“应用克隆”祸及主流APP

新快报讯 记者郑志辉报道 腾讯安全玄武实验室与知道创宇404实验室昨日联合公布并展示了一种新型移动攻击威胁模型“应用克隆”,在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。

据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、携程、饿了么等。玄武实验室表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以希望更多APP厂商能积极关注并自查修复。

“传统的利用软件漏洞进行攻击的思路,一般是先用漏洞获得控制,再植入后门。现代移动操作系统已经针对这种模式做了防御。如果换个思路:进门后,找到你的酒店房卡,复制一张,就可以随时进出了。目前,大部分移动应用在设计上都没有考虑这种攻击方式。”玄武实验室负责人于旸表示,移动互联网时代,安全厂商必须意识到各种新技术新设计会带来更多新问题,要用移动思维来评估每一个安全风险,才能避免最终在安全上积重难返。