精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    騰訊安全&知道創(chuàng)宇發(fā)布“克隆”攻擊 安卓用戶均受影響

    1月9日,“應用克隆”這一移動攻擊威脅模型正式對外披露。騰訊安全玄武實驗室與知道創(chuàng)宇404安全實驗室,在聯(lián)合召開的技術研究成果發(fā)布會上公布并展示了這一重大研究成果。工信部網(wǎng)絡安全管理局網(wǎng)絡與數(shù)據(jù)安全處處長付景廣、CNCERT(國家互聯(lián)網(wǎng)應急中心)網(wǎng)絡安全處副處長李佳、騰訊副總裁馬斌、騰訊安全玄武實驗室負責人于旸(TK教主)、知道創(chuàng)宇首席安全官兼404安全實驗室負責人周景平(Heige,人稱黑哥)等領導及專家出席了新聞發(fā)布會。

    據(jù)發(fā)布會披露,“應用克隆”是基于移動應用的一些基本設計特點導致的,幾乎所有移動應用都適用該攻擊模型。在這個攻擊模型的視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。騰訊安全與知道創(chuàng)宇聯(lián)手呼吁建立“移動安全新思維”,移動互聯(lián)網(wǎng)時代的安全形勢更加復雜,只有真正用移動思維來思考移動安全,才能正確評估安全問題的風險。

    據(jù)了解,此次披露的“應用克隆”中涉及的部分技術此前知道創(chuàng)宇404安全實驗室負責人、素有“漏洞之王”稱號的黑哥早在2012年底就曾發(fā)現(xiàn),并在2013年公開發(fā)表過,同時被國外安全研究員在相關安全研究時作過引用表述,顯然這并未引起本應該有的高度重視。隨后,黑哥更是進一步對自己的研究成果進行了系統(tǒng)整理,并曾經(jīng)上報給了谷歌Android 團隊,但至今仍未收到過來自官方的任何回復。

    黑哥現(xiàn)場講解“應用克隆”攻擊方式的發(fā)現(xiàn)過程

    據(jù)黑哥透露,這種“應用克隆”屬于緊急(最高等級)級別的漏洞威脅,被攻擊者在受到攻擊之后甚至很難察覺,危害極大,而隨移動應用在多年后應用的更加廣泛,其危害性也早已今非昔比。現(xiàn)在手機操作系統(tǒng)本身對漏洞攻擊已有較多防御措施,所以一些安全問題常常被APP廠商和手機廠商忽略。而只要對這些貌似威脅不大的安全問題進行組合,就可以實現(xiàn)“應用克隆”攻擊。這一漏洞利用方式一旦被不法分子利用,就可以輕松克隆獲取用戶賬戶權限,盜取用戶賬號及資金等。

    發(fā)布會現(xiàn)場以支付寶APP為例展示了“應用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上,利用支付寶APP自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信,用戶一旦點擊,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶賬戶信息,并可進行消費。但必須強調(diào)的是,目前支付寶在最新版本中已修復了該“漏洞”。

    TK教主講解“應用克隆”原理模型

    據(jù)介紹,“應用克隆”對大多數(shù)移動應用都有效。而此次發(fā)現(xiàn)的“漏洞”至少涉及國內(nèi)安卓應用市場十分之一的APP,如支付寶、攜程、餓了么等多個主流APP均存在“漏洞”,所以該漏洞幾乎影響國內(nèi)所有安卓用戶。在發(fā)現(xiàn)這些“漏洞”后,騰訊安全玄武實驗室按照相關法律法規(guī)要求已向有關部門通報了相關信息,并給出了修復方案,避免該“漏洞”被不法分子利用。

    黑哥表示,在不同的平臺,不同場景、環(huán)境之下,攻擊手段也不盡相同,這考驗的是開發(fā)人員對全平臺、全系統(tǒng)的安全認知,而現(xiàn)實中很難有人面面俱到,或者可能因為開發(fā)周期短而忽視了其中的安全問題,或者是整個生態(tài)也還無意識的某個環(huán)節(jié)上的新安全問題出現(xiàn),知道創(chuàng)宇在國內(nèi)網(wǎng)站云防御領域獨樹一幟的同時,目前更面向移動應用推出相關的滲透測試服務,內(nèi)容包含安卓應用、iOS應用以及微信服務號、小程序等,將以第三方視角全面幫忙廠商解決移動應用后期的安全性問題。

    對于個人用戶而言,黑哥表示隨著安全研究成果的不斷推進,以及此次“應用克隆”的正式發(fā)布,很多廠商已經(jīng)推出或者正在積極推出應用更新,但是不排除個別情況,建議大家不要隨意掃描二維碼訪問不安全的鏈接、不點擊陌生人發(fā)來的網(wǎng)址,同時常用的移動應用要關注廠商公告,及時升級至最新版本,避免個人隱私泄露及財產(chǎn)損失。

    極客網(wǎng)企業(yè)會員

    免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。

    2018-01-09
    騰訊安全&知道創(chuàng)宇發(fā)布“克隆”攻擊 安卓用戶均受影響
    1月9日,“應用克隆”這一移動攻擊威脅模型正式對外披露。騰訊安全玄武實驗室與知道創(chuàng)宇404安全實驗室,在聯(lián)合召開的技術研究成果發(fā)布會上公布并展示了這一重大研究成果。

    長按掃碼 閱讀全文