腾讯公布“应用克隆”攻击模型 防御安卓系统手机漏洞
2018-01-10 08:23
399 查看
9日,“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404实验室联合公布并展示了这一重大研究成果。
腾讯安全玄武实验室负责人于旸介绍说,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。
“在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松‘克隆’用户账户,窃取隐私信息,盗取账号及资金等。”于旸说。
据介绍,“应用克隆”对大多数移动应用都有效。玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。
“在发现这些漏洞之后,腾讯安全玄武实验室通过国家互联网应急中心向厂商报告了相关漏洞,并提供了修复方法,避免该漏洞被不法分子利用。但考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过披露这一移动攻击威胁模型让更多移动应用开发商了解该问题并进行自查。”于旸说。
(责任编辑:畅帅帅)
腾讯安全玄武实验室负责人于旸介绍说,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。
“在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松‘克隆’用户账户,窃取隐私信息,盗取账号及资金等。”于旸说。
据介绍,“应用克隆”对大多数移动应用都有效。玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。
“在发现这些漏洞之后,腾讯安全玄武实验室通过国家互联网应急中心向厂商报告了相关漏洞,并提供了修复方法,避免该漏洞被不法分子利用。但考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过披露这一移动攻击威胁模型让更多移动应用开发商了解该问题并进行自查。”于旸说。
(责任编辑:畅帅帅)
相关文章推荐
- 腾讯发现“应用克隆”手机漏洞 特意点名支付宝、饿了么
- 腾讯发现“应用克隆”手机漏洞 特意点名支付宝、饿了么
- 关于腾讯玄武实验室公布的应用克隆漏洞的一些思考
- [置顶] Android中高仿快牙实现Socket列表的展示,获取安卓手机系统安装的应用和自己安装的应用相关信息
- [置顶] Android中高仿快牙实现Socket列表的展示,获取安卓手机系统安装的应用和自己安装的应用相关信息
- Web应用系统的小安全漏洞及相应的攻击方式
- 主流安卓APP都中招了!“应用克隆漏洞”的快速检测修复方案
- 毕业论文:白盒和黑盒测试技术在“手机信息管理系统模型”测试中的实际应用
- 73%免费安卓应用存漏洞,致设备易遭受攻击。
- Android Studio部署应用到安卓系统6.0到小米4手机上,出现安装失败
- 用苹果手机扫描自动打开Appstore页面下载APP,用安卓手机扫码自动打开应用页面下载APP
- 安卓系统“Janus”安全漏洞修复
- Google工程师发现公布XP漏洞 并提供攻击代码
- Meefeng蜜蜂系统——手机应用营销工具
- 从黑客角度来阐述如何防御应用层攻击(图)
- 文摘:在企业应用系统及开发中运用黑盒/白盒模型概念
- 4000 安卓开发 切换应用语言和获取系统语言
- 基于角色、标记及BLP模型的多级访问控制-B/S架构OA系统应用
- Linux Deploy在安卓手机安装LINUX系统
- Mr.Nubility进阶记——安卓系统开发之多手机适配