快讯
《尖塔奇兵》即将脱离Early Access 价格随之上调
36分钟前
演《霍元甲》徒弟走红,为了爱人判无期徒刑,他经历了什么?
37分钟前
戴姆勒斥巨资投入电动车量产 拟购200亿欧电池芯
40分钟前
2020考研:还没下定决心考中财吗?听一下学姐的故事吧!
40分钟前
PS美服11月游戏下载量排行:《荒野大镖客2》稳居第一
41分钟前
云南中医药大学首届“千金杯”中医方剂知识竞赛落幕
41分钟前
特斯拉打造科幻工厂:组装工将佩戴AR眼镜
41分钟前
高善文:楼市库存降至新低 政府应考虑扩大供应
41分钟前
《银河护卫队》星爵宣布恋情 女友是“终结者”大女儿
41分钟前
CF40宏观医生|警惕楼市大幅降温
41分钟前
「重磅」微商面临洗牌 如何转型成“心病”?
42分钟前
主演鲜活 群演闪光 电视剧《大江大河》赢得青年观众
43分钟前
LOL:VG连选5位LDL新人选手入队,Loong归队任主教练,你期待吗?
43分钟前
Switch《王者荣耀》下载量破百万 美国玩家贡献颇大
44分钟前
百川汇海成就时代 改革开放同龄人、《大江大河》编剧唐尧一席谈
44分钟前
LOL:TOP官宣四名选手离队,玉米将在另一支LPL队伍继续出征S9
45分钟前
资助大学生创业10年 成功率超8成
46分钟前
落地成都,宝马将以中国为杠杆推进出行服务发展
46分钟前
【2019每月重点】非广州户籍孩子家长,要关注什么?
46分钟前
优信抱住淘宝大腿?或许二手车电商仍要不断试错
46分钟前
360金融CEO徐军:扮演好金融合作伙伴的科技助手
47分钟前
LOL:iG冠军庆典之月活动最后一天!免费皮肤头像经验卡都领了吗
47分钟前
福建多名女性上当!出国体检藏惊天骗局,狂骗中国人6.5亿元!
48分钟前
《荒野大镖客OL》上线氪金系统 遭玩家疯狂抵制
48分钟前
福建人,你将拥有一张电子健康卡!我省派发“互联网+医疗健康”大礼包
48分钟前
《炉石传说》石拉斯塔哈大乱斗竞技场大型攻略:盗贼篇
48分钟前
入门级缤智终于迎来涡轮时代,高配的1.5T发动机来自于思域
48分钟前
「30天打卡训练营」第十三讲:实现我国经济高质量发展
49分钟前
买错的保险,要不要退?
49分钟前
美SEC官员:少数代币项目或可获得SEC的无异议函,从而绕过证券注册要求
50分钟前

腾讯安全玄武实验室发现“应用克隆”漏洞,涉及国内10%的主流安卓应用

费倩文 2018-01-09 21:26:45

DoNews1月9日消息 (记者 费倩文)1月9日,腾讯安全玄武实验室正式对外披露Android APP里普遍存在的“应用克隆”这一移动攻击威胁模型。受此威胁模型影响,支付宝、携程、饿了么等近十分之一的主流APP都有信息、账户被盗的风险。据了解,“应用克隆”漏洞仅对安卓系统有效,iOS系统不受影响。

20180109_201819_14.jpg

腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。

玄武实验室以支付宝app为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝app自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。

据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的app,如支付宝、携程、饿了么等多个主流app均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

国家互联网应急中心网络安全处副处长李佳表示,在获取到漏洞的相关情况之后,中心安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的APP发送了漏洞安全通报,提供漏洞详细情况及建立了修复方案。目前有的APP已经有修复了,有的还没有修复。

考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的app厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的app,玄武实验室也会提供相关技术援助。(完)


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......