首页| 滚动| 国内| 国际| 军事| 社会| 财经| 产经| 房产| 金融| 证券| 汽车| I T| 能源| 港澳| 台湾| 华人| 侨网| 经纬
English| 图片| 视频| 直播| 娱乐| 体育| 文化| 健康| 生活| 葡萄酒| 微视界| 演出| 专题| 理论| 新媒体| 供稿

“应用克隆”漏洞被发现 涉及国内10%的安卓应用

2018年01月09日 21:07 来源:中国新闻网 参与互动 

安卓系统曝“致命”漏洞:别人手机能偷刷你的钱  来源:央视网

  中新网北京1月9日电 (程春雨)今日,国内安全机构披露,检测发现国内安卓应用市场十分之一的APP存在漏洞而容易被进行“应用克隆”攻击,甚至国内用户上亿的多个主流APP均存在这类漏洞,几乎影响国内所有安卓用户。

玄武实验室以某APP为例展示了“应用克隆”攻击的效果。
玄武实验室以某APP为例展示了“应用克隆”攻击的效果。

  国家信息安全漏洞共享平台(CNVD)表示,漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于安卓平台,导致大量APP受影响,构成较为严重的攻击威胁。

  腾讯安全玄武实验室负责人于旸表示,该“应用克隆”的移动攻击威胁模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。

  “传统的利用软件漏洞进行攻击的思路,一般是先用漏洞获得控制,再植入后门。好比想长期进出你酒店的房间,就要先悄悄尾随你进门,再悄悄把锁弄坏,以后就能随时进来。现代移动操作系统已经针对这种模式做了防御,不是说不可能再这样攻击,但难度极大。如果我们换一个思路:进门后,找到你的酒店房卡,复制一张,就可以随时进出了。不但可以随时进出,还能以你的名义在酒店里消费。目前,大部分移动应用在设计上都没有考虑这种攻击方式。”于旸说。

  基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。

  国家互联网应急中心网络安全处副处长李佳表示,在获取到漏洞的相关情况之后,中心安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CNVD-2017-36682),于2017年12月10号向27家具体的APP发送了漏洞安全通报,提供漏洞详细情况及建立了修复方案。目前有的APP已经有修复了,有的还没有修复。(完)

【编辑:史建磊】
本网站所刊载信息,不代表中新社和中新网观点。 刊用本网站稿件,务经书面授权。
未经授权禁止转载、摘编、复制及建立镜像,违者将依法追究法律责任。
[网上传播视听节目许可证(0106168)] [京ICP证040655号] [京公网安备:110102003042-1] [京ICP备05004340号-1] 总机:86-10-87826688

Copyright ©1999- 2018 chinanews.com. All Rights Reserved