腾讯安全玄武实验室负责人于旸介绍漏洞修复情况
点击一条手机短信,自己的手机支付宝账户就被“克隆”到他人的手机中,对方还可以任意查看自己的账户信息,并可进行消费——昨天,腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞,并给出了修复方案。目前,支付宝已在一个月前对App进行了升级,修复了这一安卓漏洞。国家互联网应急中心表示,已向涉及到的企业发送安全通报,目前仍有10家厂商未能反馈修复情况。
APP被克隆威胁用户信息安全
在他人的手机上克隆一份APP,克隆者可以轻松获取账户权限,盗取用户账号及资金等,这听上去很可怕,但这样的“应用克隆”攻击模型已经存在,且对大多数移动应用都有效。腾讯安全玄武实验室表示,其此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。
腾讯安全玄武实验室负责人于旸表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。玄武实验室以某APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用其自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户信息,并可直接操作该应用,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。不过,于旸表示,本次玄武实验室发现的“应用克隆”漏洞只针对安卓系统。
CNVD:仍有10家厂商未能反馈
国家互联网应急中心网络安全处副处长李佳表示,国家信息安全漏洞共享平台(CNVD)在获取到漏洞的相关情况之后:首先,安排了相关的技术人员对漏洞进行了验证,并且为漏洞分配了漏洞编号CNE201736682;同时,CNVD向这次漏洞涉及到的27家APP相关企业,发送了点对点的漏洞安全通报,同时向各个企业提供了漏洞的详细情况以及建立了修复方案。
李佳称,在发出通报后不久,CNVD就收到了包括支付宝、百度外卖、国美等等大部分APP的主动反馈,表示他们已经在修复漏洞进程中,目前一些APP已经修复。不过截止到前天,尚有10家厂商仍未反馈漏洞情况,其中包括:饿了么、聚美优品、豆瓣、易车、铁友火车票、微店等。李佳希望,上述厂商切实加强网络安全运营能力,落实网络安全法规的主体责任要求;当本公司的产品出现了重大的安全漏洞或者隐患的时候能够第一时间进行响应和解决修复,能够切实地维护和保障广大用户的权利。
腾讯共享修复方案提供技术援助
于旸透露,在发现这些漏洞后,腾讯安全玄武实验室在去年12月通过CNCERT(国家互联网应急中心)向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。另外,玄武实验室将提供“玄武支援计划”协助处理。
于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室也愿意提供相关技术援助。(记者 温婧)