“应用克隆”漏洞暂无法自动化检测 腾讯发布“玄武支援计划”协助处理
2018-01-11 13:41:01     [查看原文]

原标题:“应用克隆”漏洞暂无法自动化检测 腾讯发布“玄武支援计划”协助处理

1月9日,腾讯安全玄武实验室与知道创宇404实验室,正式针对最新发现的“应用克隆”攻击模型,联合召开安全技术研究成果发布会。据腾讯安全玄武实验室负责人于旸介绍,利用“应用克隆”攻击模型,在国内包括支付宝、携程等200款主流APP上测试后发现了27个漏洞,比例超过10%,而受到影响的APP,则存在用户账户信息、数据、资金被克隆窃取的风险。

而值得关注的是,早在12月7日,腾讯安全玄武实验室即将漏洞提交给CNVD(国家信息安全漏洞共享平台),并在被确认为“高危”漏洞后,通过CNCERT(国家互联网应急中心)向APP厂商通报了该情况,并给出修复方案,但直至发布会当天上午,仅有小部分APP进行了漏洞修复,还有大量APP没有向CNCERT进行情况反馈。腾讯安全玄武实验室也在发布会上宣布将启动“玄武支援计划”,协助厂商处理问题。

(腾讯安全玄武实验室发布“应用克隆”漏洞相关说明)

呼吁行业自查,倡导移动安全新思维

于旸表示,由于该问题的复杂性,无法通过自动化检测来判断是否存在上述漏洞,简单通过函数扫描得出的结果,既会出现大量误报,又会出现大量漏报。唯一能判断有无漏洞的方式就是人工检测。这也导致玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的APP厂商关注并自查产品是否仍存在相应漏洞,并进行修复。同时,考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室也在发布会现场宣布推出“玄武支援计划”,协助厂商处理问题。

(于旸在发布会现场介绍移动安全趋势)

据腾讯安全玄武实验室透露,“玄武支援计划”公布后,已经有多家公司及应用厂商寻求帮助检测漏洞。而对经过实验室帮助检测的应用,也会统一提交给 CNVD,然后由 CNVD 通知厂商。

相较于苹果、微软、谷歌等国际厂商,国内厂商对于漏洞安全的重视程度仍旧有待进一步提升。经腾讯安全玄武实验室测试市场上的安卓手机,大多存在漏洞修复滞后的情况,最长甚至有超过一年的情况。

而实际上,移动安全时代,漏洞可能导致的威胁远比业界之前认识的要大,移动设备普遍使用了可信计算、漏洞缓解、权限隔离等安全技术,但移动技术自身的各种特点又给安全引入了更多的新变量,新变量可能耦合出新风险。

而对安全重视程度不够,是整个移动互联网行业普遍存在的问题,不只是一两个厂商的问题。于旸表示,面对新威胁,不仅需要整个移动互联网行业的重视和协作,更需要转变旧思维,用新的移动思维应对移动安全问题,需要手机厂商、应用开发商、网络安全研究者等多方携手,共同重视。

推动安全防御“最后一公里”

在于旸看来,安全最核心的问题,还是要看厂商重视不重视。但必须注意到,目前,受限于中国网络安全人才的稀缺,互联网厂商的安全防御能力面临着较大压力。这也促使安全厂商作为“专家”,也必须承担相应的社会责任。

而随着腾讯安全玄武实验室推出“玄武支援计划”,这也意味着腾讯安全在推进手机厂商、APP开发商主动自查的同时,也逐步通过更加开放、合作的方式,输出自身的安全能力,与第三方厂商一同保障用户安全,推动网络安全防御落实到“最后一公里”,共同筑造安全防线。

工信部网络安全管理局网络与数据安全处处长付景广在发布会上也对腾讯安全的举措表示了肯定。他认为,随着互联网及数字经济的发展,网络安全一方面造福于国家、社会,同时带来的网络安全问题也越来越突出。腾讯做了大量的工作并把相关的情况公之于众,提醒大家给予高度的重视,并且加以针对性的防范,充分体现了移动安全领域的技术能力。同时,这也体现了腾讯高度的社会责任感,发现了问题及时提醒,及时帮助大家去解决问题、防范风险,这非常值得肯定。

本栏目中的所有页面均系自动生成,自动分类排列,采用联索网络信息采集、网页信息提取、语义计算等智能搜索技术。内容源于公开的媒体报道,包括但不限于新闻网站、电子报刊、行业门户、客户网站等。使用本栏目前必读