點(diǎn)擊手機(jī)短信里一條鏈接,打開后看似是正常的搶紅包頁面,但無論你是否點(diǎn)擊紅包,支付寶應(yīng)用都已被“克隆”到了另一部手機(jī)上,攻擊者可以隨意點(diǎn)開你的支付寶消費(fèi)……
   
 您當(dāng)前的位置 : 社會(huì)新聞>

部分安卓APP存漏洞 用戶賬戶信息可被復(fù)制并消費(fèi)

??诰W(wǎng) http://6chong.cn 時(shí)間:2018-01-16 07:29

資料圖:鄭州市公安局文化路分局查獲的電腦、手機(jī)、存折、銀行卡等涉案物品堆滿桌。中新社記者 王中舉 攝

  國內(nèi)安全機(jī)構(gòu)近日披露,部分安卓APP存在安全漏洞,用戶賬戶信息可被復(fù)制并消費(fèi)——

  “應(yīng)用克隆”威脅帶給移動(dòng)安全哪些警示

  點(diǎn)擊手機(jī)短信里一條鏈接,打開后看似是正常的搶紅包頁面,但無論你是否點(diǎn)擊紅包,支付寶應(yīng)用都已被“克隆”到了另一部手機(jī)上,攻擊者可以隨意點(diǎn)開你的支付寶消費(fèi)……國內(nèi)安全機(jī)構(gòu)近日披露,檢測(cè)發(fā)現(xiàn)國內(nèi)安卓應(yīng)用市場(chǎng)約有十分之一的APP存在漏洞,支付寶、攜程、餓了么等多個(gè)主流APP均在列,并且這種漏洞易被“應(yīng)用克隆”攻擊。

  雖然支付寶等應(yīng)用漏洞已基本修復(fù),但“克隆應(yīng)用”威脅模型的曝出令人們震驚不已。業(yè)界人士分析,該攻擊模型基于移動(dòng)應(yīng)用的基本設(shè)計(jì)特點(diǎn),幾乎所有應(yīng)用均適用該模型。在這種攻擊模型視角下,很多以前認(rèn)為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息、盜取資金。用戶如何應(yīng)對(duì)手機(jī)應(yīng)用被“克隆”?“應(yīng)用克隆”威脅的背后,又折射出哪些移動(dòng)互聯(lián)的新風(fēng)險(xiǎn)?日前,記者對(duì)此進(jìn)行了探訪。

  1.“應(yīng)用克隆”的神秘面紗

  國內(nèi)安卓應(yīng)用市場(chǎng)研究人員監(jiān)測(cè)了約200個(gè)應(yīng)用,發(fā)現(xiàn)其中27個(gè)存在漏洞,18個(gè)可被遠(yuǎn)程攻擊。國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長(zhǎng)李佳表示,國家信息安全漏洞共享平臺(tái)在2017年12月7日接到騰訊應(yīng)用檢測(cè)報(bào)告,并迅速安排技術(shù)人員驗(yàn)證、為漏洞分配編號(hào),在2017年12月10日向27家具體應(yīng)用發(fā)送點(diǎn)對(duì)點(diǎn)的漏洞安全通報(bào)和漏洞修復(fù)方案?!鞍l(fā)出通報(bào)后不久,我們收到了支付寶、百度外賣、國美等大部分APP廠商的主動(dòng)反饋,并表示已在進(jìn)行漏洞修復(fù)進(jìn)程?!?/p>

  “應(yīng)用克隆”的可怕之處在于:與以往的攻擊不同,它實(shí)際上并不依靠傳統(tǒng)木馬病毒,也不需要用戶下載“李鬼”應(yīng)用,而是可以利用漏洞直接“克隆”?!熬拖襁^去想進(jìn)入他人的酒店房間,需要把鎖弄壞,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡,不但能隨時(shí)進(jìn)出,還能以你的名義在酒店消費(fèi)?!彬v訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸說。

  不過,“好消息”同樣存在:一方面,被曝出的“應(yīng)用克隆”漏洞只對(duì)安卓系統(tǒng)有效,蘋果手機(jī)目前不受影響;另一方面,目前尚未出現(xiàn)已知案例利用這種途徑對(duì)用戶發(fā)起攻擊。

  2.新風(fēng)險(xiǎn)讓移動(dòng)安全問題更復(fù)雜

  如今,操作系統(tǒng)在攻防對(duì)抗中增加了大量防御功能,傳統(tǒng)漏洞攻擊實(shí)施難度不斷增加。這是否意味著移動(dòng)操作系統(tǒng)漏洞威脅的減輕?“這只是錯(cuò)覺!”在于旸看來,移動(dòng)應(yīng)用有許多不同于傳統(tǒng)軟件的特點(diǎn)。比如,PC時(shí)代系統(tǒng)安全十分重要,而“端云一體”的移動(dòng)時(shí)代還涉及用戶賬號(hào)體系和數(shù)據(jù)的安全,要保護(hù)好這些僅靠系統(tǒng)安全還遠(yuǎn)遠(yuǎn)不夠。

  “由于移動(dòng)互聯(lián)的自身特點(diǎn),會(huì)引入更多安全的新變量和‘耦合點(diǎn)’,這些很有可能結(jié)合出新風(fēng)險(xiǎn)?!庇跁D說,某個(gè)單純的節(jié)點(diǎn)可能都沒問題,但這些點(diǎn)相互耦合形成復(fù)雜的網(wǎng)狀,使得移動(dòng)安全更加復(fù)雜多面。

  “市場(chǎng)上各類應(yīng)用眾多,但安全標(biāo)準(zhǔn)不統(tǒng)一,移動(dòng)應(yīng)用缺乏規(guī)范的安全標(biāo)識(shí),用戶也無法清晰獲知應(yīng)用是否安全?!痹谌涨芭e辦的第二十屆亞洲反病毒大會(huì)上,國家計(jì)算機(jī)病毒應(yīng)急處理中心常務(wù)副主任陳建民介紹,各類流氓軟件中竊取個(gè)人隱私情況達(dá)95%以上,手機(jī)應(yīng)用木馬病毒、盜版應(yīng)用等問題也十分普遍。

  另外,不少移動(dòng)應(yīng)用的隱私政策普遍存在問題,也帶來不少安全隱患?!赌戏蕉际袌?bào)》日前發(fā)布的《2017個(gè)人信息保護(hù)年度報(bào)告》顯示,在近三年工信部公布的466款不良移動(dòng)應(yīng)用中,有些被責(zé)令下架后經(jīng)過包裝可能再次上線;另外,研究人員對(duì)1500多個(gè)APP與網(wǎng)站的隱私政策測(cè)評(píng)發(fā)現(xiàn),普遍存在平臺(tái)透明度低的情況,隱私政策存在用戶權(quán)利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。

  3.建立“移動(dòng)安全新思維”

  “安全領(lǐng)域問題都不能指望一招徹底解決,因?yàn)樗婕傲硕鄠€(gè)因素,必須采取一系列的縱深防御措施才能出現(xiàn)好的結(jié)果。”于旸說。

  騰訊安全玄武實(shí)驗(yàn)室在“應(yīng)用克隆”威脅研究中發(fā)現(xiàn),其涉及的部分技術(shù)曾有研究人員提及過,但在業(yè)界并未引起足夠重視?!按蟛糠忠苿?dòng)應(yīng)用在設(shè)計(jì)上都沒有考慮這種攻擊方式。”于旸表示,移動(dòng)互聯(lián)網(wǎng)時(shí)代安全廠商必須意識(shí)到各種新技術(shù)、新設(shè)計(jì)會(huì)帶來更多新問題,必須建立“移動(dòng)安全新思維”,才能避免在安全方面積重難返。

  面對(duì)移動(dòng)應(yīng)用領(lǐng)域出現(xiàn)的各類安全威脅,于旸表示,絕對(duì)不能說依靠某一環(huán)節(jié)和單純讓用戶提高防范意識(shí)就能解決問題,也不能依賴某一兩家廠商扭轉(zhuǎn)態(tài)勢(shì),只有手機(jī)生產(chǎn)商、應(yīng)用開發(fā)商以及包括安全行業(yè)整個(gè)鏈條上的每個(gè)環(huán)節(jié)攜手共同努力,才能為移動(dòng)互聯(lián)網(wǎng)行業(yè)發(fā)展創(chuàng)造健康的環(huán)境。

  目前,相關(guān)部門也在不斷推進(jìn)安全風(fēng)險(xiǎn)的共聯(lián)、共治。李佳表示,在這次事件中發(fā)揮作用的國家信息安全共享平臺(tái)已聯(lián)合了國內(nèi)的重大信息系統(tǒng)單位,如基礎(chǔ)電信運(yùn)營(yíng)商、安全廠商以及相關(guān)互聯(lián)網(wǎng)企業(yè)等60家單位,共享各自發(fā)現(xiàn)的漏洞并及時(shí)通報(bào)消息。截至目前,共收錄軟硬件產(chǎn)品漏洞10萬起,具體事件型漏洞30萬起,黨政機(jī)關(guān)和重要信息系統(tǒng)漏洞6.9萬起。

  (光明網(wǎng)記者 李政葳)

?

?

相關(guān)鏈接:

我國治理安卓應(yīng)用市場(chǎng)秩序 阻斷違法有害移動(dòng)應(yīng)用進(jìn)入市場(chǎng)
Wi-fi爆安全漏洞 安卓6.0/Linux系統(tǒng)最易受攻擊
華為官方確認(rèn)Mate?10系列搭載安卓8.0
iOS版微信公眾平臺(tái)贊賞功能將被關(guān)閉 安卓不受影響

?

相關(guān)鏈接:
iOS版微信公眾平臺(tái)贊賞功能將被關(guān)閉 安卓不受影響
華為官方確認(rèn)Mate 10系列搭載安卓8.0
Wi-fi爆安全漏洞 安卓6.0/Linux系統(tǒng)最易受攻擊
我國治理安卓應(yīng)用市場(chǎng)秩序 阻斷違法有害移動(dòng)應(yīng)用進(jìn)入市場(chǎng)
[來源:光明日?qǐng)?bào)] [作者:葉攀] [編輯:胡愷睿]
版權(quán)聲明:

·凡注明來源為“??诰W(wǎng)”的所有文字、圖片、音視頻、美術(shù)設(shè)計(jì)等作品,版權(quán)均屬??诰W(wǎng)所有。未經(jīng)本網(wǎng)書面授權(quán),不得進(jìn)行一切形式的下載、轉(zhuǎn)載或建立鏡像。

·凡注明為其它來源的信息,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。

圖解??谝恢軣崧劊汉?谌?qǐng)?bào)??诰W(wǎng)入駐“新京號(hào)”
圖解??谝恢軣崧剕多彩節(jié)目,點(diǎn)亮繽紛假期!
圖解海口一周熱聞:??谛履暌魳窌?huì)將于2024年1月1日舉辦
圖解??谝恢軣崧劊汉?谡胁乓菍?chǎng)誠意攬才受熱捧
圖解??谝恢軣崧劊汉?讷@評(píng)國家食品安全示范城市
災(zāi)后重建看變化·復(fù)工復(fù)產(chǎn)
圓滿中秋
勇立潮頭踏浪行
“發(fā)現(xiàn)??谥馈睌z影大賽
     
     
     
排行
 
旅客注意!海口美蘭機(jī)場(chǎng)T2值機(jī)柜臺(tái)17日起調(diào)整
尋舊日時(shí)光 ??诓糠帜贻p人熱衷“淘”老物件
海口:云洞襯晚霞 美景入眼中
嗨游活力???樂享多彩假日
??冢撼鞘猩v煙火氣 夜間消費(fèi)活力足
??冢洪L(zhǎng)假不停歇 工地建設(shè)忙
市民游客在海口度過美好假期
2023“??诒狈悾ň①悾┗盍﹂_賽
海口天空之山驛站:晚照醉人
千年福地尋玉兔 共慶??谧钪星?/a>
 
|
|
 
     6chong.cn All Rights Reserved      
海口網(wǎng)版權(quán)所有 未經(jīng)書面許可不得復(fù)制或轉(zhuǎn)載
互聯(lián)網(wǎng)新聞信息服務(wù)許可證:46120210010
違法和不良信息舉報(bào)電話: 0898—66822333  舉報(bào)郵箱:jb66822333@163.com

網(wǎng)絡(luò)內(nèi)容從業(yè)人員違法違規(guī)行為舉報(bào)郵箱:jb66822333@126.com

瓊公網(wǎng)安備 46010602000160號(hào)

  瓊ICP備2023008284號(hào)-1
中國互聯(lián)網(wǎng)舉報(bào)中心