多款应用受影响 腾讯发现一个可克隆几十款App的漏洞 (多款应用受影响怎么办)
1月9日,腾讯汇。
下午3点的腾讯安全有一场发布会,不到2点,主要演讲人腾讯玄武实验室负责人 TK(于旸) 已经到位,知道创宇404Team的老大黑哥(周景平)也现身了。
会前,据知道创宇一位市场部人士向雷锋网宅客频道透露,黑哥几年前发现了一个漏洞,报给了谷歌,但是谷歌没搭理他。
“是一点回音都没有吗 ?”雷锋网宅客频道问。
“是,好像是说谷歌觉得可能不是它那边的责任。”该人士说。
下午3点25分,原计划开始的发布会还没开始。
腾讯方面同时传来了信息::腾讯玄武实验室上报了一个重大漏洞,这属于一个应用克隆的漏洞,腾讯方面还提出了漏洞利用方法。
这也透露了一个信息,这个漏洞应该是影响安卓系统的多款应用,不然工信部领导不会来站台。
3点半左右,发布会开始,悬念揭晓。
在手机上点击一个网站链接,你可以看到一个看上去正常的支付宝抢红包页面,但噩梦从你点击链接就开始——此时你的支付宝的信息全部可以在攻击者的机器上呈现,攻击者借此完全可以用你的支付宝消费。
你一无所知。
这是当前利用漏洞传递恶意代码的一种典型方式。TK称,在手机上点击恶意链接,有漏洞的应用就会被完全控制。
这是一种“应用克隆”漏洞攻击。
有意思的是,整套攻击中涉及的风险点其实都是已知的。2013年3月,黑哥在他的博客里就提到了这种风险。
TK 称,多点耦合产生了可怕漏洞,所谓多点耦合,是A点看上去没问题,B点看上去也没问题,但是A和B组合起来,就组成了一个大问题。
说白了,是一个系统的设计问题。
移动设备普遍使用了可信计算、漏洞缓解、权限隔离等安全技术,但移动技术自身的各种特点又给安全引入了更多的新变量,新产量可能耦合出新风险。
这种应用克隆漏洞就是这种类型的漏洞。目前,支付宝该漏洞已修复。
黑哥介绍,其实在2012年3月,他就已经形成了克隆攻击的思路。当时他新买了台设备,发现微博数据移到另外一台手机上,手机上会自动完成登陆的过程。发现问题后,他再次进行测试,然后将漏洞详情报给了安卓官方,但是谷歌连邮件都没回复。
黑哥一怒之下在博客上进行发布,但谷歌方面现在依然没有完全修复该漏洞。
在发布会现场,TK 发布了展示视频,实现了克隆账户和窃取用户照片的攻击效果。
目前,据腾讯方面的研究,市面上 200 多款安卓应用中,27款 App 有此漏洞。漏洞列表及影响如下,其中18个可被远程攻击,9个只能从本地攻击。2017年12月7日,腾讯将27个漏洞报告给了国家信息安全漏洞共享平台(cnvd) ,截止到2018年1月9日,有11个 App 进行了修复,但其中3个修复存在缺陷。
国家互联网应急中心(CNCERT)网络安全处副处长李佳介绍,支付宝、百度外卖、国美等已经就该漏洞进行反馈,截止到昨天,还未收到京东到家、虎扑等十家厂商的反馈。
以下为TK 和黑哥的采访记录,雷锋网略有删减和整理。
1.什么时候发现的这些漏洞?
TK:我们今天看到影响的是若干款 App ,其实整个发现是陆陆续续的一个过程,不是一次性的一个过程。最初发现就是去年年底。
2.厂商怎么修补?
TK:漏洞本身是我们发现的,我们发现后及时通报给了国家相关的主管部门,然后通过主管部门去通知应用厂商修补。
3.针对支付宝,有实际攻击案例吗?
TK:没有,至少我们没有知道的案例。虽然有可能通过这种途径发起攻击,但是我们并不知道是否有人真的有发起这种攻击。
4.普通用户可以防范吗?
黑哥:普通用户防范的问题还是比较头疼的,刚才的视频展示也只是一个场景,第一个视频中,攻击者发了一个短信,让你去点,还有一种场景是可以扫一个二维码,也是诱使你访问一个网页。其实对于一些普通用户来说,首先别人发给你的链接,少点,不太确定的二维码,不要扫一扫。最重要的一点是,关注官方的升级,包括操作系统和 App 的官方升级。
TK:如果用户今天打开你的手机,然后把这些已经修复的 App 升级到最新版,其实就已经不再受这些漏洞的影响了。
5.这里的多点耦合到底是什么意思?
TK:多点耦合不是一个漏洞,是一种思路。举一个例子,你可能想跟踪一个人,但是你跟踪这一个人,可能你只掌握他一方面的信息是比较困难的,如果你只掌握了他鞋子的品牌和尺寸,可能不能精确定位一个人。如果把一个人的各方面特征放在一起时,可以形成综合性的准确判定,但整体的判定是由一系列的细节形成的。
刚才讲的今天大家看到的展示里,最终大家看到的我们控制应用产生的效果是克隆这种方式。要用这个漏洞去实现克隆,这个漏洞本身是由多个耦合点形成的漏洞,和克隆结合起来也成了耦合整个链条中的环节,成了齿轮中的一个,最终达到了这样一整套的东西。
6.你第一次是向谷歌提交的,这意味着其实有通过官方版安卓系统修复的可能性吗?
黑哥:我们做漏洞攻防研究的首先是攻,对于个人来说,在发现攻击方式的时候更多的想到的是攻,至于这个问题到底要谁解决,最起码那个时候没有想那么多。只是说这个东西很普遍,或许在操作平台系统上面有对应的防御机制能够做这种东西。但是这种设计上的,说缺陷或者是个性也好,设计上的问题要在操作层面系统去解决的话,他们(编者注:指谷歌)也很头痛。
即使你把这个问题解决了,说不定还有其他的问题,需要不停地改架构之类。就算把安全问题解决了,会不会给用户的性能带来一些问题?例如,这两天 CPU 的漏洞。很多人还在思考,操作系统修复漏洞时会降低用户的 CPU 使用率。它会降低性能,这样很多人就会去思考,这个漏洞打的补丁到底是打还是不打?很多问题没有一个明确的答案。
安卓厂商有可能比较积极一点的是,认可这确实是一个大问题,而且是普遍存在的。有可能做得比较好一点的厂商会来一个提示,或者安卓厂商认为在不影响其他用户使用的功能和性能下,有必要修复,厂商可以做修补,但大平台考虑的问题更多,不完全是安全性的问题。
原创文章,未经授权禁止转载。详情见 转载须知 。
波奇宠物网是属于宠物爱好者的综合型网站.这里是宠物猫,宠物狗等宠物爱好者们的集中地.也是包含宠物商城和宠物百科的专业网站.选择波奇宠物网,健康宠物生活从波奇开始.
北京异彩科技主要从事IT产品的销售与服务,所经营的产品线丰富,覆盖面广范,涉及PC、服务器、工作站、存储、数通、网络安全等设备。
邮乐网由中国邮政与TOM集团携手呈现的创新网上购物平台!网购新西兰奶粉、土特产、鞋帽箱包、个人护理、数码、小家电、居家百货、母婴、手机充值全网最低,原产地直销原汁原味,尽在邮乐,为您提供愉悦的网上购物体验.
爱科技是一个有视角的、个性化商业资讯与交流平台,核心关注对象是包括公众公司与创业型企业在内的一系列明星公司
鹏城照明,成立于1998年,是集开发、生产、销售、工程于一体的专业LED照明企业,本着“节能减排、绿色家园”的宗旨,以创新为动力,以市场为导向,长期以来,我公司坚持不懈的致力于节能改造、商业地产等领域照明业务的开展,我公司是沃尔玛、家乐福、永旺、天虹、人人乐等超市连锁灯具的主要供应商。
福昕CAD转换器是拥有多种转换功能的PDF转CAD软件,支持CAD转PDF,PDF转换CAD,CAD转换成图片,PDF转DWG,DWG转DXF等功能,可快速完成PDF、DWG、DXF、JPG、PNG等格式之间的图纸转换,轻松解决制图中CAD转换难题.
博盛瑞泰,SOPAT,sopat,在线粒度分析仪
CGHE2024上海国际礼品奢侈品包装展览会(上海礼品奢侈品包装展)将于2024年11月12日-14日在上海新国际博览中心盛大开幕,作为覆盖礼品及奢侈品包装全产业链的专业展会,将展现礼品奢侈品包装最新产品、技术,聚焦行业热点,洞察行业趋势。
深圳市顺晨网络科技有限公司成立于2017年9月,是一家以网络移动端游戏为发展起点,专注于发行、运营为一体的综合性互动娱乐企业,公司拥有完善的游戏运营策划、游戏客户服务、市场行销及广告设计等业务支撑能力。秉承“用户为王”的理念,致力打造最佳品质及用户完美体验的游戏产品。
中望软件是可信赖的All-in-OneCAx解决方案提供商,科创板上市企业,掌握二三维CAD、CAM、CAE核心技术及产品开发能力,产品有中望CAD,中望3D,中望电磁,中望结构仿真.提供建筑设计软件与机械设计制图软件
2025年鲜花配送上门服务就找百花居,找附近鲜花店,同城一小时内送花上门,异地给朋友,给亲人订花,花语大全,鲜花寓意知识分享,有兴趣的朋友可以直接来电详询:13811584615。
学习笔记是一个专注于生活领域的知识平台,提供全面的生活百科知识大全,包括美食、娱乐、家居、时尚、旅游与网络知识等,让生涩的知识简单易懂。
由于生活节奏的加快,快餐逐渐成为了人们日常餐饮的主流,市面上的快餐店如雨后春笋般纷纷涌现,让人目不暇接,快餐中式快餐就是一家知名快餐品牌,自成立以来,凭借着丰富的菜品种类和出众的菜品口感,吸引了广大消费者的关注,因此也备受智慧之选商青睐,很多人都想要加盟快餐中式快餐,那么,快餐中式快餐可以加盟吗,快餐中式快餐怎么样,今天,小编为大家具...。
现在有一个可能给ElonMusk造成心脏病的消息,前Google工程师成立了一个旨在,发展和促进基于人工智能,进而创造AI上帝,的宗教组织,安东尼·莱万多夫斯基共同创立了无人驾驶卡车运营公司Otto,Uber于2016年以6.8亿美元收购了这家公司,他随后成为谷歌无人驾驶汽车部门的工程负责人,并在五月份以窃取谷歌商业机密而被谷歌解雇,...。
自他走后,明明是愚人节的4月1日总带着点伤感,任何一个想他的时候,荣迷们都会打开收藏夹中某部电影,或者打开他的某场演唱会,而昨天,我的朋友圈被张国荣2000年,热·情,演唱会超清修复版视频刷屏了,迫不及待地点开,扑面而来的清晰度和真实感让人眼前一亮,要知道,从前观看的视频都是损伤画质,堪称时代的眼泪,荣迷们虽甘之如饴,但如果有高清画质...。
按,始于2016年的,全球人工智能与机器人大会,GAIR,,历经五年,见证数次潮水的转向,成为目前为止粤港澳大湾区人工智能领域规模最大、规格最高的学术、工业和投资领域跨界盛会,在12月10日举办的第六届全球人工智能与机器人大会,GAIR2021,集成电路高峰论坛,国产高端芯片之路,论坛上,来自学术、产业和投资界的多位嘉宾从不...。
好,根据查询企查查网得知,1、中铁建第三建设公司各个项目经理宿舍配备有床铺、书桌、椅子、衣柜等基本生活设施,以满足学生的基本居住需求,2、中铁建第三建设公司各个项目经理宿舍环境优美,清新自然,拥有充足的阳光和新鲜的空气,中铁建电气化局三公司辉煌成就中铁建电气化局三公司在过去的三十多年间,凭借科技力量,不断推动施工技术革新,取得了显著的...。
糕点,月饼美食,在现代生活中不可缺少是休闲零食,也是送礼必不可少的产品,市场也出现了很多有名气的品牌,能够把产品做的让大家更加满意,从而也有更强的品牌竞争力,海鹏月饼就是一个很不错,有口碑的品牌,现在很多城市都有加盟销售店,海鹏月饼加盟多少钱,筹备店面所需要的费用要准备齐全,海鹏月饼能够满足更多创业者需求,在店面装修领域做得更加古典特...。
前些日子辞掉了工作,比较轻松,有大把的时间写博客神马的,陆续面了几个不错的互联网公司,有成功的也有失败的,阿里的面试及offer都来的很意外,还没来得及投百度,由于阿里给的条件及工作内容都让我很满意了,唯一的遗憾是得离开北京去杭州,不知道现在还要不要投投其他的也试试,至于为什么选在年前离职,其实这并不在我的计划内,从毕业起就在这个很小...。
C6是用于驾驶特种车辆的一种驾驶证,持有该证的人员可以非法驾驶特种车辆,但不能驾驶其余类型的车辆,C6驾驶证是中国机动车驾驶证的一种分类,它是指用于驾驶特种车辆的驾驶证,C6驾驶证的全称是,特种车辆驾驶证,,也称为,特驾证,特种车辆包含工程作业车、消防车、救护车、警车、工程抢险车、工程救险车、工程清障车、工程运输车等,持有C6驾驶证...。
libjpeg是一款开源jpeg图像库,jpeg是一个国际图像压缩标准,图像的后缀一般为jpeg或者jpg,可以读取jpeg图像数据,
Tails系统,Tails是一个基于Linux的操作系统(全称:TheAmnesicIncognitoLiveSystem),可安装在光盘、U盘甚至SD卡上,需要时直接从这些存储介质启动即可,方便携带,被称之为“口袋操作系统”,Tails预装了许多隐私和加密工具,如Tor等,您可以免费下载。
图片转换工具,将你的jpg格式转换成jpg或者将jpg转为gif,或者转为pdf等图片格式转换器软件免费下载。PC6免费提供图片格式转换,图片转换下载
为各位带来皇帝成长计划2丹药功效一览,帮助大家方便的了解游戏中药物的一些作用和使用方法,新手朋友如果不知道如何制作可以看一看下面的皇帝成长计划2丹药配方大全,希望对各位有所参考和帮助,皇帝成长计划2丹药功效一览皇帝成长计划2丹药配方大全
说到俄语大家都是比较熟悉的,俄语指的是俄罗斯国家的语言,在不会说俄语的情况下,如果与俄罗斯友人沟通,就需要下载俄语翻译软件,通过软件来翻译才能理解对方表达的意义,同时也能让两个人沟通的更顺畅,以下小编来为大家盘点几款好用的俄语翻译软件,如果您在工作中有应用到,下载到手机上随用随翻译,既方便又省事儿,用这款软件来翻译俄语,不仅翻译速度快...。
2023年一季度落下帷幕,回顾剧集市场可谓精彩纷呈,竞争激烈,其中既有让人眼前一亮的破题之作,三体,,也有再掀,扫黑除恶,风暴的涉案剧,狂飙,,称得上类型剧的新突破,此外,,去有风的地方,打开生活的正确方式,情满九道弯,心想事成,等,生活流,剧集吹起治愈风,一季度剧集市场整体呈现出高品质、多元化、类型化创新等特征,不仅为2023...。
包头,源于蒙古语,包克图,,蒙古语意为,有鹿的地方,,所以又叫鹿城,又有草原钢城、稀土之都别称,曾经是游牧民族与农耕民族交往的前沿,旅蒙晋商互市之地,包头是国务院首批确定的十三个较大城市之一,是华北地区重要的工业城市和内蒙古自治区较大的工业城市,是重要的基础工业基地和全球轻稀土产业的中心,包头也是正在崛起的旅游新星,包头共有170个旅...。
全脑加盟花费对于加盟商来说,是必须要了解的费用支出,全脑加盟指的是创业者加盟全脑开发品牌,说到全脑开发,先简单说一下什么是全脑开发,所谓的全脑开发,其实就是左右脑的平衡发展,重点是促进右脑的发展,因为在传统的教育模式中我们开发的基本是左脑,左脑主要从事逻辑性、条理性的思维,右脑的存储量是左脑的100万倍,右脑具有瞬间接受大量信息刺激的...。
近日,IEEESA标准委员会正式通过了,隐私计算安全需求,StandardforSecurityRequirementofPrivacy,preservingcomputation,P3169,国际标准的立项,该标准由蚂蚁集团主导,行业内专家共同参与,将对隐私计算技术本身潜在的安全隐患进行分析,并对隐私计算系统抵御的安全风险进行分级...。
