1. 尊宝娱乐
  2. 信社区
  3. 城市信报
  4. 发现青岛
  5. 青岛辟谣
  6. 青岛
  7. 原创
  8. 财富
  9. 金融
  10. 房产
  11. 汽车
  12. 影像
  13. 尊宝娱乐VR
  14. 直播服务
  15. 尊宝娱乐服务
  16. 媒体资源
  17. 手机版
搜索
尊宝娱乐手机版移动继续看新闻

"应用克隆"涉及10%常用安卓APP 可复制信息并消费

2018-01-11 08:51:51
来源:中国经济网
责任编辑:三人目
原标题:安卓APP存在"应用克隆"漏洞 可复制支付宝信息并消费
\
“应用克隆”这一移动攻击威胁模型的对外披露,引发了不少网民的恐慌情绪。一些一度被认为威胁不大、厂商也不重视的安全漏洞,竟然能“克隆”用户账户、窃取隐私信息、盗取账号及资金……营造安全移动支付环境,容不得一丝侥幸。手机厂商、应用开发商、网络安全研究者应携起手来,共同落实网络安全法及其他法律法规要求,彻底堵死可能的风险与漏洞—— 在手机上点击一个网站链接,打开的是一个看似完全正常的抢红包页面,但无论你是否点击红包,你的支付宝应用已经在另一台手机上被“克隆”,甚至包括你的用户名和密码,攻击者可以点开支付宝付款码消费。 尽管现在支付宝已经修复了这一漏洞,但腾讯安全玄武实验室与知道创宇404实验室1月9日披露的攻击威胁模型“应用克隆”仍令人十分震惊。腾讯安全玄武实验室负责人于旸表示:“该攻击模型是基于移动应用的一些基本特点设计的。所以,几乎所有移动应用都适用该攻击模型。”研究显示,市面上200多款常见安卓应用中,有27款应用可被这种方式攻击,占比超过10%。 岁末年初,网络安全又成为很多人热议的话题。你的手机被“克隆”了吗?有什么防范方法?在这个“可怕”的攻击威胁背后,又折射出怎样的移动互联网时代安全新形势?经济日报记者采访了相关专家。 厂商安全意识薄弱—— 应用及时升级很重要 “应用克隆”的可怕之处在于,与以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。于旸比喻说:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不仅能随时进出,还能以你的名义在酒店消费。” “应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。腾讯表示,目前尚无已知案例利用这种途径发起攻击。 与此同时,这一消息也被及时以各种方式传递出去,但反馈的情况却“参差不齐”。工信部网络安全管理局网络与数据安全处处长付景广表示,接到腾讯的通报后,“我们也组织相关单位和专家开展了认真分析和研判”。 国家互联网应急中心网络安全处副处长李佳则介绍说,2017年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台。在经过相关技术人员验证后,国家信息安全漏洞共享平台为这一漏洞分配了编号,并于2017年12月10日向这27个应用设计的企业发送了点对点安全通报。 “在发出通报后不久,就收到了包括支付宝、百度外卖、国美等大部分厂商的主动反馈,表示他们已开始修复漏洞,但截至2018年1月8日,还未收到京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商的相关反馈。”于旸表示,截至1月9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。 在1月9日技术研究成果发布会现场演示中,仍然可以用这种方式“克隆”携程安卓版手机应用,在“克隆”后尚能看到用户的交易记录。 这从某种意义上显示出国内部分手机应用厂商安全意识薄弱。于旸坦言:“我们也看了一部分国外应用,受这个漏洞影响的应用总体占比较国内少很多。从我十几年的网络安全领域从业经验来看,国内厂商和开发者,在安全意识上与国外同行相比确实有一定差距。” 普通用户最关心的则是如何能对这一攻击方式加以防范。知道创宇404实验室负责人周景平回答记者提问时表示:“普通用户的防范比较头疼,但仍有一些通用的安全措施。一是别人发给你的链接轻易不要点开,不太确定的二维码不要出于好奇心就去扫,更重要的是要随时关注官方的升级,及时升级手机操作系统和应用软件。” 网络安全形势发生变化—— 警惕漏洞“联合作战” 除了巨大危害,另一个令人吃惊的事实是,这一攻击方式并非一直潜藏在黑暗之中。于旸表示:“查阅以往的技术资料,攻击中涉及的每一个风险点,其实都有人提出过。”其中的关键风险,周景平甚至在2013年3月份就在自己的博客中作了安全提示。他表示:“那时我还把这个问题报给了当时的安卓官方,但对方没有给我任何信息反馈,甚至连邮件都没有回复。” 那么,为什么这种危害巨大的攻击方式此前既未被安全厂商发觉,也没有攻击案例发生?“这是新的多点耦合产生的漏洞。”于旸打了一个比喻,“这就像是网线插头上有个凸起,结果路由器在插口位置上刚好设计了一个重置按钮。网线本身没有问题,路由器也没有问题,但结果是你一插上网线,路由器就重启。多点耦合也是这样,每一个问题都是已知的,但组合起来却带来了额外风险。”他还介绍说,在2016年还发现过另外一个漏洞,一共利用了9个不同网络协议和操作系统的特点,这些特点组合在一起,恶意文档甚至不用打开,插上U盘看一下目录就能传播。 多点耦合的出现,其实正意味着网络安全形势的变化。硬币的一面是漏洞“联合作战”的乘法效应,另一面则是防守者们形成的合力。在电脑时代,最重要的是系统自身安全,虽然包括手机在内的移动设备系统自身的安全性比电脑要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。要做好保护,光搞好系统自身安全远远不够,需要手机厂商、应用开发商、网络安全研究者等多方携手。 这也是管理部门的思路。李佳表示,在此次事件中发挥作用的国家信息安全共享平台正是基于“建立信息安全漏洞共享的知识库”目的而生。“目前已联合国内的重大信息系统单位,基础电信运营商、安全厂商和软件厂商以及相关互联网企业等,一共有60家的技术组合、用户组和成员单位,大家共享发现的漏洞,及时通报消息。截至目前,共收录了软硬件产品漏洞超过10万起,具体事件型漏洞超过了30万起,党政机关和重要信息系统漏洞超过了6.9万起”。 防范各种形式网络风险—— 别想拿着旧地图去航行 “应用克隆”是个尚未形成危害就被捕捉到的漏洞。著名安全专家、网络安全厂商RSA前总裁阿密特·莫兰有句名言:“在新的网络安全威胁形势下,防御者如同拿着旧地图在海上航行。”新硬件、新技术、新服务的出现和交叉融合,催生了新面孔,也带来了新的风险。 比如硬件风险。此前刚刚公布的CPU硬件漏洞就属于这样的风险,它其实是设计漏洞,像是在蓝图的时候就画错了,这类风险即使在操作系统端加以防护也于事无补。此外,数以亿计的物联网设备,如智能盒子、安防摄像头、家用路由器等,其芯片执行漏洞、流量劫持漏洞、蓝牙蠕虫漏洞等底层威胁已在2017年暴露无遗,随着联网设备的指数级增长,2018年物联网设备的安全威胁将愈演愈烈。 此外,还有针对人工智能的攻击。美国加州大学伯克利分校教授宋晓冬介绍说,两张看上去一模一样的熊猫图片,一张被神经网络正确识别为“熊猫”,另外一张却因为被加上了人眼难以察觉的微小扰动,就被神经网络以99.3%的置信度识别为“长臂猿”,这就是可以“愚弄”人工智能的对抗样本。“用对抗样本攻击人工智能,其实就是从最核心的算法层面来攻击它。可以设想,一旦无人驾驶的汽车识别了被对抗样本改造过的交通标识,将带来严重后果。幸好从目前来看,针对自动驾驶的对抗样本对抗性很差。”宋晓冬说。 付景广表示,工信部印发的《公共互联网网络安全威胁监测与处置办法》提出了及时发现原则和科学研判的原则,鼓励安全企业、互联网企业、技术应用企业提交研发成果。同时,鼓励包括国家互联网应急中心和其他科研机构等有能力的企业,对发现的问题及时研判,准确识别,并在这一基础上进一步处置。(经济日报·中国经济网记者 陈 静) [编辑:三人目]
精彩美图 更多 >>
  1. 青岛小西湖添新景 黑水鸡妈妈育儿弄荷影
  2. 云霞绚烂美醉游人 流清河晚霞艳丽如油画
  3. 瞰青岛新变迁⑧:引黄济青工程解青岛之渴
  4. 苏州旅游房车“快闪屋” 亮相青岛国际啤酒节
  5. 李村河生态大美 萌萌黄苇鳽幼鸟荷花间嬉戏
  6. 瞰青岛新变迁⑦:滨海大道拓展城市发展空间
  7. 高温下的钢铁工人:高温磨练 淬铁成钢
  8. 候鸟回迁开始 胶州湾河流入海口湿地变乐园
  9. 瞰青岛新变迁⑥:滨海步行道串起幸福海湾
分享到
青岛话题 更多 >> 深度报道 更多 >> 大家爱看 更多 >>
  1. 1双胞胎姐妹母亲讲述事发经过 发个朋友圈孩子不见了
  2. 2员工离职仨月不给办解聘 青岛徳檍国际:人事休产假了
  3. 3失踪北京双胞胎姐妹均被找到 已无生命体征
  4. 4以为孩子只是站在水里,其实他正在死去!
  5. 5来青岛洗海澡您瞅准了 正规海水浴场就这8处
  6. 6事发海域发现一名女孩遗体 等待警方确认身份
  7. 7河南高考换答题卡官方通告:确认系考生本人所答
  8. 8疑似第二个孩子的遗体被发现 等待最终确认
  9. 9失踪双胞胎姐妹已确认一人溺亡 事发区域非正规浴场
  10. 10警方通报:失踪双胞胎妹妹被找到 已无生命体征
Copyright © 2018 尊宝娱乐. All Rights Reserved 鲁ICP备:14028146号 新闻备案:鲁新网201653205鲁公网安备:37020202000005号
尊宝娱乐