|
于旸介绍,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。这一漏洞利用方式一旦被不法分子利用,就可以轻松克隆获取用户账户权限,盗取用户账号及资金等。腾讯安全玄武实验室在研究过程中还发现,“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过,但显然在业界并未引起足够重视。 在发布会现场,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。 据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、携程、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。在发现这些漏洞后,腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。 发布会上,李佳副处长代表CNCERT(国家互联网应急中心)网络安全处和CNVD对腾讯安全玄武实验室所做的工作表示感谢。他表示,腾讯安全玄武实验室在第一时间向CNCERT平台报送了相关的漏洞,为相关的事件应急响应提前提供了很宝贵的时间。CNVD在获取到漏洞的相关情况之后,安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况以及建立了修复方案。 考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室也愿意提供相关技术援助。 |
|
|
来自: 昵称35641324 > 《科技》
