警惕你的支付应用被“克隆”!10%安卓APP被曝存安全漏洞

2018-01-11 11:40 来源:光明网 
2018-01-11 11:40:29来源:光明网作者:责任编辑:张薇

  光明网记者 李政葳 陈畅

  在手机上“点击”一条链接,打开了看似正常的抢红包页面,但无论你是否点击红包,整个支付宝应用已被“克隆”到了另一个手机上,攻击者可以点开你的支付宝并进行消费。

  国内安全机构披露,检测发现国内安卓应用市场约有十分之一的APP存在漏洞,并且这种漏洞容易被“应用克隆”攻击,甚至如支付宝、携程、饿了么等多个主流APP均存在漏洞,几乎影响了国内所有安卓用户。

  “克隆应用”威胁模型令人们震惊不已。业界人士分析,该攻击模型基于移动应用的基本设计特点,几乎所有移动应用都适用该攻击模型。在这种攻击模型视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息、盗取资金等。用户应如何应对手机应用随时可能被“克隆”?“应用克隆”威胁背后,折射出了哪些移动互联网时代新风险?

警惕你的支付应用被“克隆”!10%安卓APP被曝存安全漏洞

  研究人员演示“克隆应用”威胁模型

  仍有10家APP尚未反馈修复情况

  “应用克隆”影响范围涉及了国内主流安卓APP。研究显示,在国内安卓应用市场研究人员监测了约200个APP,发现其中27个存在漏洞,其中18个可被远程攻击,9个只能从本地攻击。

  国家互联网应急中心网络安全处副处长李佳表示,2017年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台(CNCERT平台),平台安排技术人员验证,并为漏洞分配了漏洞编号(CVE201736682),在2017年12月10日向27家具体的APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况以及建立了修复方案。

  “发出通报后不久,收到了包括支付宝、百度外卖,国美等大部分APP的主动反馈,表示已在漏洞的修复进程中。”李佳说,可能由于不同团队的技术能力有差距,目前有的APP已有修复,有的还没有修复。截止1月8日,CNCERT平台还没有收到反馈的APP厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。

  腾讯安全玄武实验室负责人于旸介绍,截至1月9日,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复,但亚马逊(中国版)、卡牛信用管家、一点资讯3个应用修复不全。

  对此,李佳表示,希望这批企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求,当本公司产品出现安全漏洞或隐患时,能够第一时间进行响应和解决修复,保障用户权利。

警惕你的支付应用被“克隆”!10%安卓APP被曝存安全漏洞

  国家信息安全漏洞共享平台发布的安全漏洞公告截图

  未出现利用漏洞发起攻击案例

  什么是“应用克隆”威胁攻击?于旸表示,有些手机自带的数据迁移功能,不仅可以迁移照片,通讯录等数据,还可以将各个APP克隆到新手机上,且不必重新登录即可直接使用。“这个克隆过程完全可能利用漏洞实现,而且所有手机都可以,并不需要手机自带该功能。”于旸说。

  “应用克隆”的可怕之处在于:与以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。

  不过,“好消息”同样存在:一方面,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响;另一方面,腾讯方面表示,目前尚未有已知案例利用这种途径对用户发起攻击。

  与国内相比,类似情况国外相对占比较少。知道创宇首席安全官周景平坦言,究其具体原因可能无从给出一个权威理由,但根据自己在安全行业多年从业经验看,国内的厂商包括开发者,在安全意识上与国外同行相比,确实还有一定的差距。

  另外,周景平还提到了“攻击成本”。这种克隆技术的应用在这整个攻击里面其实就是一个点,要完成这一攻击链条尚需多个技术点配合,然后通过发短信或扫二维码等方式扩散,才能达到最终的效果。“攻击者要掌握这一技术其实成本也很高,研究者们花大精力、成本进行研究,就是希望走在攻击者的前面。”

[责任编辑:张薇]


手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有