datasheet

网络安全领域暗藏大量“黑天鹅” 逾13%手机APP存重大漏洞

2018-01-13来源: 证券日报 关键字:网络安全

2017年5月份始发并肆虐全球的“勒索病毒”,至今还让人们心有余悸。不过,绝大多数手机用户或许并不清楚,2017年底,他们刚刚又躲过了一场潜在的“洗劫”。


1月9日,腾讯安全玄武实验室宣布,新近发现了一种新型的移动攻击威胁模型,并将其命名为“应用克隆”。发布会上,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的“效果”:在升级到最新安卓8.1.0的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户瞬间就被“克隆”到“攻击者”的手机中,然后“攻击者”在自己手机上可以任意查看用户账户信息,并可进行消费。


值得一提的是,存在“应用克隆”漏洞的并非支付宝APP一家,玄武实验室负责人于旸指出,大量主流APP都存在该漏洞,玄武实验室检测了国内安卓系统中的200个知名APP,其中27家存在该漏洞,占比超过13%,其中包括聚美优品、国美、墨迹天气、一点资讯、携程、百度外卖、京东到家、饿了么、WiFi万能钥匙、小米生活、同程旅游、百度旅游、豆瓣、驴妈妈、赶集网、易车、咕咚、虎扑等。


对此,有业界人士指出,这些知名APP的技术团队实力都较强,况且如此,数量更为庞大非一线APP,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。


由于并非个例且事关重大,玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台(CNVD)。CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号(CNE201736682)。12月10日,CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况及建立了修复方案。


国家互联网应急中心网络安全处副处长李佳表示:“今天,我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢。玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞。这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式,可以说影响范围特别大,危害也是巨大的,刚才通过相关的演示也看到了。玄武实验室在第一时间向我们平台报送了相关的漏洞,可以说为我们对相关的事件应急响应提供了宝贵的时间”。


尽管CNVD已于12月10日对27家APP进行了点对点的通报,不过,截至发布会召开时,时隔1个月,还有不少APP未修复漏洞或未予反馈。“发出通报后不久,CNVD就收到了支付宝、百度外卖、国美等大部分APP的反馈,表示他们已经在修复漏洞”,李佳表示,“由于各个团队的技术能力有差距,目前有的APP已经修复漏洞了,有的APP还没有修复。截至到1月8日,还没有收到反馈的APP包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。在此,也希望这10家没有及时反馈的企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求”。


作为被举例演示的APP,记者从支付宝相关负责人处了解到,支付宝已在一个月前对APP进行了升级,修复了这一安卓漏洞,支付宝用户的账户安全不会受到影响。


不过,令人费解的是,此番被点名的10家APP中,多家APP在接受记者采访时表示,并未获得来自CNVD有关该漏洞的通知。同时亦表示,如果获得了通知,肯定会积极反馈和修复。

需要提及的是,此前勒索病毒之所以能在短时间内波及全球,其中一个重要原因就是警示信息沟通不及时。


受精力所限,此次玄武试验室只是选取了较为知名的200个APP进行了测试,且13%存在“应用克隆”漏洞。不难想见,还有大量存在漏洞的APP在“裸奔”,使用这些APP的用户的手机随时可能遭到攻击。“还有很多APP,他们有问题,但是他们自己不知道,没有任何一个人有精力把全中国的APP都检查一遍,更多的是需要厂商自查,这才是我们此次披露的意义”,于旸表示。

关键字:网络安全

编辑:王磊 引用地址:http://www.eeworld.com.cn/wltx/article_2018011318853.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:亚马逊Alexa App上市3年 Google Play中下载安装量突破1,000万次
下一篇:5G不会称霸2018年CES,但将会成为2019年CES主角

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

加拿大开始网络安全部署以防中国反击

集微网消息,12月6日,华为CFO孟晚舟加拿大被拘一案引起了中方的强烈抗议,中国驻加拿大大使馆、外交部、商务部和深圳市政府相继要求加方停止错误做法并恢复孟晚舟女士人身自由。有国外分析师认为,加拿大可能面临来自中国的反击。安大略省南部治理创新中心全球安全计划主任芬汉普森说:“中国很可能会在这个问题上针锋相对,我们应该做好准备。”前加拿大驻华大使大卫·马尔罗尼表示,中国可能正在寻找反击的方法。据环球邮报报导,加拿大网络安全中心主任斯科特·琼斯拒绝对孟晚舟女士被拘一案发表评论,但他指出,加拿大网络当局已经做好准备,以防中国试图攻击加拿大的通信基础设施。
发表于 2018-12-07

英特尔参投,网络安全初创公司Eclypsium完成875万美元融资

集微网消息,美国初创公司Eclypsium周二宣布完成875万美元融资,以帮助公司开发可以保护计算机及其他电子设备工作时的内置软件,该轮融资由西雅图投资公司Madrona Venture Group领投,Eclypsium先期投资者Andreessen Horowitz、Ubiquity Ventures以及英特尔投资部门跟投。Eclypsium的技术用于保护计算机内部的固件,这是控制机器基本功能的基本软件。该公司表示,其研究表明固件是计算机安全一个被忽视的因素,导致许多设备运行过时的软件容易受到攻击。去年创立Eclypsium之前,公司联合创始人Yuriy Bulygin和Alex Bazhaniuk都曾担任英特尔的安全
发表于 2018-12-05

猎豹移动全系列机器人亮相 AI赋能网络安全智能制造

2018中国网络安全智能制造大会近日在长沙国际会展中心落幕,猎豹移动旗下机器人——接待服务机器人豹小秘、无人咖啡亭豹咖啡,小豹翻译棒和小豹AI音箱成为大会亮点。展会现场,豹小秘承担起接待迎宾的重任,为前来参观的观众进行智慧讲解;豹咖啡则孜孜不倦地为人们奉上一杯杯香浓可口、堪比精品咖啡大师的的咖啡。猎豹机器人家族齐亮相 打造“真有用、真开放”服务机器人在本次网络安全智能制造大会上,负责接待的豹小秘,正在现场,为观众领导提供包括智能引领、服务接待、讲解咨询、语音交互等多项功能和服务。(图为五星级接待服务机器人豹小秘)距离豹小秘不远处,则是猎豹移动旗下基于猎户机械臂平台的豹咖啡。由于在机械臂前端安装了摄像头,豹咖啡能够像人一样灵活操作
发表于 2018-12-03
猎豹移动全系列机器人亮相 AI赋能网络安全智能制造

独立研究公司在其报告中认定Akamai为网络安全领域权威

负责提供安全数字化体验的智能边缘平台阿卡迈技术公司(Akamai Technologies, Inc.,以下简称:Akamai)(NASDAQ:AKAM)今日宣布其在“Forrester Wave™:2018年第四季度零信任eXtended(ZTX)生态系统提供商评估”(The Forrester Wave™: Zero Trust eXtended [ZTX] Ecosystem Providers, Q4 2018 evaluation)中,被认定为“表现优异者”(Strong Performer)。在此报告中,Forrester对14家厂商及其产品组合在ZTX框架特定组件上的具体表现进行了评估。根据分析结果,Akamai在网络安全
发表于 2018-11-19

将网络安全规划进汽车设计阶段

哈曼登场第二届中国汽车网络安全峰会 2018年第二届中国汽车网络安全国际峰会于10月18日和19日在上海盛大举行。此次峰会由上海希为主办,汇聚超过150位国际知名汽车网络安全行业的专家和高管。哈曼作为金牌赞助商参与了主题演讲, 小组讨论和产品展示, 就实现汽车网络安全的有效方案同与会专家进行了深入探讨和经验分享。  来自哈曼汽车网络安全部的亚太区高级商务拓展经理Masakazu Okuda首先分享了主题演讲。根据Markesandmarkets的报告,”汽车网络安全市场将在2021年达到3180万美元的市场规模,年复合增长率将达到13.2%。”这一数字既表明了人们对汽车网络安全不断增长的市场需求
发表于 2018-10-23
将网络安全规划进汽车设计阶段

将网络安全规划进汽车设计阶段

哈曼登场第二届中国汽车网络安全峰会2018年第二届中国汽车网络安全国际峰会于10月18日和19日在上海盛大举行。此次峰会由上海希为主办,汇聚超过150位国际知名汽车网络安全行业的专家和高管。哈曼作为金牌赞助商参与了主题演讲, 小组讨论和产品展示, 就实现汽车网络安全的有效方案同与会专家进行了深入探讨和经验分享。来自哈曼汽车网络安全部的亚太区高级商务拓展经理Masakazu Okuda首先分享了主题演讲。根据Markesandmarkets的报告,”汽车网络安全市场将在2021年达到3180万美元的市场规模,年复合增长率将达到13.2%。”这一数字既表明了人们对汽车网络安全不断增长的市场需求,同时也预示了未来汽车将面临的巨大网络安全
发表于 2018-10-22
将网络安全规划进汽车设计阶段

小广播

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved
pt type="text/javascript" src="//v3.jiathis.com/code/jia.js?uid=2113614" charset="utf-8">