安卓用户需警惕“应用克隆” “攻击者”可查看其账户信息并消费
2018年1月10日讯,利用支付型APP的漏洞,向用户发送一条包含恶意链接的手机短信,用户一旦点击,其账户一秒内就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息并消费。这就是被称为“应用克隆”的威胁模型风险。昨天,腾讯安全玄武实验室将这一模型正式对外披露,并称其可能威胁大多数安卓用户。
基于该攻击模型,实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现了27个存在漏洞,比例超过10%。腾讯安全玄武实验室负责人于旸介绍道:“此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、携程、饿了么等多个主流APP。安卓用户有必要警惕这一风险。”
于旸介绍道,由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。这一漏洞利用方式一旦被不法分子利用,就可以轻松克隆获取用户账户权限,盗取用户账号及资金。
在发现这些漏洞后,腾讯安全玄武实验室通过国家互联网应急中心向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。但考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过新闻发布会希望更多移动应用开发商了解该问题并进行自查。同时,玄武实验室将提供“玄武支援计划”协助处理。
来源:北京晚报 记者 殷呈悦
相关阅读
北晚新视觉网版权与免责声明:
一、凡本站中注明“来源:北晚新视觉网或北京晚报”的所有文字、图片和音视频,版权均属北晚新视觉网所有,转载时必须注明“来源:北晚新视觉网”,并附上原文链接。
二、凡来源非北晚新视觉网或北京晚报的新闻(作品)只代表本网传播该消息,并不代表赞同其观点。
如因作品内容、版权和其它问题需要同本网联系的,请在见网后30日内进行,联系邮箱:takefoto@vip.sina.com。
