《安卓主流APP的应用克隆漏洞.doc》由会员分享,可在线阅读,更多相关《安卓主流APP的应用克隆漏洞.doc(2页珍藏版)》请在三一文库上搜索。
1、安卓主流 APP 的“应用克隆”漏洞应用克隆即在他人的手机上克隆一份APP,克隆者可以轻松获取账户权限,盗取用户账号及资金等,这听上去很可 怕,但这样的“应用克隆”攻击模型已经存在,此次发现的 漏洞至少涉及国内安卓应用市场十分之一的APP ,基本是以主流APP为代表的应用,像订餐类,出行类等主流 APP,在 用户眼里这些 APP 可能比较成熟不会担心存在安全隐患, 可 往往事与愿违。玄武实验室以某 APP 为例展示了“应用克隆”攻击的效果: 在升级到最新安卓 8.1.0 的手机上,利用其自身的漏洞, “攻 击者”向用户发送一条包含恶意链接的手机短信,用户一旦 点击,其账户一秒钟就被“克隆”到“
2、攻击者”的手机中, 然后“攻击者”就可以任意查看用户信息,并可直接操作该 应用,窃取隐私信息,盗取账号及资金等。不过,腾讯安全 玄武实验室负责人于旸于旸表示,本次玄武实验室发现的 “应用克隆”漏洞只针对安卓系统。 据了解,基于该攻击模型,腾讯安全玄武实验室以某个常被 厂商忽略的安全问题进行检查, 在 200 个移动应用中发现 27 个存在漏洞,比例超过 10%。对此,腾讯安全玄武实验室负 责人于旸指出,移动互联网时代的安全形势更加复杂,只有 真正用移动思维来思考移动安全,才能正确评估安全问题的风险。 建立移动安全新思维在此次报告中于旸首次提出安全厂商 要建立“移动安全新思维” ,用移动思维来思
3、考移动安全, 来适应新的移动互联网安全发展趋势。在他看来, PC 时代 的安全思维对移动时代来说是不够的。 移动设备有诸多不同于 PC 的特点,而移动应用也有诸多不 同于传统软件的特点。在 PC 时代,最重要的是系统自身的 安全。移动设备系统自身的安全性比 PC 要高很多,但在端 云一体的移动时代,最重要的其实是用户账号体系和数据的 安全。而要保护好这些,光搞好系统自身安全是不够的。这 使得移动时代的安全问题更加复杂多变,涉及的方面也更 多。需要手机厂商、应用开发商、网络安全研究者等多方携 手,共同重视。 显然以公有云形式存在的 APP 安全隐患让人 担忧。此时以私有云为代表的移动办公应用八点办在安全性 方面就比较占据优势。可见私有云办公应用对市场及用户安 全不可或缺。 于旸还指出,移动互联网时代的安全形势更加复杂,只有真 正用移动思维来思考移动安全,才能正确评估安全问题的风 险。安全厂商必须意识到各种新技术新设计会带来更多新问 题,要用移动思维来评估每一个安全风险,才能避免最终在 安全上积重难返。八点办公有云及私有云为一体的办公 应用在安全性方面为用户解决后顾之忧。2018 年 1 月 11 日