乐虎国际娱乐|官网 > 乐虎课程 > C4D模型 >

腾讯安全玄武实验室发现“应用克隆”攻击模型:几乎适用所有安卓系统APP

2018-01-10 17:02| 发布者: 2018-01-10 17:02| 查看: | 评论: 0

摘要: 今天,腾讯安全玄武实验室与知道创宇404实验室共同公布并展示了“应用克隆”这一移动攻击威胁模型。

  央广网北京1月9日消息 今天,腾讯安全玄武实验室与知道创宇404实验室共同公布并展示了“应用克隆”这一移动攻击威胁模型。这一攻击模型几乎适用于安卓操作系统下的所有移动应用,iOS系统尚未涉及。

  工信部网络安全管理局网络与数据安全处处长付景广表示:“现在随着互联网及数字经济的发展,网络安全一方面造福于国家、社会,同时带来的网络安全问题也越来越突出。腾讯做了大量的工作并把相关的情况公之于众,提醒大家给予高度的重视,并且加以针对性的防范,充分体现了移动安全领域的技术能力,我们有能力去发现没有人发现过的漏洞,体现出非常高的水平。同时,这也体现了腾讯高度的社会责任感,发现了问题及时提醒,及时帮助大家去解决问题、防范风险,这非常值得肯定。” 

  腾讯安全玄武实验室负责人于旸则表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。

  基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。在发现这些漏洞之后,腾讯安全玄武实验室通过CNCERT向厂商报告了相关漏洞,并提供了修复方法。

  考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过新闻发布会希望更多移动应用开发商了解该问题。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。同时,玄武实验室将提供“玄武支援计划”协助处理。

  于旸介绍,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。同时于旸还指出,移动互联网时代的安全形势更加复杂,只有真正用移动思维来思考移动安全,才能正确评估安全问题的风险。

  腾讯安全玄武实验室在研究过程中还发现,“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过,但显然在业界并未引起足够重视。

  发布会上,李佳副处长代表CNCERT(国家互联网应急中心)网络安全处和CNVD对腾讯安全玄武实验室所做的工作表示感谢。他表示,腾讯安全玄武实验室在第一时间向CNCERT平台报送了相关的漏洞,为相关的事件应急响应提前提供了很宝贵的时间。CNVD在获取到漏洞的相关情况之后,安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于2017年12月10号向27家具体的APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况以及建立了修复方案。

  适应网络安全发展新趋势 腾讯安全首倡 “移动安全新思维”

  于旸在此次报告中首次提出安全厂商要建立“移动安全新思维”,用移动思维来思考移动安全,来适应新的移动互联网安全发展趋势。在他看来,PC时代的安全思维对移动时代来说是不够的。移动设备有诸多不同于PC的特点,而移动应用也有诸多不同于传统软件的特点。在PC时代,最重要的是系统自身的安全。而移动设备系统自身的安全性比PC要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。而要保护好这些,光搞好系统自身安全是不够的。这使得移动时代的安全问题更加复杂多变,涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手,共同重视。

腾讯安全玄武实验室发现“应用克隆”攻击模型:几乎适用所有安卓系统APP

于旸在此次报告中首次提出安全厂商要建立“移动安全新思维

  “传统的利用软件漏洞进行攻击的思路,一般是先用漏洞获得控制,再植入后门。好比想长期进出你酒店的房间,就要先悄悄尾随你进门,再悄悄把锁弄坏,以后就能随时进来。现代移动操作系统已经针对这种模式做了防御,不是说不可能再这样攻击,但难度极大。如果我们换一个思路:进门后,找到你的酒店房卡,复制一张,就可以随时进出了。不但可以随时进出,还能以你的名义在酒店里消费。目前,大部分移动应用在设计上都没有考虑这种攻击方式。”于旸表示,移动互联网时代,安全厂商必须意识到各种新技术新设计会带来更多新问题,要用移动思维来评估每一个安全风险,才能避免最终在安全上积重难返。

上一篇:没有了

相关阅读

精彩阅读

更多+