“应用克隆”漏洞——安卓主流APP中枪

应用克隆

即在他人的手机上克隆一份APP，克隆者可以轻松获取账户权限，盗取用户账号及资金等，这听上去很可怕，但这样的“应用克隆”攻击模型已经存在，此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，基本是以主流APP为代表的应用，像订餐类，出行类等主流APP，在用户眼里这些APP可能比较成熟不会担心存在安全隐患，可往往事与愿违。

玄武实验室以某APP为例展示了“应用克隆”攻击的效果：在升级到最新安卓8.1.0的手机上，利用其自身的漏洞，“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其账户一秒钟就被“克隆”到“攻击者”的手机中，然后“攻击者”就可以任意查看用户信息，并可直接操作该应用，窃取隐私信息，盗取账号及资金等。不过，腾讯安全玄武实验室负责人于旸于旸表示，本次玄武实验室发现的“应用克隆”漏洞只针对安卓系统。

据了解，基于该攻击模型，腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10%。

对此，腾讯安全玄武实验室负责人于旸指出，移动互联网时代的安全形势更加复杂，只有真正用移动思维来思考移动安全，才能正确评估安全问题的风险。

建立移动安全新思维

在此次报告中于旸首次提出安全厂商要建立“移动安全新思维”，用移动思维来思考移动安全，来适应新的移动互联网安全发展趋势。在他看来，PC时代的安全思维对移动时代来说是不够的。

移动设备有诸多不同于PC的特点，而移动应用也有诸多不同于传统软件的特点。在PC时代，最重要的是系统自身的安全。移动设备系统自身的安全性比PC要高很多，但在端云一体的移动时代，最重要的其实是用户账号体系和数据的安全。而要保护好这些，光搞好系统自身安全是不够的。这使得移动时代的安全问题更加复杂多变，涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手，共同重视。显然以公有云形式存在的APP安全隐患让人担忧。此时以私有云为代表的移动办公应用八点办在安全性方面就比较占据优势。可见私有云办公应用对市场及用户安全不可或缺。

于旸还指出，移动互联网时代的安全形势更加复杂，只有真正用移动思维来思考移动安全，才能正确评估安全问题的风险。安全厂商必须意识到各种新技术新设计会带来更多新问题，要用移动思维来评估每一个安全风险，才能避免最终在安全上积重难返。八点办——公有云及私有云为一体的办公应用在安全性方面为用户解决后顾之忧。

办公就用八点办

高效办公

永久免费

趣味办公