在用戶毫不知情的情況下,一個不起眼的角落,有攻擊者利用漏洞遠程“克隆”了一個和你賬戶一模一樣的APP,并且可以直接盜取用戶賬號、個人隱私、資金……10日,騰訊安全玄武實驗室與知道創(chuàng)宇404實驗室聯(lián)合召開技術(shù)研究成果發(fā)布會,正式對外披露“應(yīng)用克隆”這一移動攻擊威脅模型,目前騰訊已提供了修復方法。
在發(fā)布會現(xiàn)場,玄武實驗室以支付寶APP為例展示了“應(yīng)用克隆”攻擊效果:在升級到最新安卓8.1.0的手機上,利用支付寶APP自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信,用戶一旦點擊,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶賬戶信息,并可進行消費。目前,支付寶在最新版本中已修復了該漏洞。
據(jù)騰訊方面的研究,市面上200多款安卓應(yīng)用中,27款A(yù)PP有此漏洞,包括攜程餓了么等,其中18個可被遠程攻擊。去年12月7日,騰訊將27個漏洞報告給了國家信息安全漏洞共享平臺(cnvd),截止到今年1月9日,有11個APP進行了修復,但其中3個修復存在缺陷。
“讓我們非常吃驚的是,整套攻擊中涉及的每個風險點都是已知的,并且是系統(tǒng)多點耦合導致的漏洞?!毙鋵嶒炇邑撠熑擞跁D介紹,所謂多點耦合產(chǎn)生的漏洞,就是各個點看起來都沒有問題,但所有的點組合起來就能導致系統(tǒng)風險,也就是說,這是一個系統(tǒng)的設(shè)計問題。
而在最近,各大芯片廠商被曝出存在大面積的漏洞。由于Intel的芯片漏洞不斷發(fā)酵,Intel目前在市值上已經(jīng)損失了接近110億美元,而亞馬遜、蘋果、微軟和IBM等科技巨頭紛紛在這次漏洞面前無一幸免。于旸解釋,這正是多點耦合產(chǎn)生的漏洞,而這些系統(tǒng)漏洞已經(jīng)存在甚至可能長達幾十年之久。
據(jù)騰訊方面介紹,目前尚未發(fā)現(xiàn)有實際攻擊案例,但在端云一體的移動時代,移動設(shè)備系統(tǒng)自身的安全性理應(yīng)比PC要高很多,特別是用戶賬號體系和數(shù)據(jù)的安全。發(fā)現(xiàn)漏洞后,騰訊已及時通報給了國家相關(guān)主管部門,然后通過主管部門去通知應(yīng)用廠商修補。
騰訊方面發(fā)現(xiàn)漏洞后,已及時通報給了國家相關(guān)主管部門,由其通知應(yīng)用廠商修補。目前尚未發(fā)現(xiàn)有實際攻擊案例。但該漏洞也提了個醒,在端云一體的移動時代,廠商應(yīng)更多從移動技術(shù)自身特點的角度去思考安全問題,才能正確評估問題的實際風險。
【延伸】
百度APP監(jiān)聽用戶電話?
百度回應(yīng):無能力也不會這么做
近日,江蘇省消保委發(fā)布消息稱,對北京百度網(wǎng)訊科技有限公司涉嫌違法獲取消費者個人信息及相關(guān)問題提起消費民事公益訴訟,南京市中級人民法院已正式立案。
百度也正式就江蘇省消保委指控手機百度、百度瀏覽器等兩款產(chǎn)品涉嫌“監(jiān)聽電話、定位”一事回應(yīng)稱;“百度APP不會、也沒有能力‘監(jiān)聽電話’,而百度APP敏感權(quán)限均需授權(quán),且用戶可自由關(guān)閉”。
百度手機百度高級經(jīng)理田彪向記者解釋,無論是蘋果還是安卓系統(tǒng),根本不可能向應(yīng)用開發(fā)者提供能監(jiān)聽用戶電話的接口或權(quán)限。百度的手機應(yīng)用沒有能力、也從來不會申請這一權(quán)限。