大蘋果果的個(gè)人空間

1月9日，騰訊微信公眾號發(fā)布文章稱，騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404實(shí)驗(yàn)室，在聯(lián)合召開的技術(shù)研究成果發(fā)布會上，正式對外披露攻擊威脅模型“應(yīng)用克隆”。
騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示，該攻擊模型基于移動應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的，所以幾乎所有移動應(yīng)用都適用該攻擊模型。
玄武實(shí)驗(yàn)室以某APP為例展示了“應(yīng)用克隆”攻擊的效果：在升級到最新安卓8.1.0的手機(jī)上，利用其自身的漏洞，“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信，用戶一旦點(diǎn)擊，其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中，然后“攻擊者”就可以任意查看用戶信息，并可直接操作該應(yīng)用。
騰訊方面發(fā)布的消息稱，經(jīng)過測試，“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效，在200個(gè)移動應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞，比例超過10%。玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP，如支付寶、餓了么等多個(gè)主流APP均存在漏洞，所以該漏洞幾乎影響國內(nèi)所有安卓用戶。
于旸介紹，在玄武安全研究團(tuán)隊(duì)研究過程中，發(fā)現(xiàn)由于現(xiàn)在手機(jī)操作系統(tǒng)本身對漏洞攻擊已有較多防御措施，所以一些安全問題常常被APP廠商和手機(jī)廠商忽略。而只要對這些貌似威脅不大的安全問題進(jìn)行組合，就可以實(shí)現(xiàn)“應(yīng)用克隆”攻擊。
騰訊方面稱，在發(fā)現(xiàn)這些漏洞后，騰訊安全玄武實(shí)驗(yàn)室通過CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）向廠商通報(bào)了相關(guān)信息，并給出了修復(fù)方案。目前支付寶、餓了么等主流APP已主動修復(fù)了該漏洞（用戶可升級到最新版本）。