快讯
智能网联成车市突围新窗口,自主品牌车联网渗透率已达38%
51分钟前
广发证券戴康:重组、分拆制度创新加持
59分钟前
南非初创公司研监控/追踪系统出租车车主可远程让车停下
1小时前
青农商行上半年净利打平信用减值损失25亿本金涉诉
1小时前
很多人都说东南汽车快不行了,为此我们专门去了福州一趟……
1小时前
加仓医药股科技股券商自营二季度“换马”
1小时前
本田开挂,拿下全球上半年最畅销,这次是买发动机送飞机
1小时前
松霖科技周华松:抢占家居细分行业“智造”制高点
1小时前
中国太保“中考”净利翻番国资股东上半年增持近6000万股
2小时前
控股股东协议转让8.13%股权广誉远引入山西创投
2小时前
李大霄:A股迎一连串重磅利好修改证券法等三大利好令人振奋
2小时前
北汽银翔再辟谣但重组之路依然成谜
2小时前
低空飞行海外试驾林肯飞行家3.0T/PHEV
2小时前
车商谈|汽车经销商如何提升网销效果?
2小时前
东风启辰D60EV将于9月2日正式上市
2小时前
宝马M8GranCoupe将于洛杉矶车展发布
2小时前
超800ps新科尔维特Z06或2021年底发布
2小时前
造型凶悍奥迪RSQ8无伪装谍照曝光
2小时前
日媒:丰田TjCruiser概念车或将量产
2小时前
上半年亏损1.78亿海马汽车发布半年报
2小时前
理想ONE核心零部件配套供应商一览
2小时前
普京座驾民用版将进军中国市场基本版是这个价
2小时前
奇瑞回归高端,天时/地利/人和星途但求一战
2小时前
这三款家用SUV百公里油耗不到7L不再愁油价了
2小时前
没气囊,没ESP,手摇车窗,乞丐版的车究竟有多可怜?
3小时前
机构密集调研医药行业
3小时前
行业景气度持续向好中高端白酒“挤压式”增长抢食市场份额
3小时前
A股猛“喝酒”后“吃药”行情也来了
3小时前
两融余额创新高科技“钱景”获看好
3小时前
半年报折射5G产业链蓄势待发
4小时前

腾讯安全玄武实验室发现“应用克隆”漏洞,涉及国内10%的主流安卓应用

费倩文 2018-01-09 21:26:45

DoNews1月9日消息 (记者 费倩文)1月9日,腾讯安全玄武实验室正式对外披露Android APP里普遍存在的“应用克隆”这一移动攻击威胁模型。受此威胁模型影响,支付宝、携程、饿了么等近十分之一的主流APP都有信息、账户被盗的风险。据了解,“应用克隆”漏洞仅对安卓系统有效,iOS系统不受影响。

20180109_201819_14.jpg

腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。

玄武实验室以支付宝app为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝app自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。

据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的app,如支付宝、携程、饿了么等多个主流app均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

国家互联网应急中心网络安全处副处长李佳表示,在获取到漏洞的相关情况之后,中心安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的APP发送了漏洞安全通报,提供漏洞详细情况及建立了修复方案。目前有的APP已经有修复了,有的还没有修复。

考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的app厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的app,玄武实验室也会提供相关技术援助。(完)


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......