国内安全机构发现应用克隆漏洞 影响国内所有安卓用户
今日,国内安全机构披露,检测发现国内安卓应用市场十分之一的App存在漏洞而容易被进行“应用克隆”攻击,甚至国内用户上亿的多个主流App均存在这类漏洞,几乎影响国内所有安卓用户。
国家信息安全漏洞共享平台(CNVD)表示,攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对App用户账户的完全控制。由于该组件广泛应用于安卓平台,导致大量App受影响,构成较为严重的攻击威胁。
腾讯安全玄武实验室负责人于旸表示,该“应用克隆”的移动攻击威胁模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。
“传统的利用软件漏洞进行攻击的思路,一般是先用漏洞获得控制,再植入后门。好比想长期进出你酒店的房间,就要先悄悄尾随你进门,再悄悄把锁弄坏,以后就能随时进来。现代移动操作系统已经针对这种模式做了防御,不是说不可能再这样攻击,但难度极大。如果我们换一个思路:进门后,找到你的酒店房卡,复制一张,就可以随时进出了。不但可以随时进出,还能以你的名义在酒店里消费。目前,大部分移动应用在设计上都没有考虑这种攻击方式。”于旸说。
基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。
国家互联网应急中心网络安全处副处长李佳表示,在获取到漏洞的相关情况之后,中心安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的App发送了漏洞安全通报,提供漏洞详细情况及建立了修复方案。目前有的App已经有修复了,有的还没有修复。
这篇好文章是转载于:知行礼动
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 知行礼动
- 本文地址: /news/detail/tangieije
-
Logitech MX Master 4的发布日期
xhjyxxw 11-12 -
qq邮箱人工客服电话95017qq邮箱人工电话是多少
xhjyxxw 12-13 -
长城M2改装系列 展示M2床车安装过程图
xhjyxxw 09-15 -
海尔消费金融客服电话是多少海尔消费金融客服电话
xhjyxxw 09-17 -
穿马扎子方法图解九孔穿马扎子方法图解
xhjyxxw 09-28 -
2的5次方是多少答案2的5次方是多少
xhjyxxw 11-17 -
简化版必到官网一键群发微信微信一键群发50群
xhjyxxw 09-15 -
huifuqqcom恢复qq群huifuqqcom恢复qq群主
xhjyxxw 09-17 -
一次性输液器结构图解和管内径一次性输液器结构图解
xhjyxxw 09-17 -
小米电视破解版vip小米电视会员破解教程
xhjyxxw 11-17