幽灵学院 - 菜鸟起航从这里开始!

幽灵学院 - 中国最权威的网络安全门户网站!

当前位置: > 资讯 > 安全资讯 >

警惕你的支付应用被“克 黄葡京棋牌

在手机上“点击”一条链接,打开了看似正常的抢红包页面,但无论你是否点击红包,整个支付宝应用已被“克

在手机上“点击”一条链接,打开了看似正常的抢红包页面,但无论你是否点击红包,整个支付宝应用已被“克隆”到了另一个手机上,攻击者可以点开你的支付宝并进行消费。

国内安全机构披露,检测发现国内安卓应用市场约有十分之一的APP存在漏洞,并且这种漏洞容易被“应用克隆”攻击,甚至如支付宝、携程、饿了么等多个主流APP均存在漏洞,几乎影响了国内所有安卓用户。

“克隆应用”威胁模型令人们震惊不已。业界人士分析,该攻击模型基于移动应用的基本设计特点,几乎所有移动应用都适用该攻击模型。在这种攻击模型视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息、盗取资金等。用户应如何应对手机应用随时可能被“克隆”?“应用克隆”威胁背后,折射出了哪些移动互联网时代新风险?

警惕你的支付应用被“克 黄葡京棋牌

研究人员演示“克隆应用”威胁模型

仍有10家APP尚未反馈修复情况

“应用克隆”影响范围涉及了国内主流安卓APP。研究显示,在国内安卓应用市场研究人员监测了约200个APP,发现其中27个存在漏洞,其中18个可被远程攻击,9个只能从本地攻击。

国家互联网应急中心网络安全处副处长李佳表示,2017年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台(CNCERT平台),平台安排技术人员验证,并为漏洞分配了漏洞编号(CVE201736682),在2017年12月10日向27家具体的APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况以及建立了修复方案。

“发出通报后不久,收到了包括支付宝、百度外卖,国美等大部分APP的主动反馈,表示已在漏洞的修复进程中。”李佳说,可能由于不同团队的技术能力有差距,目前有的APP已有修复,有的还没有修复。截止1月8日,CNCERT平台还没有收到反馈的APP厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。

腾讯安全玄武实验室负责人于旸介绍,截至1月9日,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复,但亚马逊(中国版)、卡牛信用管家、一点资讯3个应用修复不全。

对此,李佳表示,希望这批企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求,当本公司产品出现安全漏洞或隐患时,能够第一时间进行响应和解决修复,保障用户权利。

警惕你的支付应用被“克 黄葡京棋牌

国家信息安全漏洞共享平台发布的安全漏洞公告截图

未出现利用漏洞发起攻击案例

什么是“应用克隆”威胁攻击?于旸表示,有些手机自带的数据迁移功能,不仅可以迁移照片,通讯录等数据,还可以将各个APP克隆到新手机上,且不必重新登录即可直接使用。“这个克隆过程完全可能利用漏洞实现,而且所有手机都可以,并不需要手机自带该功能。”于旸说。

“应用克隆”的可怕之处在于:与以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。

不过,“好消息”同样存在:一方面,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响;另一方面,腾讯方面表示,目前尚未有已知案例利用这种途径对用户发起攻击。

与国内相比,类似情况国外相对占比较少。知道创宇首席安全官周景平坦言,究其具体原因可能无从给出一个权威理由,但根据自己在安全行业多年从业经验看,国内的厂商包括开发者,在安全意识上与国外同行相比,确实还有一定的差距。

另外,周景平还提到了“攻击成本”。这种克隆技术的应用在这整个攻击里面其实就是一个点,要完成这一攻击链条尚需多个技术点配合,然后通过发短信或扫二维码等方式扩散,才能达到最终的效果。“攻击者要掌握这一技术其实成本也很高,研究者们花大精力、成本进行研究,就是希望走在攻击者的前面。”

如何防范:不随意扫码点链,做好操作系统、APP官方升级

对于“应用克隆”风险,用户如何防范?“其实,普通用户防范的问题还是比较头疼的。”于旸介绍,比如,这种攻击短信用户几乎无从分辨,看起来与其他短信没有什么区别;有可能发来短信的攻击者号码不在用户的好友通讯录名单里,虽然是未知号码,但很多垃圾短信可以通过伪基站伪造成银行号码等。

“安全领域问题其实都不能指望谁给一条妙计,然后一招彻底解决问题,因为它涉及了多个因素,采取一系列的纵深防御措施才能出现比较好的状态。”于旸补充说。

周景平表示,黑客或攻击者可以在各种场景利用这一漏洞实施侵害,比较常见的可能是发短信或二维码诱导用户点击、扫描,对于一些普通用户来说,首先别人发来的链接少点,对于不太确信的二维码也不要出于好奇扫描。“最重要的一点是,要关注官方升级,包括操作系统与APP的官方升级”。

一旦用户遭遇“应用克隆”风险侵害,监管部门如何实现有效追责或溯源?“攻击行为除了攻击路径外,还要有一个是获利路径。前者可以通过一些技术方式隐藏,但获利路径相对来说比较难隐藏。因此,很多网络犯罪案件的侦破其实都是循着获利路径作为线索。”于旸说。

警惕你的支付应用被“克 黄葡京棋牌

警惕你的支付应用被“克 黄葡京棋牌

央视节目截图

移动互联时代,新风险让安全问题更加复杂

(责任编辑:幽灵学院)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名: 验证码: 点击我更换图片
栏目列表
推荐内容
1700055555@qq.com 工作日:9:00-21:00
周 六:9:00-18:00
  扫一扫关注幽灵学院