-
支付宝账户一秒钟被“克隆” 腾讯安全玄武实验室发现大漏洞
关键字:【观察者网TMT报道】曾几何时,“克隆别人的应用,从而实现刷自己的手机,花别人的钱”只是一种幻想。但如今,这种幻想已经成为现实。1月9日,腾讯安全玄武实验室联合知道创宇404实验室,在召开的移动安全技术研究联合发布会上正式披露了“应用克隆”这一移动攻击威胁模型。
支付宝一秒钟被克隆
在发布会现场,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信。用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。据了解,支付宝目前已经在最新版本中修复了该漏洞。
据腾讯安全玄武实验室负责人于旸介绍,“应用克隆”攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。通过该漏洞,攻击者可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。
玄武实验室负责人于旸
玄武实验室此次通过安全检查,在200个移动应用中发现27个存在漏洞,比例超过10%。涉及支付宝、携程、饿了么等多个主流APP在发现这些漏洞后,腾讯安全玄武实验室通过国家互联网应急中心(CNCERT)向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。于旸表示,目前外界应该没有对漏洞已知的利用。
移动时代更需重视安全
在发布会上,于旸指出,近十几年来,操作系统在不断的攻防对抗当中。安全工作者和攻击者,在这种交锋当中,双方各自发展出了很多的技术。但在目前的移动互联网时代,用PC时代的安全思维是不够的。例如,PC时代的楼d漏洞攻击往往利用漏洞投递恶意代码,但随着技术的发展,这种攻击变得困难,伪装欺骗再次成为主流。
于旸用类比来说明两者的不同:“传统的利用软件漏洞进行攻击的思路,一般是先用漏洞获得控制,再植入后门。好比想长期进出你酒店的房间,就要先悄悄尾随你进门,再悄悄把锁弄坏,以后就能随时进来。现代移动操作系统已经针对这种模式做了防御,不是说不可能再这样攻击,但难度极大。如果我们换一个思路:进门后,找到你的酒店房卡,复制一张,就可以随时进出了。不但可以随时进出,还能以你的名义在酒店里消费。
于旸认为,移动时代的安全问题更加复杂多变,涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手,共同重视,“在PC时代,最重要的是系统自身的安全。而移动设备系统自身的安全性比PC要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。而要保护好这些,光搞好系统自身安全是不够的,”他说。
404实验室负责人周景平也呼吁大家提高对大家对移动安全的重视,“安全(问题)无论大小,有的觉得风险点很小或者说某个风险点不处理也无所谓。但是实际上当一个风险A再加一个风险B的时候,那可能风险就比较大了,”他说。
腾讯安全发布白皮书
在此次发布会上,腾讯副总裁马斌发布了《腾讯安全前沿技术研究白皮书》,对目前中国面临的安全形势,以及腾讯安全联合实验室在科技创新、人才建设等方面的成果进行了全面盘点,并首次披露了腾讯安全联合实验室成立以来的十大安全研究成果。
目前,腾讯安全联合实验室旗下拥有科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室。
2016年,凭借“全球首次远程无物理接触方式入侵特斯拉汽车”研究成果,腾讯安全联合实验室科恩实验室获得特斯拉官方最高奖励及荣誉。同时,在反诈骗领域,腾讯安全反诈骗实验室携手公安部、运营商等相关合作伙伴共同推出的“守护者计划”,利用“反诈骗智慧大脑”等新技术武器,精准打击诈骗黑产,保障用户资金安全。另外,在2017年上半年的“WannaCry”、“暗云Ⅲ”等病毒事件中,腾讯安全反病毒实验室、腾讯安全云鼎实验室共同针对用户网络安全、云端安全迅速制定防御方案,并开发出包括勒索病毒免疫工具、文档守护者、云镜等多款工具,第一时间降低了国内用户和企业的网络安全风险。
此次发布“应用克隆”漏洞利用方式的玄武实验室,在业内素有“漏洞挖掘机”称号。2016年中,腾讯安全玄武实验室和腾讯安全联合实验室旗下的其他六大实验室相互配合,累计为微软、苹果、谷歌、Adobe四大国际顶尖厂商提交漏洞269个,位居国内首位。2016 年 5 月的 Adobe Reader 安全公告中更是一次性包含了 32 个玄武实验室报告的漏洞,从而创下了该产品历史上单个公告中报告漏洞最多的纪录。在发现应用克隆攻击技术之前,腾讯安全玄武实验室还针对条码阅读器的“BadBarcode”研究揭示了影响整个行业的存在了近二十年的重大安全隐患,得到国际安全界的广泛关注和称誉,并因此荣获 WitAwards“年度最佳研究成果”奖。
- 请支持独立网站,转发请注明本文链接:
- 责任编辑:赵晓明
-
5.3%,一季度“开门红”能转化为“全年红”吗? 评论 29“以色列精心策划俩月,但严重低估了伊朗反应” 评论 62美国胁迫下,阿斯麦CEO最新涉华表态 评论 196他张嘴就来:不寻求与中国贸易战,但中企作弊… 评论 246乌克兰暗示西方“双标”,美欧:你们和以色列不一样 评论 386最新闻 Hot
-
5.3%,一季度“开门红”能转化为“全年红”吗?
-
“未来几年,这是各方关注中国市场的一个重要指标”
-
应韩企要求,美国拟恢复一项涉华关税
-
菲律宾“倒打一耙”
-
“以色列精心策划俩月,但严重低估了伊朗反应”
-
“你们愿意中国提前登月?不愿意?那就打钱”
-
“因美国施压,墨西哥将不对中企提供投资激励”
-
“恩威并用”仍被拒,美国又打起别的算盘
-
“我舅舅二战时被食人族吃了”,五角大楼:呃…
-
美国胁迫下,阿斯麦CEO最新涉华表态
-
与中国建交后首次!美澳紧盯这国选举
-
G7财长:将协调对伊、对俄制裁
-
他张嘴就来:不寻求与中国贸易战,但中企作弊…
-
美菲军演将击沉“中国造”军舰,菲军方声称“不是故意为之”
-
声称选举不自由,美国将恢复对委内瑞拉制裁
-
“以色列曾考虑周一反击伊朗,但最终决定推迟”
-