束昱辉:平衡贫富差距

束昱辉:平衡贫富差距

我前一段时间提出了一个理念,叫公益经济,就是如何把经济建立在公益的基础上然后

宝哥相对论:新年,就是

宝哥相对论:新年,就是

这几天,很多地方的朋友都在晒“2018年的第一场雪”。朋友圈里,从北到南,从西到东

金士力总经理姚则兵在

金士力总经理姚则兵在

尊敬的天士力控股集团常务副总裁张建忠先生,各位集团领导、各位专家,各位大健康

当前位置: 直销报道网 > 电商 >

安卓APP安全漏洞 信息可被复制并消费

时间:2018-01-16 11:13来源:光明日报 作者:光明日报 点击:
点击手机短信里一条链接,打开后看似是正常的抢红包页面,但无论你是否点击红包,支付宝应用都已被“克隆”到了另一部手机上,攻击者

【直报网北京1月16日讯】(光明日报)“应用克隆”威胁带给移动安全哪些警示

点击手机短信里一条链接,打开后看似是正常的抢红包页面,但无论你是否点击红包,支付宝应用都已被“克隆”到了另一部手机上,攻击者可以随意点开你的支付宝消费……国内安全机构近日披露,检测发现国内安卓应用市场约有十分之一的APP存在漏洞,支付宝、携程、饿了么等多个主流APP均在列,并且这种漏洞易被“应用克隆”攻击。

虽然支付宝等应用漏洞已基本修复,但“克隆应用”威胁模型的曝出令人们震惊不已。业界人士分析,该攻击模型基于移动应用的基本设计特点,几乎所有应用均适用该模型。在这种攻击模型视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息、盗取资金。用户如何应对手机应用被“克隆”?“应用克隆”威胁的背后,又折射出哪些移动互联的新风险?日前,记者对此进行了探访。

1.“应用克隆”的神秘面纱

国内安卓应用市场研究人员监测了约200个应用,发现其中27个存在漏洞,18个可被远程攻击。国家互联网应急中心网络安全处副处长李佳表示,国家信息安全漏洞共享平台在2017年12月7日接到腾讯应用检测报告,并迅速安排技术人员验证、为漏洞分配编号,在2017年12月10日向27家具体应用发送点对点的漏洞安全通报和漏洞修复方案。“发出通报后不久,我们收到了支付宝、百度外卖、国美等大部分APP厂商的主动反馈,并表示已在进行漏洞修复进程。”

“应用克隆”的可怕之处在于:与以往的攻击不同,它实际上并不依靠传统木马病毒,也不需要用户下载“李鬼”应用,而是可以利用漏洞直接“克隆”。“就像过去想进入他人的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。”腾讯安全玄武实验室负责人于旸说。

不过,“好消息”同样存在:一方面,被曝出的“应用克隆”漏洞只对安卓系统有效,苹果手机目前不受影响;另一方面,目前尚未出现已知案例利用这种途径对用户发起攻击。

用户如何防范这种攻击?“攻击短信用户几乎无从分辨,普通用户防范的问题还比较头疼。”于旸坦言。不过,攻击者发送短信或二维码情况较多,用户要少点击别人发来的链接,对不太确信的二维码也不要出于好奇扫描,最重要的一点是要关注官方升级,包括操作系统与移动应用的官方升级。

2.新风险让移动安全问题更复杂

如今,操作系统在攻防对抗中增加了大量防御功能,传统漏洞攻击实施难度不断增加。这是否意味着移动操作系统漏洞威胁的减轻?“这只是错觉!”在于旸看来,移动应用有许多不同于传统软件的特点。比如,PC时代系统安全十分重要,而“端云一体”的移动时代还涉及用户账号体系和数据的安全,要保护好这些仅靠系统安全还远远不够。

顶一下
(0)
0%
踩一下
(0)
0%
分享到:
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:

关于我们 | 联系我们 | 诚聘英才 | 服务条款 | 广告服务 | 频道合作 | 本网内容授权书
Copyright © 1998 - 2013 www.Chndsnews.com All Rights Reserved
直销报道网 © 版权所有 京ICP备13035451号