腾讯发现了各种可以克隆受影响的应用程序的应用程序




1月9日,腾讯回族。

下午10点,腾讯安防召开新闻发布会。不到2点,腾讯玄武实验室负责人TK Yu(Yu Yu)已经到位。他知道创宇404团队(周景平)的404团队老板也出现了。

在会议开始之前,据了解,创宇的营销人员向雷锋的家庭旅客频道透露,黑兄弟几年前发现了一个漏洞,并向谷歌报告,但谷歌没有关注他。

“有一点回音吗?”雷锋问道。

“是的,似乎谷歌认为它可能不是它的责任,”消息人士说。

下午3:25,原计划的启动尚未开始。

腾讯也同时发送了信息。::腾讯玄武实验室报告了一个主要漏洞,这是应用程序克隆中的一个漏洞。腾讯还提出了一种漏洞利用方法。

这也透露了一个消息,即此漏洞应该是影响Android系统的各种应用程序,否则工业和信息部的领导将不会来到该平台。

大约凌晨3点30分,新闻发布会开始,悬念被曝光。

点击手机上的网站链接,你可以看到一个正常的支付宝抓红色信封页面,但是点击链接——开始噩梦此时你的支付宝信息可以在攻击者的机器上呈现,攻击者这个可以与您的支付宝一起使用。

你什么都不知道。

这是使用恶意攻击传递恶意代码的典型方式。 TK表示,通过点击手机上的恶意链接,可以完全控制易受攻击的应用程序。

这是一个“app clone”漏洞。

有趣的是,实际上已知整套攻击中涉及的风险点。 2013年3月,Black Brother在他的博客中提到了这种风险。

TK说多点耦合造成了一个可怕的漏洞。所谓的多点耦合是A点看起来很好。 B点似乎不是问题,但A和B的组合构成了一个大问题。

说穿了,这是一个系统设计问题。

移动设备通常使用安全技术,例如可信计算,漏洞缓解和特权隔离。然而,移动技术的各种功能在安全性中引入了更多新的变量,新的生产可能会带来新的风险。此类应用程序克隆漏洞是此类漏洞。目前,支付宝已修复此漏洞。

Black Brother介绍说,事实上,在2012年3月,他已经形成了克隆攻击的想法。那时,他买了一台新设备,发现微博数据被转移到另一部手机,登录过程在手机上自动完成。在发现问题后,他再次对其进行了测试,然后向Android官方报告了漏洞详细信息,但谷歌没有回复该电子邮件。

黑兄弟在博客上发布了愤怒,但谷歌仍然没有完全修复这个漏洞。

在新闻发布会上,TK发布了一个演示视频,使攻击能够克隆帐户并窃取用户照片。

目前,根据腾讯的研究,市场上超过200款Android应用程序中有27款存在此漏洞。漏洞和影响列表如下,其中18个可以远程攻击,9个只能从本地攻击。 2017年12月7日,腾讯报告了国家信息安全漏洞共享平台(cnvd)的27个漏洞。截至2018年1月9日,修复了11个应用程序,但其中3个存在缺陷。

国家互联网应急中心(CNCERT)网络安全部副主任李佳表示,支付宝,百度外卖,国美等已经提供了漏洞反馈意见。截至昨天,尚未收到京东和胡普等10家公司的反馈意见。 。

以下是TK和Black Brother的访谈记录。雷锋略有删除并整理出来。

你什么时候发现这些漏洞的?

TK:我们今天看到的是几个应用程序的影响。事实上,整个发现是一个连续的过程,而不是一个一个过程。最初的发现是在去年年底。

2.如何修理制造商?

TK:漏洞本身是我们发现的。我们及时发现并通知了该国的相关主管部门,然后通知申请供应商通过主管当局对其进行修复。

3.对于支付宝,是否有实际的攻击案例?

TK:不,至少我们不知道这个案子。虽然有可能以这种方式发动攻击,但我们不知道是否有人实际发动了这次攻击。

普通用户可以防范它吗?

黑兄弟:普通用户保护问题仍然令人头疼。视频演示只是一个场景。在第一个视频中,攻击者发送了一条短信让你离开。还有一个场景可以扫描2D。该代码也诱使您访问网页。事实上,对于一些普通用户来说,首先,其他人发送给你的链接少,不确定二维码,不要扫一扫。最重要的一点是专注于官方升级,包括对操作系统和应用程序的官方升级。TK:如果用户今天打开手机然后将这些固定应用升级到最新版本,他们就不再受这些漏洞的影响。

5.这里的多点耦合是什么意思?

TK:多点耦合不是一个漏洞,它是一个想法。例如,您可能想要跟踪某个人,但如果您关注此人,则您可能很难一方面只掌握这些信息。如果你只掌握他的鞋子的品牌和尺寸,你可能无法确定一个人。 。如果将一个人的所有方面放在一起,就可以形成全面而准确的判断,但总体判断是由一系列细节构成的。

在我们今天刚刚看到的演示文稿中,我们在控制应用程序中看到的效果就是克隆这种方式。要利用此漏洞实现克隆,漏洞本身就是由多个耦合点形成的漏洞。结合克隆,它也成为整个链条中的一个环节,成为其中一个齿轮,最终实现了这样一套完整的东西。 。

6.您第一次将其提交给Google,是否意味着有可能通过官方Android系统修复它?

Black Brother:我们研究漏洞攻击和防御的第一件事就是攻击。对于个人而言,当我找到攻击方法时,我会更多地考虑攻击。至于问题,谁应该解决呢?至少,我当时并没有这么想。只是说这件事很常见,或许在操作平台系统上有相应的防御机制来做这种事情。但是,在这种设计中,缺陷或个性也很好,设计问题应该在操作层面上解决。他们(编者注:指谷歌)也很头疼。

即使您解决了这个问题,也可能存在其他问题,您需要不断更改架构。即使安全问题得到解决,它是否会给用户的性能带来一些问题?例如,这两天CPU的漏洞。许多人仍然认为操作系统会在修复漏洞时降低用户的CPU使用率。它会降低性能,所以很多人会考虑补丁是否坏了?许多问题都没有明确的答案。

Android供应商认识到这确实是一个大问题并且无处不在,这可能更为积极。正在做得更好的供应商可能会提出一个提示,或者Android供应商认为有必要在不影响其他用户的功??能和性能的情况下修复它。供应商可以进行修补,但是大平台会考虑更多问题,而不是安全问题。









时间:2019-02-11 09:32:41 来源:凤凰娱乐注册 作者:匿名