政务频道 > 工信 > 正文

部分安卓APP存漏洞 用户信息可被复制并消费

2018-01-17  来源:光明日报

zOREXsKq..jpg.jpg

郑州市公安局文化路分局查获的电脑、手机、存折、银行卡等涉案物品堆满桌(王中举 摄)

国内安全机构近日披露,部分安卓APP存在安全漏洞,用户账户信息可被复制并消费——

“应用克隆”威胁带给移动安全哪些警示

点击手机短信里一条链接,打开后看似是正常的抢红包页面,但无论你是否点击红包,支付宝应用都已被“克隆”到了另一部手机上,攻击者可以随意点开你的支付宝消费……国内安全机构近日披露,检测发现国内安卓应用市场约有十分之一的APP存在漏洞,支付宝、携程、饿了么等多个主流APP均在列,并且这种漏洞易被“应用克隆”攻击。

虽然支付宝等应用漏洞已基本修复,但“克隆应用”威胁模型的曝出令人们震惊不已。业界人士分析,该攻击模型基于移动应用的基本设计特点,几乎所有应用均适用该模型。在这种攻击模型视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息、盗取资金。用户如何应对手机应用被“克隆”?“应用克隆”威胁的背后,又折射出哪些移动互联的新风险?日前,记者对此进行了探访。

1.“应用克隆”的神秘面纱

国内安卓应用市场研究人员监测了约200个应用,发现其中27个存在漏洞,18个可被远程攻击。国家互联网应急中心网络安全处副处长李佳表示,国家信息安全漏洞共享平台在2017年12月7日接到腾讯应用检测报告,并迅速安排技术人员验证、为漏洞分配编号,在2017年12月10日向27家具体应用发送点对点的漏洞安全通报和漏洞修复方案。“发出通报后不久,我们收到了支付宝、百度外卖、国美等大部分APP厂商的主动反馈,并表示已在进行漏洞修复进程。”

“应用克隆”的可怕之处在于:与以往的攻击不同,它实际上并不依靠传统木马病毒,也不需要用户下载“李鬼”应用,而是可以利用漏洞直接“克隆”。“就像过去想进入他人的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。”腾讯安全玄武实验室负责人于旸说。

不过,“好消息”同样存在:一方面,被曝出的“应用克隆”漏洞只对安卓系统有效,苹果手机目前不受影响;另一方面,目前尚未出现已知案例利用这种途径对用户发起攻击。

用户如何防范这种攻击?“攻击短信用户几乎无从分辨,普通用户防范的问题还比较头疼。”于旸坦言。不过,攻击者发送短信或二维码情况较多,用户要少点击别人发来的链接,对不太确信的二维码也不要出于好奇扫描,最重要的一点是要关注官方升级,包括操作系统与移动应用的官方升级。

2.新风险让移动安全问题更复杂

如今,操作系统在攻防对抗中增加了大量防御功能,传统漏洞攻击实施难度不断增加。这是否意味着移动操作系统漏洞威胁的减轻?“这只是错觉!”在于旸看来,移动应用有许多不同于传统软件的特点。比如,PC时代系统安全十分重要,而“端云一体”的移动时代还涉及用户账号体系和数据的安全,要保护好这些仅靠系统安全还远远不够。

“由于移动互联的自身特点,会引入更多安全的新变量和‘耦合点’,这些很有可能结合出新风险。”于旸说,某个单纯的节点可能都没问题,但这些点相互耦合形成复杂的网状,使得移动安全更加复杂多面。

“市场上各类应用众多,但安全标准不统一,移动应用缺乏规范的安全标识,用户也无法清晰获知应用是否安全。”在日前举办的第二十届亚洲反病毒大会上,国家计算机病毒应急处理中心常务副主任陈建民介绍,各类流氓软件中窃取个人隐私情况达95%以上,手机应用木马病毒、盗版应用等问题也十分普遍。

另外,不少移动应用的隐私政策普遍存在问题,也带来不少安全隐患。《南方都市报》日前发布的《2017个人信息保护年度报告》显示,在近三年工信部公布的466款不良移动应用中,有些被责令下架后经过包装可能再次上线;另外,研究人员对1500多个APP与网站的隐私政策测评发现,普遍存在平台透明度低的情况,隐私政策存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病。

3.建立“移动安全新思维”

“安全领域问题都不能指望一招彻底解决,因为它涉及了多个因素,必须采取一系列的纵深防御措施才能出现好的结果。”于旸说。

腾讯安全玄武实验室在“应用克隆”威胁研究中发现,其涉及的部分技术曾有研究人员提及过,但在业界并未引起足够重视。“大部分移动应用在设计上都没有考虑这种攻击方式。”于旸表示,移动互联网时代安全厂商必须意识到各种新技术、新设计会带来更多新问题,必须建立“移动安全新思维”,才能避免在安全方面积重难返。

面对移动应用领域出现的各类安全威胁,于旸表示,绝对不能说依靠某一环节和单纯让用户提高防范意识就能解决问题,也不能依赖某一两家厂商扭转态势,只有手机生产商、应用开发商以及包括安全行业整个链条上的每个环节携手共同努力,才能为移动互联网行业发展创造健康的环境。

目前,相关部门也在不断推进安全风险的共联、共治。李佳表示,在这次事件中发挥作用的国家信息安全共享平台已联合了国内的重大信息系统单位,如基础电信运营商、安全厂商以及相关互联网企业等60家单位,共享各自发现的漏洞并及时通报消息。截至目前,共收录软硬件产品漏洞10万起,具体事件型漏洞30万起,党政机关和重要信息系统漏洞6.9万起。

<上一页 下一页>
文章关键词:部分安卓APP存漏洞 用户信息可被复制并消费 责编:王江龙
5034

相关阅读 换一换

  • 爱心处处闪耀 感动常在心间——郑州供水青年职工走进儿童福利院

    阳光、笑脸、拥抱、陪伴……12月22日,是中国节气冬至,当天阳光异常温暖,郑州市儿童福利院热闹非凡,800余名孩子感受到丝丝的暖意。

  • 郑州供水职工优质服务获赞誉

    2017年12月19日早上,郑水三强公司桐柏路维修队办公室内迎来了两名特殊的客人,他们是三全食品股份有限公司的工作人员,专程为桐柏路维修队送来一面写有“心系企业 排忧解难”字样的大红锦旗,感谢维修队职工热心服务,保障三全食品厂用水安全。

  • 心系用户 郑州供水走进苗圃小区

    近日,寒潮来袭,为了做好水表防冻工作,保证用户冬季的正常用水,2017年12月15日上午,郑州供水营业处二七营销所户表一班及二七维修班一行8人,把“供水营销直通车”开进了苗圃小区,开展水表防冻。

  • 一封感谢信背后的故事

    2017年12月8日,郑州供水营业处管城营销所来了一位特殊的“客人”。一位五、六十岁的老人送来一封感谢信,感谢该所户表二班营销员司菲为其解决水费问题。

  • 郑州北部供水压力偏低问题有望得到缓解

    2017年12月8日晚10点,郑州自来水投资控股有限公司将开通沿西三环北延线、经君兴大道新敷设的DN500供水管道,向江山路以东区域调水,届时郑州市区北部低压区压力偏低问题有望得到缓解。

  • 郑州水司真情服务为民解决供水难题 获认可收到锦旗

    近日,郑州绿城物业公司阿卡迪亚服务中心的刘经理和周经理手捧一面鲜红的锦旗,专程来到郑州水司三强公司,对该公司所属商鼎路维修队的真情服务表示感谢。

  • 郑州供水营业处“供水营销直通车”开进顺河路43号院

    2017年12月1日上午,郑州供水营业处管城营销所将“供水营销直通车”开进了位于紫荆山路和顺河路交叉口的顺河路43号黄委会家属院,开展便民服务进社区活动。

  • 郑州自来水工程公司把“党课”送到工地

    为促进广大党员自觉用党的十九大精神武装头脑、指导实践、推动工作,在郑州自来水投资控股有限公司党委的统一部署和精心指导下,郑州自来水工程公司(下简称工程公司)党委组织各个党支部陆续开展了形式多样、生动活泼的学习方式学习宣传贯彻十九大精神活动,

  • 郑州供水职工寒冬不分昼夜抢修保供水

    进入冬季,随着气温的不断走低,遍布大街小巷、居民庭院的各种管径的供水管道也进入了漏水高发期,郑州水司抢修群里的抢修量通报每天准确无误地记录着抗寒抢修期间抢修职工的辛苦和忙碌:11月28日18时至2017年11月29日18时,各类接单共计45张,完成漏水维修13处,其中DN300以上1处……

  • 为冬日里的供水维修工点赞

    2017年11月24日下午17点钟左右,郑州供水热线突然接到位于北环中方园小区用户打来电话,反映表井内漏水严重。

时政要闻

郑州街头现共享单车电子围栏 “禁停区”违规停车将扣费 郑州街头现共享单车禁停区

专题

戊戌年黄帝故里拜祖大典 戊戌年黄帝故里拜祖大典

地市风采

视点中国

网站简介 | 版权声明 | 广告服务 | 联系方式 | 网站地图

Copyright © 2012 hnr.cn Corporation,All Rights Reserved

映象网络 版权所有