9日,“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404实验室联合公布并展示了这一重大研究成果。
腾讯安全玄武实验室负责人于旸介绍说,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。
“在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松‘克隆’用户账户,窃取隐私信息,盗取账号及资金等。”于旸说。
据介绍,“应用克隆”对大多数移动应用都有效。玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上,利用支付宝APP自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。
“在发现这些漏洞之后,腾讯安全玄武实验室通过国家互联网应急中心向厂商报告了相关漏洞,并提供了修复方法,避免该漏洞被不法分子利用。但考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过披露这一移动攻击威胁模型让更多移动应用开发商了解该问题并进行自查。”于旸说。
请输入验证码