今日,國內(nèi)安全機(jī)構(gòu)披露,檢測發(fā)現(xiàn)國內(nèi)安卓應(yīng)用市場十分之一的APP存在漏洞而容易被進(jìn)行“應(yīng)用克隆”攻擊,甚至國內(nèi)用戶上億的多個(gè)主流APP均存在這類漏洞,幾乎影響國內(nèi)所有安卓用戶。
國家信息安全漏洞共享平臺(CNVD)表示,攻擊者利用該漏洞,可遠(yuǎn)程獲取用戶隱私數(shù)據(jù)(包括手機(jī)應(yīng)用數(shù)據(jù)、照片、文檔等敏感信息),還可竊取用戶登錄憑證,在受害者毫無察覺的情況下實(shí)現(xiàn)對APP用戶賬戶的完全控制。由于該組件廣泛應(yīng)用于安卓平臺,導(dǎo)致大量APP受影響,構(gòu)成較為嚴(yán)重的攻擊威脅。
騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示,該“應(yīng)用克隆”的移動(dòng)攻擊威脅模型是基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的,所以幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。在這個(gè)攻擊模型的視角下,很多以前認(rèn)為威脅不大、廠商不重視的安全問題,都可以輕松“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。
“傳統(tǒng)的利用軟件漏洞進(jìn)行攻擊的思路,一般是先用漏洞獲得控制,再植入后門。好比想長期進(jìn)出你酒店的房間,就要先悄悄尾隨你進(jìn)門,再悄悄把鎖弄壞,以后就能隨時(shí)進(jìn)來。現(xiàn)代移動(dòng)操作系統(tǒng)已經(jīng)針對這種模式做了防御,不是說不可能再這樣攻擊,但難度極大。如果我們換一個(gè)思路:進(jìn)門后,找到你的酒店房卡,復(fù)制一張,就可以隨時(shí)進(jìn)出了。不但可以隨時(shí)進(jìn)出,還能以你的名義在酒店里消費(fèi)。目前,大部分移動(dòng)應(yīng)用在設(shè)計(jì)上都沒有考慮這種攻擊方式。”于旸說。
基于該攻擊模型,騰訊安全玄武實(shí)驗(yàn)室以某個(gè)常被廠商忽略的安全問題進(jìn)行檢查,在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞,比例超過10%。
國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長李佳表示,在獲取到漏洞的相關(guān)情況之后,中心安排了相關(guān)的技術(shù)人員對漏洞進(jìn)行了驗(yàn)證,并且也為漏洞分配了漏洞編號(CVE201736682),于2017年12月10號向27家具體的APP發(fā)送了漏洞安全通報(bào),提供漏洞詳細(xì)情況及建立了修復(fù)方案。目前有的APP已經(jīng)有修復(fù)了,有的還沒有修復(fù)。(完)
京公網(wǎng)安備 11010502049343號