[摘要] 原标题: 发现应用克隆漏洞都是实锤 懵了真相让人惊呆了! 发现应用克隆漏洞都是实锤 懵了真相让人惊呆了! 应用克隆漏洞被发现 涉及国内10%的安卓应用 中新网北京1月9日电 (程春雨
原标题: 发现应用克隆漏洞都是实锤 懵了真相让人惊呆了!
发现应用克隆漏洞都是实锤 懵了真相让人惊呆了! “应用克隆”漏洞被发现 涉及国内10%的安卓应用 中新网北京1月9日电 (程春雨)今日,国内安全机构披露,检测发现国内安卓应用市场十分之一的App存在漏洞而容易被进行“应用克隆”攻击,甚至国内用户上亿的多个主流App均存在这类漏洞,几乎影响国内所有安卓用户。
目前,据腾讯方面的研究,市面上 200 多款安卓应用中,27款 App 有此漏洞。漏洞列表及影响如下,其中18个可被远程攻击,9个只能从本地攻击。2017年12月7日,腾讯将27个漏洞报告给了国家信息安全漏洞共享平台(cnvd) ,截止到2018年1月9日,有11个 App 进行了修复,但其中3个修复存在缺陷。
国家信息安全漏洞共享平台(CNVD)表示,攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对App用户账户的完全控制。由于该组件广泛应用于安卓平台,导致大量App受影响,构成较为严重的攻击威胁。
腾讯安全玄武实验室负责人于旸表示,该“应用克隆”的移动攻击威胁模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。
“传统的利用软件漏洞进行攻击的思路,一般是先用漏洞获得控制,再植入后门。好比想长期进出你酒店的房间,就要先悄悄尾随你进门,再悄悄把锁弄坏,以后就能随时进来。现代移动操作系统已经针对这种模式做了防御,不是说不可能再这样攻击,但难度极大。如果我们换一个思路:进门后,找到你的酒店房卡,复制一张,就可以随时进出了。不但可以随时进出,还能以你的名义在酒店里消费。目前,大部分移动应用在设计上都没有考虑这种攻击方式。”于旸说。
基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。
国家互联网应急中心网络安全处副处长李佳表示,在获取到漏洞的相关情况之后,中心安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的App发送了漏洞安全通报,提供漏洞详细情况及建立了修复方案。目前有的App已经有修复了,有的还没有修复。(完)
1月9日,“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404实验室,在联合召开的技术研究成果发布会上公布并展示了这一重大研究成果。工信部网络安全管理局网络与数据安全处处长付景广、CNCERT(国家互联网应急中心)网络安全处副处长李佳、腾讯副总裁马斌、腾讯安全玄武实验室负责人于旸(TK教主)、知道创宇首席安全官周景平等领导及专家出席了新闻发布会。
于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。在发现这些漏洞之后,腾讯安全玄武实验室通过CNCERT向厂商报告了相关漏洞,并提供了修复方法。此外,玄武实验室还将提供“玄武支援计划”协助处理。
据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、携程、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。在发现这些漏洞后,腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。
橙山网(Csnd.net)简评:国内安全机构披露,检测发现国内安卓应用市场十分之一的App存在漏洞而容易被进行应用克隆攻击,甚至国内用户上亿的多个主流App均...
网友评论