close
點擊一條手機短信,自己的手機應用帳戶就被「克隆」到他人的手機中,對方還可以任意查看自己的帳戶信息,並可進行消費…。昨天,騰訊玄武安全研究團隊發布了安卓APP中的手機漏洞,目前,支付寶已對App進行升級,修復了這一漏洞。國家互聯網應急中心表示,已向涉及到的企業發送安全通報,目前仍有10家廠商未能反饋修復情況。博客來網路書局
圖/歐新社 分享
北京青年報報導,在他人的手機上克隆一份APP,克隆者可以輕鬆獲取帳戶權限,盜取用戶帳號及資金等,這聽上去很可怕,但這樣的「應用克隆」攻擊模型已經存在,且對大多數移動應用都有效。騰訊安全玄武實驗室表示,其此次發現的漏洞至少涉及中國國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,所以該漏洞幾乎影響所有安卓用戶。
騰訊安全玄武實驗室負責人于暘表示,該攻擊模型是基於移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。玄武實驗室以某APP為例展示了「應用克隆」攻擊的效果:在升級到最新安卓8.1.0的手機上,利用其自身的漏洞,「攻擊者」向用戶發送一條包含惡意鏈接的手機短信,用戶一旦點擊,其帳戶一秒就被「克隆」到「攻擊者」的手機中,然後「攻擊者」就可以任意查看用戶信息,並可直接操作該應用,竊取隱私信息,盜取帳號及資金等。
國家互聯網應急中心網絡安全處副處長李佳表示,國家信息安全漏洞共享平台(CNVD)收到了包括支付寶、百度外賣、國美等等大部分APP的主動反饋,表示他們已經在修復漏洞進程中,目前一些APP已經修復。不過截止到前天,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了麼、聚美優品、豆瓣、易車、鐵友火車票、微店等。李佳希望。
4C8EE88BEFE3DB9A
北京青年報報導,在他人的手機上克隆一份APP,克隆者可以輕鬆獲取帳戶權限,盜取用戶帳號及資金等,這聽上去很可怕,但這樣的「應用克隆」攻擊模型已經存在,且對大多數移動應用都有效。騰訊安全玄武實驗室表示,其此次發現的漏洞至少涉及中國國內安卓應用市場十分之一的APP,如支付寶、餓了麼等多個主流APP均存在漏洞,所以該漏洞幾乎影響所有安卓用戶。
騰訊安全玄武實驗室負責人于暘表示,該攻擊模型是基於移動應用的一些基本設計特點導致的,所以幾乎所有移動應用都適用該攻擊模型。玄武實驗室以某APP為例展示了「應用克隆」攻擊的效果:在升級到最新安卓8.1.0的手機上,利用其自身的漏洞,「攻擊者」向用戶發送一條包含惡意鏈接的手機短信,用戶一旦點擊,其帳戶一秒就被「克隆」到「攻擊者」的手機中,然後「攻擊者」就可以任意查看用戶信息,並可直接操作該應用,竊取隱私信息,盜取帳號及資金等。
國家互聯網應急中心網絡安全處副處長李佳表示,國家信息安全漏洞共享平台(CNVD)收到了包括支付寶、百度外賣、國美等等大部分APP的主動反饋,表示他們已經在修復漏洞進程中,目前一些APP已經修復。不過截止到前天,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了麼、聚美優品、豆瓣、易車、鐵友火車票、微店等。李佳希望。
4C8EE88BEFE3DB9A
文章標籤
全站熱搜
留言列表
