騰訊安全玄武實驗室負(fù)責(zé)人于旸介紹漏洞修復(fù)情況
點擊一條手機(jī)短信��,自己的手機(jī)應(yīng)用賬戶就被“克隆”到他人的手機(jī)中,對方還可以任意查看自己的賬戶信息��,并可進(jìn)行消費——昨天�,騰訊玄武安全研究團(tuán)隊發(fā)布了這一存在在國內(nèi)許多主流安卓APP中的手機(jī)漏洞,并給出了修復(fù)方案���。
點擊一條手機(jī)短信����,自己的手機(jī)支付寶賬戶就被“克隆”到他人的手機(jī)中����,對方還可以任意查看自己的賬戶信息�����,并可進(jìn)行消費——昨天����,騰訊玄武安全研究團(tuán)隊發(fā)布了這一存在在國內(nèi)許多主流安卓APP中的手機(jī)漏洞,并給出了修復(fù)方案�����。目前,支付寶已在一個月前對App進(jìn)行了升級����,修復(fù)了這一安卓漏洞。國家互聯(lián)網(wǎng)應(yīng)急中心表示�����,已向涉及到的企業(yè)發(fā)送安全通報��,目前仍有10家廠商未能反饋修復(fù)情況�����。
APP被克隆威脅用戶信息安全
在他人的手機(jī)上克隆一份APP��,克隆者可以輕松獲取賬戶權(quán)限�,盜取用戶賬號及資金等,這聽上去很可怕�����,但這樣的“應(yīng)用克隆”攻擊模型已經(jīng)存在��,且對大多數(shù)移動應(yīng)用都有效���。騰訊安全玄武實驗室表示�,其此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP,如支付寶�、餓了么等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內(nèi)所有安卓用戶����。
騰訊安全玄武實驗室負(fù)責(zé)人于旸表示,該攻擊模型是基于移動應(yīng)用的一些基本設(shè)計特點導(dǎo)致的����,所以幾乎所有移動應(yīng)用都適用該攻擊模型。玄武實驗室以某APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機(jī)上���,利用其自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信�����,用戶一旦點擊�����,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中�,然后“攻擊者”就可以任意查看用戶信息�,并可直接操作該應(yīng)用��,竊取隱私信息��,盜取賬號及資金等����。基于該攻擊模型����,騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進(jìn)行檢查,在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞���,比例超過10%���。不過,于旸表示����,本次玄武實驗室發(fā)現(xiàn)的“應(yīng)用克隆”漏洞只針對安卓系統(tǒng)。
CNVD:仍有10家廠商未能反饋
國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長李佳表示�����,國家信息安全漏洞共享平臺(CNVD)在獲取到漏洞的相關(guān)情況之后:首先,安排了相關(guān)的技術(shù)人員對漏洞進(jìn)行了驗證����,并且為漏洞分配了漏洞編號CNE201736682;同時,CNVD向這次漏洞涉及到的27家APP相關(guān)企業(yè)���,發(fā)送了點對點的漏洞安全通報��,同時向各個企業(yè)提供了漏洞的詳細(xì)情況以及建立了修復(fù)方案���。
李佳稱,在發(fā)出通報后不久�,CNVD就收到了包括支付寶、百度外賣����、國美等等大部分APP的主動反饋,表示他們已經(jīng)在修復(fù)漏洞進(jìn)程中�����,目前一些APP已經(jīng)修復(fù)�����。不過截止到前天����,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了么�、聚美優(yōu)品、豆瓣�����、易車��、鐵友火車票����、微店等。李佳希望����,上述廠商切實加強(qiáng)網(wǎng)絡(luò)安全運營能力,落實網(wǎng)絡(luò)安全法規(guī)的主體責(zé)任要求;當(dāng)本公司的產(chǎn)品出現(xiàn)了重大的安全漏洞或者隱患的時候能夠第一時間進(jìn)行響應(yīng)和解決修復(fù)�����,能夠切實地維護(hù)和保障廣大用戶的權(quán)利。
騰訊共享修復(fù)方案提供技術(shù)援助
于旸透露��,在發(fā)現(xiàn)這些漏洞后�,騰訊安全玄武實驗室在去年12月通過CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)向廠商通報了相關(guān)信息,并給出了修復(fù)方案�,避免該漏洞被不法分子利用。另外��,玄武實驗室將提供“玄武支援計劃”協(xié)助處理�����。
于旸表示����,由于對該漏洞的檢測無法自動化完成,必須人工分析���,玄武實驗室無法對整個安卓應(yīng)用市場進(jìn)行檢測�,所以希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞����,并進(jìn)行修復(fù)。對用戶量大��、涉及重要數(shù)據(jù)的APP���,玄武實驗室也愿意提供相關(guān)技術(shù)援助���。
(新媒體責(zé)編:wb001)
京公網(wǎng)安備 11010602130064號
