新闻热线:2313999    投稿邮箱:ybxww@126.com    QQ报料:1542715098    行风监督:0831-2333123

手机APP又曝重大安全漏洞:存“应用克隆”风险

核心提示: 点击一条手机短信,自己的手机应用账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。

1

腾讯安全玄武实验室负责人于旸介绍漏洞修复情况

点击一条手机短信,自己的手机应用账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。

点击一条手机短信,自己的手机支付宝账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。目前,支付宝已在一个月前对App进行了升级,修复了这一安卓漏洞。国家互联网应急中心表示,已向涉及到的企业发送安全通报,目前仍有10家厂商未能反馈修复情况。

APP被克隆威胁用户信息安全

在他人的手机上克隆一份APP,克隆者可以轻松获取账户权限,盗取用户账号及资金等,这听上去很可怕,但这样的“应用克隆”攻击模型已经存在,且对大多数移动应用都有效。腾讯安全玄武实验室表示,其此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。玄武实验室以某APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用其自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户信息,并可直接操作该应用,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。不过,于旸表示,本次玄武实验室发现的“应用克隆”漏洞只针对安卓系统。

CNVD:仍有10家厂商未能反馈

国家互联网应急中心网络安全处副处长李佳表示,国家信息安全漏洞共享平台(CNVD)在获取到漏洞的相关情况之后:首先,安排了相关的技术人员对漏洞进行了验证,并且为漏洞分配了漏洞编号CNE201736682;同时,CNVD向这次漏洞涉及到的27家APP相关企业,发送了点对点的漏洞安全通报,同时向各个企业提供了漏洞的详细情况以及建立了修复方案。

李佳称,在发出通报后不久,CNVD就收到了包括支付宝、百度外卖、国美等等大部分APP的主动反馈,表示他们已经在修复漏洞进程中,目前一些APP已经修复。不过截止到前天,尚有10家厂商仍未反馈漏洞情况,其中包括:饿了么、聚美优品、豆瓣、易车、铁友火车票、微店等。李佳希望,上述厂商切实加强网络安全运营能力,落实网络安全法规的主体责任要求;当本公司的产品出现了重大的安全漏洞或者隐患的时候能够第一时间进行响应和解决修复,能够切实地维护和保障广大用户的权利。

腾讯共享修复方案提供技术援助

于旸透露,在发现这些漏洞后,腾讯安全玄武实验室在去年12月通过CNCERT(国家互联网应急中心)向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。另外,玄武实验室将提供“玄武支援计划”协助处理。

于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室也愿意提供相关技术援助。(记者 温婧)

相关阅读
关键词: 油价上涨 调价
编辑:陈泓宇 责任编辑:周妍
  凡本网注明“来源:宜宾新闻网”的所有作品,均为宜宾新闻网合法拥有版权或授权使用的作品,未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。
  凡本网注明“来源:XXX(非宜宾新闻网)”的作品,均转载自其它媒体,如涉及版权问题,请主动与我们联系。
频道精选 本地 胖哥侃天下 国际 娱乐
虚构支付宝盗刷122次骗保20万 女子获刑5年罚金5万
支付宝盗刷122次保险赔付20万 剧情逆转 她被判5年 虚构支付宝被盗刷122次向支付宝索赔,并骗得保险金约19.5万元。34岁的李某最终因诈骗罪获刑5年,处罚金5万元,同时被责令向被害单位退赔损失
23万人被骗近百亿 揭秘国内迄今最大金融犯罪案
23万人被骗近百亿 揭秘国内迄今最大金融犯罪案 该犯罪团伙瞄准中老年人,10年内行骗16省市,集资诈骗金额高达99.5亿多元,受害人数多达23万余人次……
张学友演唱会又叒叕抓到嫌犯! 逃犯克星了解下
张学友演唱会又叒叕抓到嫌犯! 逃犯克星了解下 据媒体报道,9月21日晚,在张学友遂宁演唱会上,当地警方挡获扒窃、卖假票、冒充工作人员骗钱骗票等涉嫌违法犯罪人员10余名,引起网友关注
上网6小时欠费1万8 是副卡没经本人同意就解绑
上网6小时欠费1万8 是副卡没经本人同意就解绑 长沙的马先生在9月1日手机收到一条短信,提示他手机欠费1万8千多元,马先生连忙打给联通客服,客服告诉他,他是流量欠费1万8
12306新功能 同站换乘少于10分钟提示买后续车票
12306新功能 同站换乘少于10分钟提示买后续车票 近日,铁路部门在12306系统增设了提示功能,在同站换乘少于10分钟、同城不同车站换乘少于40分钟时,系统会提示旅客选择购买后续列车车票。
求职套路多 花两万参加公司课程后实习变培训
求职套路多 花两万参加公司课程后实习变培训 小吴有一年设计工作的经验,她看到网上“贵阳海文公司”的招聘信息,前去应聘时,很顺利收到了入职通知。
中秋假期北方晴冷需添衣 南方雨水扰赏月
中秋假期北方晴冷需添衣 南方雨水扰赏月 北方总体晴朗,但早晚凉意明显,南方大部地区气温较为舒适,22日至23日重庆、湖南、江西、浙江、福建等地有较强降雨,难见圆月。
广深港高铁全线开通在即 这些乘车事项早知道
广深港高铁全线开通在即 这些乘车事项早知道 广深港高铁香港段将正式运营。届时,列车将直达内地44个站点,从香港西九龙站到北京西站仅需不到9小时。坐着高铁去香港,哪些注意事项需要提前了解?
基层干部涉黑案典型:167页判决书办出“铁案”
基层干部涉黑案典型:167页判决书办出“铁案” “刘案”作为农村基层干部涉黑案件的典型,打响了广东扫黑除恶斗争的第一枪。54名被告人、74名辩护律师,刷新了广州市两级法院审理的“涉黑”案件纪录。
秋台风为何如此“猖狂”?专家:与海温偏暖有关
秋台风为何如此“猖狂”?专家:与海温偏暖有关 9月依然是我国的台风季——常年9月平均生成近5个台风,约有1.8个台风登陆我国,并且多登陆广东、福建、海南等地。