首页 | 财经 | 股票 | 基金 | 网贷 | 外汇 | 银行 | 黄金 | 保险 | 论坛 | 行情中心 | 基金超市 | 保险超市 | 地图中心
当前位置 > 首页 > 财经频道 > 人物 > 正文
安卓APP存在"应用克隆"漏洞 可复制支付宝信息并消费
2018-01-12 06:23:58来源:特牛财经阅读()评论(0)点赞(0)

   

 

  “应用克隆”这一移动攻击威胁模型的对外披露,引发了不少网民的恐慌情绪。一些一度被认为威胁不大、厂商也不重视的安全漏洞,竟然能“克隆”用户账户、窃取隐私信息、盗取账号及资金……营造安全移动支付环境,容不得一丝侥幸。手机厂商、应用开发商、网络安全研究者应携起手来,共同落实网络安全法及其他法律法规要求,彻底堵死可能的风险与漏洞——

  在手机上点击一个网站链接,打开的是一个看似完全正常的抢红包页面,但无论你是否点击红包,你的支付宝应用已经在另一台手机上被“克隆”,甚至包括你的用户名和密码,攻击者可以点开支付宝付款码消费。

  尽管现在支付宝已经修复了这一漏洞,但腾讯安全玄武实验室与知道创宇404实验室1月9日披露的攻击威胁模型“应用克隆”仍令人十分震惊。腾讯安全玄武实验室负责人于旸表示:“该攻击模型是基于移动应用的一些基本特点设计的。所以,几乎所有移动应用都适用该攻击模型。”研究显示,市面上200多款常见安卓应用中,有27款应用可被这种方式攻击,占比超过10%。

  岁末年初,网络安全又成为很多人热议的话题。你的手机被“克隆”了吗?有什么防范方法?在这个“可怕”的攻击威胁背后,又折射出怎样的移动互联网时代安全新形势?经济日报记者采访了相关专家。

  厂商安全意识薄弱——

  应用及时升级很重要

  “应用克隆”的可怕之处在于,与以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。于旸比喻说:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不仅能随时进出,还能以你的名义在酒店消费。”

  “应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。腾讯表示,目前尚无已知案例利用这种途径发起攻击。

  与此同时,这一消息也被及时以各种方式传递出去,但反馈的情况却“参差不齐”。工信部网络安全管理局网络与数据安全处处长付景广表示,接到腾讯的通报后,“我们也组织相关单位和专家开展了认真分析和研判”。

  国家互联网应急中心网络安全处副处长李佳则介绍说,2017年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台。在经过相关技术人员验证后,国家信息安全漏洞共享平台为这一漏洞分配了编号,并于2017年12月10日向这27个应用设计的企业发送了点对点安全通报。

  “在发出通报后不久,就收到了包括支付宝、百度外卖、国美等大部分厂商的主动反馈,表示他们已开始修复漏洞,但截至2018年1月8日,还未收到京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商的相关反馈。”于旸表示,截至1月9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。

  在1月9日技术研究成果发布会现场演示中,仍然可以用这种方式“克隆”携程安卓版手机应用,在“克隆”后尚能看到用户的交易记录。

  这从某种意义上显示出国内部分手机应用厂商安全意识薄弱。于旸坦言:“我们也看了一部分国外应用,受这个漏洞影响的应用总体占比较国内少很多。从我十几年的网络安全领域从业经验来看,国内厂商和开发者,在安全意识上与国外同行相比确实有一定差距。”

  普通用户最关心的则是如何能对这一攻击方式加以防范。知道创宇404实验室负责人周景平回答记者提问时表示:“普通用户的防范比较头疼,但仍有一些通用的安全措施。一是别人发给你的链接轻易不要点开,不太确定的二维码不要出于好奇心就去扫,更重要的是要随时关注官方的升级,及时升级手机操作系统和应用软件。”

转载声明:任何媒体转载本网文章请注明(特牛网)。否则我方将会追究法律责任。
分享到:更多分享
    为您推荐
高928米!迪拜计划耗资10亿美元建世界最高塔

高928米!迪拜计划耗资10亿美元建世界最高塔

2018-01-12 06:23:26

     据英国广播公司报道,日前,迪拜一座耗资10亿美元,可容纳超过47万人的“迪拜河...

2018恒天财富荣耀年会全国联动北京站圆满落幕

2018恒天财富荣耀年会全国联动北京站圆满落幕

2018-01-11 06:18:58

  在恒天财富创业十年到来之际,为了答谢所有陪伴恒天财富一路走来的高净值客户,恒天财富...

陈氏财经:美指再刷新高,伦敦金1310再次攻陷

陈氏财经:美指再刷新高,伦敦金1310再次攻陷

2018-01-11 06:18:10

  基准10年期美债收益率十个月来首度升破2.5%,美债收益率曲线创逾一年新高。美国三大股...

全球前十!财富榜的大佬们 你都了解多少?

全球前十!财富榜的大佬们 你都了解多少?

2018-01-10 05:54:33

  “大佬饭局”成了世界互联网大会期间的一大花絮,也引发网友八卦和调侃:八...

财经类211院校介绍——上财、央财、贸大、西财、中南财经

财经类211院校介绍——上财、央财、贸大、西财、中南财经

2018-01-10 05:53:59

  本帖最后由 earthwatch 于 2018-1-9 13:50 编辑  财经类211院校介绍—&mdash...

XCOQ爱客:非农远低于预期 美元或进一步下跌

XCOQ爱客:非农远低于预期 美元或进一步下跌

2018-01-09 06:09:01

  新浪外汇讯,周五(1月5日) 公布数据显示,美国12月非农就业人数增加14.8万人,远低于预期...

 红八财富:钱该放哪?

 红八财富:钱该放哪?

2018-01-09 06:08:03

  余额宝算得上是一个投资风险分水岭,比余额宝收益高的产品多得数不胜数,但是随之风险就...

热销金融产品
  • 国泰大宗商品配置(QDI 逆势上涨
    近三个月收益:0.234%
    类型:QDII 立即购买
  • 国泰国证食品饮料行业指数 逆势上涨
    近三个月收益:0.221%
    类型:股票型基金 立即购买
  • 易方达消费行业股票 逆势上涨
    近三个月收益:0.220%
    类型:股票型基金 立即购买
  • 长盛新兴成长混合 逆势上涨
    近三个月收益:0.219%
    类型:混合型基金 立即购买
  • 长盛互联网+混合 逆势上涨
    近三个月收益:0.218%
    类型:混合型基金 立即购买
  • 易方达改革红利混合 逆势上涨
    近三个月收益:0.210%
    类型:混合型基金 立即购买