发布时间:2018-01-12 11:58:34编辑:下1个好软件
腾讯安全玄武实验室与知道创宇404实验室,在联合召开的发布会上,正式对外披露攻击威胁模型「应用克隆」。
腾讯安全玄武实验室负责人于旸(TK教主)表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。
在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。
现场,以支付宝为例展示了「应用克隆」攻击的效果:
你在手机上点击一个网站链接,可以看到一个看上去正常的支付宝抢红包页面,但你一旦点击,噩梦就此开始。账户一秒钟就被“克隆”到“攻击者”的手机中,攻击者借此完全可以任意查看用户信息,并用你的支付宝消费。
这是当前利用漏洞传递恶意代码的一种典型方式。TK教主称,在手机上点击恶意链接,有漏洞的应用就会被完全控制。TK教主在回答记者提问时表示,这种攻击短信它本身用户应该是无从分辨的,看起来跟其他的短信应该没有什么区别。有可能攻击者不在你的好友通讯录名单里面,可能你拿到的是一个未知号码,由此引起警惕。
这让人想到觉得毛骨悚然。
腾讯表示,经过测试,「应用克隆」对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,该漏洞几乎影响国内所有安卓用户。
在发现这些漏洞后,腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。
2024-12-23
柚子社新作《天使☆嚣嚣 RE-BOOT!》中文版将发布
塞尔达风格游戏《任务大师》 推出全新单人剧情模式
《命运2》活跃玩家逐渐流失 近期创下游戏steam新低
热门劳动游戏《超市模拟器》重大更新 限时折扣开启
绝区零迷失之地卡牌获取方法
《龙腾4》总监还是认为游戏失败是因为「仇恨运动」
塞尔达启动!研究称开放世界游戏能改善玩家心理健康
世嘉高层在采访时称未来将都不会再生产迷你游戏机
DFC Intelligence预测 任天堂将主导下一代游戏主机市场