首页 >> 正文

安卓APP被曝存“应用克隆”风险 腾讯提供援救行动
2018-01-10 作者: 记者 侯云龙 北京报道 来源: 经济参考网

   1月9日,“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404实验室,在联合召开的技术研究成果发布会上公布并展示了这一重大研究成果。

  腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。在发现这些漏洞之后,腾讯安全玄武实验室通过CNCERT向厂商报告了相关漏洞,并提供了修复方法。但考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过新闻发布会希望更多移动应用开发商了解该问题并进行自查。同时,玄武实验室将提供“玄武支援计划”协助处理。同时于旸还指出,移动互联网时代的安全形势更加复杂,只有真正用移动思维来思考移动安全,才能正确评估安全问题的风险。

  于旸介绍,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。这一漏洞利用方式一旦被不法分子利用,就可以轻松克隆获取用户账户权限,盗取用户账号及资金等。腾讯安全玄武实验室在研究过程中还发现,“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过,但显然在业界并未引起足够重视。

  在发布会现场,玄武实验室以某APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用某APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其应用账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,上述APP在最新版本中已修复了该漏洞。

  据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP。在发现这些漏洞后,腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。

  考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室也愿意提供相关技术援助。

  于旸在此次报告中还首次提出安全厂商要建立“移动安全新思维”,用移动思维来思考移动安全,来适应新的移动互联网安全发展趋势。在他看来,PC时代的安全思维对移动时代来说是不够的。移动设备有诸多不同于PC的特点,而移动应用也有诸多不同于传统软件的特点。在PC时代,最重要的是系统自身的安全。而移动设备系统自身的安全性比PC要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。而要保护好这些,光搞好系统自身安全是不够的。这使得移动时

凡标注来源为“经济参考报”或“经济参考网”的所有文字、图片、音视频稿件,及电子杂志等数字媒体产品,版权均属经济参考报社,未经经济参考报社书面授权,不得以任何形式刊载、播放。获取授权

“下乡资本”跑马圈地“烂尾”频出

“下乡资本”跑马圈地“烂尾”频出

工商资本进入乡村,大多是看到了国家农业政策的利好,一旦事与愿违,就容易打“退堂鼓”,一走了之。

·“控制权困局”:民企的“阿喀琉斯之踵”

家装“全流程陷阱”防不胜防

家装“全流程陷阱”防不胜防

由于家装消费专业性强、家装市场无序竞争等原因,消费者频频掉入家装陷阱,家装市场究竟有多少“不能说的秘密”?

·预付式消费失信商家能否“见光死”?