大茂名网

 找回密码
 用户注册

QQ登录

只需一步,快速开始

查看: 52|回复: 0

今日要闻安卓App存在“应用克隆”风险,行业如何应对2022/12/31 星期六 14:25:49

[复制链接]

1219

主题

1220

帖子

4634

积分

蓝钻会员

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

积分
4634
发表于 2022-12-31 14:27 | 显示全部楼层 |阅读模式

马上注册登陆,结交更多好友,享用更多功能,让你轻松玩转社区

您需要 登录 才可以下载或查看,没有账号?用户注册

x

近日,讯安全玄武验室负责人于旸披露了一移动攻击威胁模型——“应用克隆”。负责人在现场利用支付宝漏洞展示了攻击效果:在安卓810的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户只要一点击,其支付宝账户就会被立即“克隆"到对方的手机上,然后“攻击者”就可以利用偷来的信息进行消费。博客下载站的相关资讯可以到我们网站了解一下,从专业角度出发为您解答相关问题,给您优质的服务!























更可怕的是,不仅仅支付宝会受此威胁,我们常用的饿了么、美团等将近十分之一的安卓应用都在面临上号被克隆的威胁。黑客完全可以克隆出一个头像、ID、芝麻信用等各种信息完全一样的支付宝,然后肆忌惮的消费。而短信只是一种方式,二维码、新闻推送等都可能被黑客作为攻击手段。




玄武验室表示,由于经历有限,此次只在国内200个常用中进行检测,发现了27个漏洞,比例超过了10%。在发现漏洞后,玄武验室⑴时间向厂商做了通报,并给出了修复建议。目前部分的漏洞已经修复,但是并没有完全修复。并且这次检测的只是少部分,不知道应用市场里成百上千的还有哪些不为人知的安全隐患。




有很多应用市场和都希望玄武验室能帮助检测或提供扫描方案,对此玄武验室这样回应道:




1、由于该问题的复杂性,不可能通过自动扫描来判断是否存在该漏洞。否则我们用阿图因系统就能完成对全应用的检查,而不只是仅检查200个应用。简单通过函数扫描得出的结果,既会出现大量误报,又会出现大量漏报。仅有能判断有漏洞的方式就是人工检测。




2、对我们帮助检测的应用,根据和CNVD的沟通,我们也会统一提交给CNVD,然后由CNVD通知厂商。




安卓这个漏洞,和微软很像,W现了很多协议和功能,但这些协议和功能是由不同的人设计和现的。这些协议单独看起来都没什么问题。但操作系统是需要整合这些协议一起工作的。这时候漏洞就出现了。除了微软,苹果也层出现过类似情况,并多次公开致谢玄武验室的漏洞收割贡献。由此可以看出,不仅是安卓,苹果系统也并不见得有多安全。




说到底,这些安全隐患不能归咎于某个或者某个手机厂商,也不单单是一个纯粹技术攻防的战场,而是整个行业的问题。就国内大环境来说,BAT和360都需要在安全领域肩负起一定的社会责任,和相关部门一起,构建一整套有效的安全预警和修复的机制。这次纰漏威胁的目的,也是希望更多的手机厂商能重视安全并做好自检,不能放过任何一个细小的安全隐患。玄武验室也表示,只要需要技术支持,玄武验室将义不容辞。




值得庆幸的是,不管是苹果还是微软这些大的主流做法都是欢迎公开漏洞。公开漏洞较大的意义就是让厂商能够及时自查。




技术是一把双刃剑,能推动整个社会的进步但同时也可能会被黑色产业利用,这时候就需要多维度联防联控,打破信息孤岛。
爱上大茂名,喜当大猫友,吃喝玩乐事,天天乐开怀!

QQ|客服:0668-2886677QQ:75281068|大茂微博|小黑屋|手机版|Archiver|大茂名网 ( 粤ICP备18149867号 )茂名市大茂科技有限公司 版权所有 

GMT+8, 2024-11-25 22:20 , Processed in 0.069756 second(s), 9 queries , Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表