腾讯安全玄武实验室公布应用克隆攻击模型已

2019-03-09 23:02:53 来源: 河东信息港

腾讯安全玄武实验室公布“应用克隆”攻击模型 已提供给相关厂商自查

作者:周润健来源:新华

新华社天津1月9日电(周润健)9日,应用克隆这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404实验室联合公布并展示了这一重大研究成果。

腾讯安全玄武实验室负责人于旸介绍说,在玄武安全研究团队研究过程中,发现由于现在操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现应用克隆攻击。

在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松克隆用户账户,窃取隐私信息,盗取账号及资金等。于旸说。

据介绍,应用克隆对大多数移动应用都有效。玄武实验室以支付宝APP为例展示了应用克隆攻击的效果:在升级到安卓8.1.0的上,利用支付宝APP自身的漏洞,攻击者向用户发送一条包含恶意链接的短信,用户一旦点击,其支付宝账户一秒钟就被克隆到攻击者的中,然后攻击者就可以任意查看用户账户信息,并可进行消费。目前,支付宝在版本中已修复了该漏洞。

在发现这些漏洞之后,腾讯安全玄武实验室通过国家互联应急中心向厂商报告了相关漏洞,

腾讯安全玄武实验室公布应用克隆攻击模型已

并提供了修复方法,避免该漏洞被不法分子利用。但考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过披露这一移动攻击威胁模型让更多移动应用开发商了解该问题并进行自查。于旸说。

本文标签: