在用户毫不知情的情况下,一个不起眼的角落,有攻击者利用漏洞远程“克隆”了一个和你账户一模一样的APP,并且可以直接盗取用户账号、个人隐私、资金……10日,腾讯安全玄武实验室与知道创宇404实验室联合召开技术研究成果发布会,正式对外披露“应用克隆”这一移动攻击威胁模型,目前腾讯已提供了修复方法。
在发布会现场,玄武实验室以支付宝APP为例展示了“应用克隆”攻击效果:在升级到最新安卓8.1.0的手机上,利用支付宝APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。
据腾讯方面的研究,市面上200多款安卓应用中,27款APP有此漏洞,包括携程饿了么等,其中18个可被远程攻击。去年12月7日,腾讯将27个漏洞报告给了国家信息安全漏洞共享平台(cnvd),截止到今年1月9日,有11个APP进行了修复,但其中3个修复存在缺陷。
“让我们非常吃惊的是,整套攻击中涉及的每个风险点都是已知的,并且是系统多点耦合导致的漏洞。”玄武实验室负责人于旸介绍,所谓多点耦合产生的漏洞,就是各个点看起来都没有问题,但所有的点组合起来就能导致系统风险,也就是说,这是一个系统的设计问题。
而在最近,各大芯片厂商被曝出存在大面积的漏洞。由于Intel的芯片漏洞不断发酵,Intel目前在市值上已经损失了接近110亿美元,而亚马逊、苹果、微软和IBM等科技巨头纷纷在这次漏洞面前无一幸免。于旸解释,这正是多点耦合产生的漏洞,而这些系统漏洞已经存在甚至可能长达几十年之久。
据腾讯方面介绍,目前尚未发现有实际攻击案例,但在端云一体的移动时代,移动设备系统自身的安全性理应比PC要高很多,特别是用户账号体系和数据的安全。发现漏洞后,腾讯已及时通报给了国家相关主管部门,然后通过主管部门去通知应用厂商修补。
腾讯方面发现漏洞后,已及时通报给了国家相关主管部门,由其通知应用厂商修补。目前尚未发现有实际攻击案例。但该漏洞也提了个醒,在端云一体的移动时代,厂商应更多从移动技术自身特点的角度去思考安全问题,才能正确评估问题的实际风险。
【延伸】
百度APP监听用户电话?
百度回应:无能力也不会这么做
近日,江苏省消保委发布消息称,对北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼,南京市中级人民法院已正式立案。
百度也正式就江苏省消保委指控手机百度、百度浏览器等两款产品涉嫌“监听电话、定位”一事回应称;“百度APP不会、也没有能力‘监听电话’,而百度APP敏感权限均需授权,且用户可自由关闭”。
百度手机百度高级经理田彪向记者解释,无论是苹果还是安卓系统,根本不可能向应用开发者提供能监听用户电话的接口或权限。百度的手机应用没有能力、也从来不会申请这一权限。
南方日报记者 郜小平 叶丹
甩开英特尔?苹果被曝未来笔记本将搭载自家芯片
