业要发展,就要依靠智能电销机器人!
1小时前
英雄联盟:出征S8,都是老玩家的记忆 她们都回归了!
1小时前
证监会:借助杠杆资金已成市场操纵新特点 需严厉打击
1小时前
网友吐槽最多的3家快递,速度慢不说还代签收,再也不想用第二次
1小时前
中国含金量最高的43所军校,毕业可包分配,考上就是铁饭碗!
1小时前
这5道小学入学考试题,难倒很多大学生,网友:怀疑自己的智商!
1小时前
国内一门“无人问津”的大学专业,毕业月薪过万,但很少人敢报!
1小时前
DNF:国庆称号带宝珠5700万?超时空升级后成为最大赢家!
1小时前
收视率造假调查:对赌协议下一部剧差价可达10倍
1小时前
DNF:站街偶遇剑帝,手拿一把15的格朗,昔日最经典的神器!
1小时前
科比:感谢大家对《The Punies》的支持
1小时前
小孩中考是学校的第一名,为什么上了高中连前十都进不了?
1小时前
全息摄影—第五代网络即将来临
1小时前
武汉大学、北邮、厦门大学哪个比较好?这是我听过最好的回答
1小时前
质量体系管理人员看到就赚到了
1小时前
今年近千点的调整行情是否已经告一段落?
1小时前
干货|全面解析人、机、料、法、环,请收好!
1小时前
质量管理的精髓,就这四个字!
1小时前
大学期间去当兵还能获得本科学历吗?退伍老兵告诉你!
1小时前
新消费的3个核心,究竟“新”在哪里?
1小时前
干活的被折腾死,干坏事的层出不穷一个没少,凭“报告”能管好市场吗?中基协要求10月底提交自查报告
1小时前
“二流本科”的应届毕业生该怎么找工作?985学姐告诉你!
1小时前

腾讯安全玄武实验室发现“应用克隆”漏洞,涉及国内10%的主流安卓应用

费倩文 2018-01-09 21:26:45

DoNews1月9日消息 (记者 费倩文)1月9日,腾讯安全玄武实验室正式对外披露Android APP里普遍存在的“应用克隆”这一移动攻击威胁模型。受此威胁模型影响,支付宝、携程、饿了么等近十分之一的主流APP都有信息、账户被盗的风险。据了解,“应用克隆”漏洞仅对安卓系统有效,iOS系统不受影响。

20180109_201819_14.jpg

腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。

玄武实验室以支付宝app为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝app自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。

据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的app,如支付宝、携程、饿了么等多个主流app均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

国家互联网应急中心网络安全处副处长李佳表示,在获取到漏洞的相关情况之后,中心安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的APP发送了漏洞安全通报,提供漏洞详细情况及建立了修复方案。目前有的APP已经有修复了,有的还没有修复。

考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的app厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的app,玄武实验室也会提供相关技术援助。(完)


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......