腾讯安全玄武实验室与知道创宇404实验室联合披露了一种新型攻击威胁模型——应用克隆,该模型能轻松复制用户账户并窃取隐私信息。经过测试,这种攻击方式对大量移动应用有效,涉及国内安卓应用市场的十分之一APP,包括支付宝、饿了么等主流应用。目前,受影响的应用已经修复此漏洞。
资料图 中新经纬 黄昂瑾 摄
1月9日,腾讯微信公众号发布文章称,腾讯安全玄武实验室与知道创宇404实验室,在联合召开的技术研究成果发布会上,正式对外披露攻击威胁模型“应用克隆”。
腾讯称,在攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。
<script type="text/javascript"> /*文章页正文*/ var cpro_id = "u2719811"; </script> <script type="text/javascript" src="http://cpro.baidustatic.com/cpro/ui/c.js"></script>
id="iframeu2719811_0" name="iframeu2719811_0" src="http://pos.baidu.com/ccwm?conwid=200&conhei=200&rdid=2719811&dc=3&di=u2719811&dri=0&dis=0&dai=8&ps=0x0&enu=encoding&dcb=___adblockplus&dtm=HTML_POST&dvi=0.0&dci=-1&dpt=none&tsr=0&tpr=1515715202836&ti=%E8%85%BE%E8%AE%AF%E5%8F%91%E7%8E%B0%E2%80%9C%E5%BA%94%E7%94%A8%E5%85%8B%E9%9A%86%E2%80%9D%E6%89%8B%E6%9C%BA%E6%BC%8F%E6%B4%9E%20%E7%89%B9%E6%84%8F%E7%82%B9%E5%90%8D%E6%94%AF%E4%BB%98%E5%AE%9D%E3%80%81%E9%A5%BF%E4%BA%86%E4%B9%88_%E7%A7%91%E6%8A%80_%E4%B8%AD%E5%9B%BD%E7%BD%91&ari=2&dbv=0&drs=1&pcs=1024x768&pss=1024x2315&cfv=24&cpl=1&chi=2&cce=true&cec=UTF-8&tlm=1515715203&rw=768<u=http%3A%2F%2Ftech.china.com.cn%2Fit%2F20180110%2F332389.shtml&ecd=1&uc=1024x768&pis=-1x-1&sr=1024x768&tcn=1515715203&qn=cd54005af0f2fb40&tt=1515715202827.206.965.965" width="200" height="200" align="center,center" vspace="0" hspace="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" style="border:0;vertical-align:bottom;margin:0;width:200px;height:200px" allowtransparency="true">
经过测试,“应用克隆”对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。
腾讯安全玄武实验室负责人于旸表示,该攻击模型基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。
玄武实验室以某APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用其自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户信息,并可直接操作该应用。
腾讯方面称,在发现这些漏洞后,腾讯安全玄武实验室通过CNCERT(国家互联网应急中心)向厂商通报了相关信息,并给出了修复方案。目前支付宝、饿了么等主流APP已主动修复了该漏洞(用户可升级到最新版本)。
(责任编辑:王擎宇)
扫一扫
1403
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
