栏目导航
新闻资讯
经典案例
联系我们
服务热线
邮箱:
地址: 江苏省南京市玄武区玄武湖
当前位置:主页 > 新闻资讯 >
腾讯发现一个可克隆几十款App的缝隙,多款使用受影响
浏览: 发布日期:2018-01-11
 1月9日,腾讯汇。

下午3点的腾讯安全有一场发布会,不到2点,首要演讲人腾讯玄武实验室负责人 TK(于旸) 现已到位,知道创宇404Team的老迈黑哥(周景平)也现身了。

会前,据知道创宇一位市场部人士向雷锋网宅客频道泄漏,黑哥几年前发现了一个缝隙,报给了谷歌,可是谷歌没理睬他。

“是一点回音都没有吗 ?”雷锋网宅客频道问。

“是,好像是说谷歌觉得可能不是它那儿的职责。”该人士说。

下午3点25分,原计划开端的发布会还没开端。

腾讯方面一同传来了信息::腾讯玄武实验室上报了一个严重缝隙,这归于一个运用克隆的缝隙,腾讯方面还提出了缝隙运用办法。

这也泄漏了一个信息,这个缝隙应该是影响安卓体系的多款运用,否则工信部领导不会来站台。

3点半左右,发布会开端,悬念揭晓。

在手机上点击一个网站链接,你能够看到一个看上去正常的支付宝抢红包页面,但噩梦从你点击链接就开端——此刻你的支付宝的信息悉数能够在进犯者的机器上出现,进犯者借此完全能够用你的支付宝消费。

你一窍不通。

腾讯发现一个可克隆几十款App的缝隙,多款运用受影响

 

腾讯发现一个可克隆几十款App的缝隙,多款运用受影响

这是其时运用缝隙传递歹意代码的一种典型方法。TK称,在手机上点击歹意链接,有缝隙的运用就会被完全操控。

这是一种“运用克隆”缝隙进犯。

有意思的是,整套进犯中触及的危险点其实都是已知的。2013年3月,黑哥在他的博客里就提到了这种危险。

TK 称,多点耦合发生了可怕缝隙,所谓多点耦合,是A点看上去没问题,B点看上去也没问题,可是A和B组合起来,就组成了一个大问题。

说白了,是一个体系的规划问题。

移动设备遍及运用了可信计算、缝隙缓解、权限阻隔等安全技能,但移动技能自身的各种特色又给安全引入了更多的新变量,新产值可能耦合出新危险。

这种运用克隆缝隙就是这种类型的缝隙。现在,支付宝该缝隙已修正。

黑哥介绍,其实在2012年3月,他就现已构成了克隆进犯的思路。其时他新买了台设备,发现微博数据移到别的一台手机上,手机上会主动完结登陆的进程。发现问题后,他再次进行测验,然后将缝隙详情报给了安卓官方,可是谷歌连邮件都没回复。

黑哥一怒之下在博客上进行发布,但谷歌方面现在仍然没有完全修正该缝隙。

在发布会现场,TK 发布了演示视频,完成了克隆账户和盗取用户相片的进犯作用。

现在,据腾讯方面的研讨,市面上 200 多款安卓运用中,27款 App 有此缝隙。缝隙列表及影响如下,其间18个可被长途进犯,9个只能从本地进犯。2017年12月7日,腾讯将27个缝隙报告给了国家信息安全缝隙同享渠道(cnvd) ,截止到2018年1月9日,有11个 App 进行了修正,但其间3个修正存在缺点。

国家互联网应急中心(CNCERT)网络安全处副处长李佳介绍,支付宝、百度外卖、国美等现已就该缝隙进行反应,截止到昨日,还未收到京东到家、虎扑等十家厂商的反应。

以下为TK 和黑哥的采访记载,雷锋网略有删减和收拾。

1.什么时分发现的这些缝隙?

TK:我们今日看到影响的是若干款 App ,其实整个发现是陆陆续续的一个进程,不是一次性的一个进程。开始发现就是上一年年末。

2.厂商怎样修补?

TK:缝隙自身是我们发现的,我们发现后及时通报给了国家相关的主管部门,然后经过主管部门去告诉运用厂商修补。

3.针对支付宝,有实践进犯事例吗?

TK:没有,至少我们没有知道的事例。虽然有可能经过这种途径建议进犯,可是我们并不知道是否有人真的有建议这种进犯。

4.普通用户能够防备吗?

黑哥:普通用户防备的问题仍是比较头疼的,方才的视频演示也仅仅一个场景,第一个视频中,进犯者发了一个短信,让你去点,还有一种场景是能够扫一个二维码,也是诱使你拜访一个网页。其实关于一些普通用户来说,首要他人发给你的链接,少点,不太断定的二维码,不要扫一扫。最重要的一点是,重视官方的晋级,包含操作体系和 App 的官方晋级。

TK:如果用户今日翻开你的手机,然后把这些现已修正的 App 晋级到最新版,其实就现已不再受这些缝隙的影响了。

5.这儿的多点耦合究竟是什么意思?

TK:多点耦合不是一个缝隙,是一种思路。举一个比如,你可能想盯梢一个人,可是你盯梢这一个人,可能你只把握他一方面的信息是比较困难的,如果你只把握了他鞋子的品牌和尺度,可能不能精断定位一个人。如果把一个人的各方面特征放在一同时,能够构成综合性的精确断定,但全体的断定是由一系列的细节构成的。

方才讲的今日我们看到的展现里,终究我们看到的我们操控运用发生的作用是克隆这种方法。要用这个缝隙去完成克隆,这个缝隙自身是由多个耦合点构成的缝隙,和克隆结合起来也成了耦合整个链条中的环节,成了齿轮中的一个,终究达到了这样一整套的东西。

6.你第一次是向谷歌提交的,这意味着其实有经过官方版安卓体系修正的可能性吗?

黑哥:我们做缝隙攻防研讨的首要是攻,关于个人来说,在发现进犯方法的时分更多的想到的是攻,至于这个问题究竟要谁处理,最起码那个时分没有想那么多。仅仅说这个东西很遍及,或许在操作渠道体系上面有对应的防御机制能够做这种东西。可是这种规划上的,说缺点或许是特性也好,规划上的问题要在操作层面体系去处理的话,他们(编者注:指谷歌)也很头痛。

即便你把这个问题处理了,说不定还有其他的问题,需求不停地改架构之类。就算把安全问题处理了,会不会给用户的功用带来一些问题?例如,这两天 CPU 的缝隙。许多人还在考虑,操作体系修正缝隙时会下降用户的 CPU 运用率。它会下降功用,这样许多人就会去考虑,这个缝隙打的补丁究竟是打仍是不打?许多问题没有一个清晰的答案。

安卓厂商有可能比较活跃一点的是,认可这确实是一个大问题,并且是遍及存在的。有可能做得比较好一点的厂商会来一个提示,或许安卓厂商以为在不影响其他用户运用的功用和功用下,有必要修正,厂商能够做修补,但大渠道考虑的问题更多,不完满是安全性的问题。