网络安全领域暗藏大量“黑天鹅” 逾13%手机APP存重大漏洞

2018-01-13 17:41:14编辑:王磊 关键字:网络安全

2017年5月份始发并肆虐全球的“勒索病毒”,至今还让人们心有余悸。不过,绝大多数手机用户或许并不清楚,2017年底,他们刚刚又躲过了一场潜在的“洗劫”。


1月9日,腾讯安全玄武实验室宣布,新近发现了一种新型的移动攻击威胁模型,并将其命名为“应用克隆”。发布会上,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的“效果”:在升级到最新安卓8.1.0的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户瞬间就被“克隆”到“攻击者”的手机中,然后“攻击者”在自己手机上可以任意查看用户账户信息,并可进行消费。


值得一提的是,存在“应用克隆”漏洞的并非支付宝APP一家,玄武实验室负责人于旸指出,大量主流APP都存在该漏洞,玄武实验室检测了国内安卓系统中的200个知名APP,其中27家存在该漏洞,占比超过13%,其中包括聚美优品、国美、墨迹天气、一点资讯、携程、百度外卖、京东到家、饿了么、WiFi万能钥匙、小米生活、同程旅游、百度旅游、豆瓣、驴妈妈、赶集网、易车、咕咚、虎扑等。


对此,有业界人士指出,这些知名APP的技术团队实力都较强,况且如此,数量更为庞大非一线APP,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。


由于并非个例且事关重大,玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台(CNVD)。CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号(CNE201736682)。12月10日,CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况及建立了修复方案。


国家互联网应急中心网络安全处副处长李佳表示:“今天,我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢。玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞。这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式,可以说影响范围特别大,危害也是巨大的,刚才通过相关的演示也看到了。玄武实验室在第一时间向我们平台报送了相关的漏洞,可以说为我们对相关的事件应急响应提供了宝贵的时间”。


尽管CNVD已于12月10日对27家APP进行了点对点的通报,不过,截至发布会召开时,时隔1个月,还有不少APP未修复漏洞或未予反馈。“发出通报后不久,CNVD就收到了支付宝、百度外卖、国美等大部分APP的反馈,表示他们已经在修复漏洞”,李佳表示,“由于各个团队的技术能力有差距,目前有的APP已经修复漏洞了,有的APP还没有修复。截至到1月8日,还没有收到反馈的APP包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。在此,也希望这10家没有及时反馈的企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求”。


作为被举例演示的APP,记者从支付宝相关负责人处了解到,支付宝已在一个月前对APP进行了升级,修复了这一安卓漏洞,支付宝用户的账户安全不会受到影响。


不过,令人费解的是,此番被点名的10家APP中,多家APP在接受记者采访时表示,并未获得来自CNVD有关该漏洞的通知。同时亦表示,如果获得了通知,肯定会积极反馈和修复。

需要提及的是,此前勒索病毒之所以能在短时间内波及全球,其中一个重要原因就是警示信息沟通不及时。


受精力所限,此次玄武试验室只是选取了较为知名的200个APP进行了测试,且13%存在“应用克隆”漏洞。不难想见,还有大量存在漏洞的APP在“裸奔”,使用这些APP的用户的手机随时可能遭到攻击。“还有很多APP,他们有问题,但是他们自己不知道,没有任何一个人有精力把全中国的APP都检查一遍,更多的是需要厂商自查,这才是我们此次披露的意义”,于旸表示。

关键字:网络安全

来源: 证券日报 引用地址:http://www.eeworld.com.cn/wltx/article_2018011318853.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:亚马逊Alexa App上市3年 Google Play中下载安装量突破1,000万次
下一篇:5G不会称霸2018年CES,但将会成为2019年CES主角

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

“黑客”屡入侵 汽车网络安全如何保证?

震惊,克莱斯勒为了防止汽车被黑客攻击,在全球召回了140万辆车并安装了相应补丁。而在2016年,腾讯科恩实验室曾上传了一段“狂虐”特斯拉的视频,在视频中,黑客们实现了不用钥匙打开了汽车车门,在行驶中突然打开后备箱、关闭后视镜及突然刹车等远程控制。而不久前据英国广播公司报道,国内一家网络安全实验室的研究显示,宝马汽车的电脑系统存在14处漏洞,黑客可利用这些漏洞在汽车行驶时取得部分控制权。研究人员发现利用这些漏洞,黑客可以通过插入U盘、使用蓝牙以及车辆自带的3G/4G数据连接等方式控制汽车。目前宝马正在修复电脑系统的漏洞。此外,奥迪、保时捷、宾利和兰博基尼等品牌亦均曾受到网络安全的影响。虽然目前大多数网络事件属于白帽黑客模拟性攻击
发表于 2018-07-10 16:36:35
“黑客”屡入侵 汽车网络安全如何保证?

人工智能在网络安全中的四大主流应用

随着近些年科技日新月异的发展,人工智能、云计算、大数据等词成为当今的热搜词汇。人工智能可谓是其中的“当红炸子鸡”,无论是国内还是国外,都得到了相当高的关注,并且人工智能在越来越多领域扮演着举足轻重的地位。那么,在计算机网络安全管理技术中,最主要的内容包括反垃圾邮件、防火墙和入侵检测3个部分,同时网络控制和网络监视则是网络管理系统过程中最重要的两个环节。结合人工智能在计算机网络中的这些优势,可以更好地管理计算机网络安全。1.智能反垃圾邮件系统人工智能应用在反垃圾邮件系统中,除了可以保护用户数据的安全外,最主要的是可以检测扫描用户邮件并进行智能识别,及时发现其中的敏感信息,同时采取有效防范措施阻止恶意邮件,使用户免受垃圾邮件骚扰之忧
发表于 2018-06-04 20:06:04
人工智能在网络安全中的四大主流应用

人工智能在网络安全中有什么作用?看完下文你就懂了

随着近些年科技日新月异的发展,人工智能、云计算、大数据等词成为当今的热搜词汇。人工智能可谓是其中的“当红炸子鸡”,无论是国内还是国外,都得到了相当高的关注,并且人工智能在越来越多领域扮演着举足轻重的地位。 那么,在计算机网络安全管理技术中,最主要的内容包括反垃圾邮件、防火墙和入侵检测3个部分,同时网络控制和网络监视则是网络管理系统过程中最重要的两个环节。结合人工智能在计算机网络中的这些优势,可以更好地管理计算机网络安全。 1.智能反垃圾邮件系统人工智能应用在反垃圾邮件系统中,除了可以保护用户数据的安全外,最主要的是可以检测扫描用户邮件并进行智能识别,及时发现其中的敏感信息,同时采取有效防范措施阻止恶意邮件,使用
发表于 2018-05-30 20:06:01

2018年第一季度网络安全威胁态势分析与工作综述

依据《公共互联网网络安全威胁监测与处置办法》(以下简称《办法》),按照及时发现、科学认定、有效处置的原则,工业和信息化部组织各省通信管理局、基础电信企业、网络安全专业机构、重点互联网企业和网络安全企业等开展网络安全威胁监测与处置工作,2018年第一季度工作情况分析总结如下:一、网络安全威胁态势第一季度共监测网络安全威胁约4541万个,其中电信主管部门收集约216万个,基础电信企业监测约1168万个,网络安全专业机构监测约6万个,重点互联网企业和网络安全企业监测约3151万个。网络安全威胁态势呈现以下四个特点:(一)底层硬件漏洞波及范围广、修复难度大。1月3日,英特尔处理器芯片被曝光存在“崩溃”(Meltdown)和“幽灵
发表于 2018-05-21 20:42:10

倪光南院士:网络安全比芯片等核心技术提升更须国人警惕

小编按:倪光南院士在文章中提到,中国与国外在芯片领域上有差距,但是我们不能一味的去批评,毕竟中国正在追赶。除了在芯片领域中国出现的问题外,在操作系统上我们也一直受制于人。这样软件无法跟上,硬件也没法保障,在核心技术上我们受制于人,既无法保障网络安全,也无法保证产业的发展。因中兴被美国“封杀”,芯片产业受到中国人的高度关注。美国扼住了中兴产业链的咽喉,是不是就说明中国芯片产业技不如人呢?我认为这要分不同领域、不同场合去看,不可一概而论。芯片差距不可一概而论芯片分超级计算机应用、桌面应用、移动应用、工业应用及消费应用等不同场合。在高性能计算机领域,安装中国自主研发的“申威26010”众核处理器的“神威太湖之光”在全球超级计算机500强
发表于 2018-04-27 20:13:34
倪光南院士:网络安全比芯片等核心技术提升更须国人警惕

倪光南院士:网络安全比芯片等核心技术提升更须国人警惕

小编按:倪光南院士在文章中提到,中国与国外在芯片领域上有差距,但是我们不能一味的去批评,毕竟中国正在追赶。除了在芯片领域中国出现的问题外,在操作系统上我们也一直受制于人。这样软件无法跟上,硬件也没法保障,在核心技术上我们受制于人,既无法保障网络安全,也无法保证产业的发展。因中兴被美国“封杀”,芯片产业受到中国人的高度关注。美国扼住了中兴产业链的咽喉,是不是就说明中国芯片产业技不如人呢?我认为这要分不同领域、不同场合去看,不可一概而论。芯片差距不可一概而论芯片分超级计算机应用、桌面应用、移动应用、工业应用及消费应用等不同场合。在高性能计算机领域,安装中国自主研发的“申威26010”众核处理器的“神威太湖之光”在全球超级计算机500强
发表于 2018-04-27 20:13:34
倪光南院士:网络安全比芯片等核心技术提升更须国人警惕

小广播

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved