1月9日,“應用克隆”這一移動攻擊威脅模型正式對外披露。騰訊安全玄武實驗室與知道創(chuàng)宇404安全實驗室,在聯(lián)合召開的技術研究成果發(fā)布會上公布并展示了這一重大研究成果。工信部網(wǎng)絡安全管理局網(wǎng)絡與數(shù)據(jù)安全處處長付景廣、CNCERT(國家互聯(lián)網(wǎng)應急中心)網(wǎng)絡安全處副處長李佳、騰訊副總裁馬斌、騰訊安全玄武實驗室負責人于旸(TK教主)、知道創(chuàng)宇首席安全官兼404安全實驗室負責人周景平(Heige,人稱黑哥)等領導及專家出席了新聞發(fā)布會。
據(jù)發(fā)布會披露,“應用克隆”是基于移動應用的一些基本設計特點導致的,幾乎所有移動應用都適用該攻擊模型。在這個攻擊模型的視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。騰訊安全與知道創(chuàng)宇聯(lián)手呼吁建立“移動安全新思維”,移動互聯(lián)網(wǎng)時代的安全形勢更加復雜,只有真正用移動思維來思考移動安全,才能正確評估安全問題的風險。
據(jù)了解,此次披露的“應用克隆”中涉及的部分技術此前知道創(chuàng)宇404安全實驗室負責人、素有“漏洞之王”稱號的黑哥早在2012年底就曾發(fā)現(xiàn),并在2013年公開發(fā)表過,同時被國外安全研究員在相關安全研究時作過引用表述,顯然這并未引起本應該有的高度重視。隨后,黑哥更是進一步對自己的研究成果進行了系統(tǒng)整理,并曾經(jīng)上報給了谷歌Android 團隊,但至今仍未收到過來自官方的任何回復。
黑哥現(xiàn)場講解“應用克隆”攻擊方式的發(fā)現(xiàn)過程
據(jù)黑哥透露,這種“應用克隆”屬于緊急(最高等級)級別的漏洞威脅,被攻擊者在受到攻擊之后甚至很難察覺,危害極大,而隨移動應用在多年后應用的更加廣泛,其危害性也早已今非昔比。現(xiàn)在手機操作系統(tǒng)本身對漏洞攻擊已有較多防御措施,所以一些安全問題常常被APP廠商和手機廠商忽略。而只要對這些貌似威脅不大的安全問題進行組合,就可以實現(xiàn)“應用克隆”攻擊。這一漏洞利用方式一旦被不法分子利用,就可以輕松克隆獲取用戶賬戶權限,盜取用戶賬號及資金等。
發(fā)布會現(xiàn)場以支付寶APP為例展示了“應用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上,利用支付寶APP自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信,用戶一旦點擊,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶賬戶信息,并可進行消費。但必須強調(diào)的是,目前支付寶在最新版本中已修復了該“漏洞”。
TK教主講解“應用克隆”原理模型
據(jù)介紹,“應用克隆”對大多數(shù)移動應用都有效。而此次發(fā)現(xiàn)的“漏洞”至少涉及國內(nèi)安卓應用市場十分之一的APP,如支付寶、攜程、餓了么等多個主流APP均存在“漏洞”,所以該漏洞幾乎影響國內(nèi)所有安卓用戶。在發(fā)現(xiàn)這些“漏洞”后,騰訊安全玄武實驗室按照相關法律法規(guī)要求已向有關部門通報了相關信息,并給出了修復方案,避免該“漏洞”被不法分子利用。
黑哥表示,在不同的平臺,不同場景、環(huán)境之下,攻擊手段也不盡相同,這考驗的是開發(fā)人員對全平臺、全系統(tǒng)的安全認知,而現(xiàn)實中很難有人面面俱到,或者可能因為開發(fā)周期短而忽視了其中的安全問題,或者是整個生態(tài)也還無意識的某個環(huán)節(jié)上的新安全問題出現(xiàn),知道創(chuàng)宇在國內(nèi)網(wǎng)站云防御領域獨樹一幟的同時,目前更面向移動應用推出相關的滲透測試服務,內(nèi)容包含安卓應用、iOS應用以及微信服務號、小程序等,將以第三方視角全面幫忙廠商解決移動應用后期的安全性問題。
對于個人用戶而言,黑哥表示隨著安全研究成果的不斷推進,以及此次“應用克隆”的正式發(fā)布,很多廠商已經(jīng)推出或者正在積極推出應用更新,但是不排除個別情況,建議大家不要隨意掃描二維碼訪問不安全的鏈接、不點擊陌生人發(fā)來的網(wǎng)址,同時常用的移動應用要關注廠商公告,及時升級至最新版本,避免個人隱私泄露及財產(chǎn)損失。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- GitLab將告別中國區(qū)用戶:是時候選擇新的“極狐”或保護賬號了
- 蘋果明年推至少22款新品,阿里非洲首站啟動,科技新品盛宴拉開帷幕
- SUSE預測:未來私有AI平臺崛起,讓我們共同見證AI的未來
- AI伴侶“小奇”:奇富科技重塑金融服務體驗的探索之作
- 揭秘軟銀孫正義神秘芯片計劃:打造超越NVIDIA的未來科技新星
- 大模型創(chuàng)企星辰資本獲數(shù)億融資,騰訊啟明等巨頭入局,人工智能新篇章開啟
- 大模型獨角獸階躍星辰融資新動態(tài):數(shù)億美金B(yǎng)輪,揭秘星辰未來之路
- 哪吒汽車創(chuàng)始人資金遭凍結,1986萬元股權風波引關注
- 本田與日產(chǎn)醞釀合并:明年6月敲定協(xié)議,新公司社長待本田推薦
- 金融大模型新突破:百川智能Baichuan4-Finance引領行業(yè),準確率領先GPT-4近20%,變革金融業(yè)未來
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。