惊现“应用克隆”攻击可窃取用户账户隐私

【深圳商报讯】(记者 陈姝)昨日,腾讯安全玄武实验室与知道创宇404实验室正式披露一项名为“应用克隆”的移动攻击威胁模型,攻击者可利用APP漏洞“克隆”用户账户,窃取隐私信息,盗取账号及资金等,经检查国内10%的主流安卓APP已中招。目前,腾讯已提供了修复方法。

腾讯安全玄武实验室负责人于旸介绍说,该攻击模型是基于移动应用的一些基本设计特点,利用很多以前认为威胁不大的安全问题,轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。比如“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中,“攻击者”就可以任意查看用户账户信息,并进行消费。

据介绍,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。在发现这些漏洞之后,腾讯安全玄武实验室通过CNCERT(国家互联网应急中心)向厂商报告了相关漏洞,并提供了修复方法。

考虑该漏洞影响的广泛性,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,希望更多的APP厂商关注并自查产品是否存在相应漏洞,并进行修复。对用户量大、涉及重要数据的APP,玄武实验室愿意提供相关技术援助。

于旸提出,厂商要建立“移动安全新思维”。在PC时代,最重要的是系统自身的安全,但在端云一体的移动时代,最重要的是用户账号体系和数据的安全。而要保护好这些,光搞好系统自身安全是不够的,需要手机厂商、应用开发商、网络安全研究者等多方携手。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180110C01HF900?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码关注腾讯云开发者

领取腾讯云代金券