國內(nèi)安全機構(gòu)發(fā)現(xiàn)應用克隆漏洞 影響國內(nèi)所有安卓用戶

今日，國內(nèi)安全機構(gòu)披露，檢測發(fā)現(xiàn)國內(nèi)安卓應用市場十分之一的App存在漏洞而容易被進行“應用克隆”攻擊，甚至國內(nèi)用戶上億的多個主流App均存在這類漏洞，幾乎影響國內(nèi)所有安卓用戶。

國家信息安全漏洞共享平臺(CNVD)表示，攻擊者利用該漏洞，可遠程獲取用戶隱私數(shù)據(jù)(包括手機應用數(shù)據(jù)、照片、文檔等敏感信息)，還可竊取用戶登錄憑證，在受害者毫無察覺的情況下實現(xiàn)對App用戶賬戶的完全控制。由于該組件廣泛應用于安卓平臺，導致大量App受影響，構(gòu)成較為嚴重的攻擊威脅。

騰訊安全玄武實驗室負責人于旸表示，該“應用克隆”的移動攻擊威脅模型是基于移動應用的一些基本設計特點導致的，所以幾乎所有移動應用都適用該攻擊模型。在這個攻擊模型的視角下，很多以前認為威脅不大、廠商不重視的安全問題，都可以輕松“克隆”用戶賬戶，竊取隱私信息，盜取賬號及資金等。

“傳統(tǒng)的利用軟件漏洞進行攻擊的思路，一般是先用漏洞獲得控制，再植入后門。好比想長期進出你酒店的房間，就要先悄悄尾隨你進門，再悄悄把鎖弄壞，以后就能隨時進來。現(xiàn)代移動操作系統(tǒng)已經(jīng)針對這種模式做了防御，不是說不可能再這樣攻擊，但難度極大。如果我們換一個思路：進門后，找到你的酒店房卡，復制一張，就可以隨時進出了。不但可以隨時進出，還能以你的名義在酒店里消費。目前，大部分移動應用在設計上都沒有考慮這種攻擊方式。”于旸說。

基于該攻擊模型，騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查，在200個移動應用中發(fā)現(xiàn)27個存在漏洞，比例超過10%。

國家互聯(lián)網(wǎng)應急中心網(wǎng)絡安全處副處長李佳表示，在獲取到漏洞的相關(guān)情況之后，中心安排了相關(guān)的技術(shù)人員對漏洞進行了驗證，并且也為漏洞分配了漏洞編號(CVE201736682)，于2017年12月10號向27家具體的App發(fā)送了漏洞安全通報，提供漏洞詳細情況及建立了修復方案。目前有的App已經(jīng)有修復了，有的還沒有修復。