新闻热线:2313999    投稿邮箱:ybxww@126.com    QQ报料:1542715098    行风监督:0831-2333123

手机APP又曝重大安全漏洞:存“应用克隆”风险

核心提示: 点击一条手机短信,自己的手机应用账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。

1

腾讯安全玄武实验室负责人于旸介绍漏洞修复情况

点击一条手机短信,自己的手机应用账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。

点击一条手机短信,自己的手机支付宝账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。目前,支付宝已在一个月前对App进行了升级,修复了这一安卓漏洞。国家互联网应急中心表示,已向涉及到的企业发送安全通报,目前仍有10家厂商未能反馈修复情况。

APP被克隆威胁用户信息安全

在他人的手机上克隆一份APP,克隆者可以轻松获取账户权限,盗取用户账号及资金等,这听上去很可怕,但这样的“应用克隆”攻击模型已经存在,且对大多数移动应用都有效。腾讯安全玄武实验室表示,其此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。玄武实验室以某APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用其自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户信息,并可直接操作该应用,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。不过,于旸表示,本次玄武实验室发现的“应用克隆”漏洞只针对安卓系统。

CNVD:仍有10家厂商未能反馈

国家互联网应急中心网络安全处副处长李佳表示,国家信息安全漏洞共享平台(CNVD)在获取到漏洞的相关情况之后:首先,安排了相关的技术人员对漏洞进行了验证,并且为漏洞分配了漏洞编号CNE201736682;同时,CNVD向这次漏洞涉及到的27家APP相关企业,发送了点对点的漏洞安全通报,同时向各个企业提供了漏洞的详细情况以及建立了修复方案。

李佳称,在发出通报后不久,CNVD就收到了包括支付宝、百度外卖、国美等等大部分APP的主动反馈,表示他们已经在修复漏洞进程中,目前一些APP已经修复。不过截止到前天,尚有10家厂商仍未反馈漏洞情况,其中包括:饿了么、聚美优品、豆瓣、易车、铁友火车票、微店等。李佳希望,上述厂商切实加强网络安全运营能力,落实网络安全法规的主体责任要求;当本公司的产品出现了重大的安全漏洞或者隐患的时候能够第一时间进行响应和解决修复,能够切实地维护和保障广大用户的权利。

腾讯共享修复方案提供技术援助

于旸透露,在发现这些漏洞后,腾讯安全玄武实验室在去年12月通过CNCERT(国家互联网应急中心)向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。另外,玄武实验室将提供“玄武支援计划”协助处理。

于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室也愿意提供相关技术援助。(记者 温婧)

相关阅读
关键词: 油价上涨 调价
编辑:陈泓宇 责任编辑:周妍
  凡本网注明“来源:宜宾新闻网”和标有“宜宾新闻网”字样的所有作品,均为宜宾新闻网合法拥有版权或授权使用的作品,不得随意摘编、裁剪或利用其它方式使用上述作品,转载请注明出处,否则将追究其相关法律责任。
  凡本网注明“来源:XXX(非宜宾新闻网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。鉴于宜宾新闻网发布稿件来源广泛、数量较多,如因作者联系方式不详或其它原因未能与著作权拥有者取得联系,著作权人发现宜宾新闻网转载了其拥有著作权的作品时,请主动与我们联系,并提供相关证明材料,我们将及时处理。若需转载或使用宜宾新闻网转载作品,请与作品权利人联系依法使用作品,如产生任何纠纷与宜宾新闻网无关。如擅自将宜宾新闻网转载作品的稿件来源篡改为宜宾新闻网的,将被追究法律责任。
  任何透过宜宾新闻网网页而链接及得到的信息、产品及服务,以及因上述信息、产品及服务造成的任何损害,宜宾新闻网概不负责,亦不负任何法律责任。
频道精选 本地 胖哥侃天下 国际 娱乐
武汉大熊猫遭虐待身体堪忧 将送回保护中心
武汉大熊猫遭虐待 身体堪忧。1月19日上午9点半,上海野生动物园(下称“上野”)官方微博发布公告称,大熊猫母女“帼帼”和“花生”因染病救治无效,在半个多月前已相继死亡。
大连出现平流雾美景 星海广场宛如仙境
大连出现平流雾美景 星海广场宛如仙境。6月19日,辽宁省大连市出现大规模平流雾,星海广场被大雾笼罩,宛若仙境。
投食变“投石” 不文明行为老虎真遭殃
投食变“投石” 老虎真遭殃。昨日,北京晨报记者从北京野生动物园了解到,工作人员制止后,游客已停止不文明行为,动物园呼吁游客文明游览。
侏罗纪猜想证实 山东郯城县发现300个恐龙足迹
侏罗纪猜想证实 山东郯城县发现300个恐龙足迹。6月18日,中美澳恐龙足迹考察队的专家学者宣布在山东郯城发现了一大型恐龙足迹点,多达300多个,是一亿年前的恐龙的生活痕迹。
“呼死你”团伙被摧毁 封停账号83万余个
“呼死你”团伙被摧毁 封停账号83万余个。在公安部的协调下,广东省公安厅组织广州、深圳等15个地市公安机关,日前在四川、河南、广东等多个省市同步开展“安网2号”打击“呼死你”黑灰产业链专案收网行动
航拍江西赣南客家围屋燕翼围造型独特
航拍江西赣南客家围屋燕翼围造型独特。江西省赣州市龙南县,是有着千余年历史的客家古县,境内分布着376座各具特色的围屋。
那只看爱情动作片的大熊猫 又收获爱情结晶啦!
那只看爱情动作片的大熊猫 又收获爱情结晶啦!目前母子平安,这是最近一个月熊猫基地出生的第7只大熊猫宝宝。
湖南:洞庭湖3万亩“私家湖泊”圈占者被拘
湖南:洞庭湖3万亩“私家湖泊”圈占者被拘。这道堤坝是当地一个私企老板所建,曾被湖南省以及益阳市、沅江市(县级市)等各级政府数次严令拆除,但依旧岿然不动。
6岁女孩手绘暖心漫画 记录父女相处的点滴
6岁女孩手绘暖心漫画 记录父女相处的点滴。这名女孩,用彩色卡纸和画笔为父亲绘画了一本漫画集,记录了自己和父亲温馨的瞬间,让人动容。
高考阅卷已过半 6月23日12时考生可查询高考成绩
高考阅卷已过半 6月23日12时考生可查询高考成绩。距离高考出分还有1周时间,昨天,北京晨报记者从北京市教育考试院了解到,目前,2018年高考阅卷进程已过半。