騰訊發現安卓APP存在“應用克隆”風險
點擊一條手機短信,自己的手機支付寶賬戶就被“克隆”到他人的手機中,對方還可以任意查看自己的賬戶信息,并可進行消費——昨天,騰訊玄武安全研究團隊發布了這一存在在國內許多主流安卓APP中的手機漏洞,并給出了修復方案。目前,支付寶已在一個月前對App進行了升級,修復了這一安卓漏洞。國家互聯網應急中心表示,已向涉及到的企業發送安全通報,目前仍有10家廠商未能反饋修復情況。
騰訊安全玄武實驗室負責人于旸(TK教主)表示,該攻擊模型是基于移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。
在這個攻擊模型的視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。
你在手機上點擊一個網站鏈接,可以看到一個看上去正常的支付寶搶紅包頁面,但你一旦點擊,噩夢就此開始。賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,攻擊者借此完全可以任意查看用戶信息,并用你的支付寶消費。
這是當前利用漏洞傳遞惡意代碼的一種典型方式。TK教主稱,在手機上點擊惡意鏈接,有漏洞的應用就會被完全控制。TK教主在回答記者提問時表示,這種攻擊短信它本身用戶應該是無從分辨的,看起來跟其他的短信應該沒有什么區別。有可能攻擊者不在你的好友通訊錄名單里面,可能你拿到的是一個未知號碼,由此引起警惕。
發現這些漏洞之后,騰訊安全玄武實驗室通過CNCERT向廠商報告了相關漏洞,并提供了修復方法。但考慮到相關問題影響之廣,難以將相關信息逐個通知給所有移動應用開發商,所以通過新聞發布會希望更多移動應用開發商了解該問題并進行自查。同時,玄武實驗室將提供“玄武支援計劃”協助處理。同時于旸還指出,移動互聯網時代的安全形勢更加復雜,只有真正用移動思維來思考移動安全,才能正確評估安全問題的風險。
國家互聯網應急中心網絡安全處副處長李佳表示,國家信息安全漏洞共享平臺(CNVD)在獲取到漏洞的相關情況之后:首先,安排了相關的技術人員對漏洞進行了驗證,并且為漏洞分配了漏洞編號CNE201736682;同時,CNVD向這次漏洞涉及到的27家APP相關企業,發送了點對點的漏洞安全通報,同時向各個企業提供了漏洞的詳細情況以及建立了修復方案。
李佳稱,在發出通報后不久,CNVD就收到了包括支付寶、百度外賣、國美等等大部分APP的主動反饋,表示他們已經在修復漏洞進程中,目前一些APP已經修復。不過截止到前天,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了么、聚美優品、豆瓣、易車、鐵友火車票、微店等。李佳希望,上述廠商切實加強網絡安全運營能力,落實網絡安全法規的主體責任要求;當本公司的產品出現了重大的安全漏洞或者隱患的時候能夠第一時間進行響應和解決修復,能夠切實地維護和保障廣大用戶的權利。
隨著騰訊安全聯合實驗室在反詐騙、反病毒、漏洞安全、云安全、車聯網、網絡安全人才建設、技術研究等領域將持續輸出能力,賦能行業、企業,將進一步推動互聯網安全生態的快速發展。
萬策科技 > 萬策觀點 
贛公網安備 36043002000132號