昨日下午，腾讯安全玄武实验室与知道创宇404实验室联合公布了“应用克隆”——这一针对安卓手机的最新攻击模型。该攻击可通过钓鱼链接实现漏洞利用，获取该手机特定app的登录凭证，窃取账户隐私信息，甚至进行消费。根据玄武实验室对国内200余款安卓市场主流app测试结果，有27款app存在此漏洞，受影响比例超过10%。

漏洞威胁减弱是错觉 警惕多点耦合引入的新风险

不同于部分手机自带的数据迁移（手机克隆）功能，此次玄武实验室公布的“应用克隆”是安全研究员利用漏洞实现的结果。在目标用户完全不知情的情况下，仅仅通过“钓鱼短信->恶意链接->访问特定页面”简单的三步，目标手机的app登录凭证就会被传输到攻击者手中。“两部手机的应用的登录状态几乎是完全同步的，账户的所有隐私信息也是可见的。”而攻击过程中涉及的部分技术点，是404负责人知道创宇CSO黑哥（周景平）曾在2013年公开提及，甚至向谷歌安全团队邮件告知过的。但遗憾的是，无论是谷歌还是业界，当年都未给予足够的重视。

据腾讯安全玄武实验室的负责人TK（于旸）介绍，虽然操作系统的安全性近些年在不断提高，但仅是针对实现类漏洞；在app开发甚至硬件设计之初，单点的安全风险是非常隐蔽的，针对多点耦合而成的新安全风险，操作系统可以做的微乎其微。知道创宇的黑哥也向记者表示，移动app安全应有其相对的独立性，不能过分依靠操作系统自身的安全能力。

“洪水来临之时，没有一滴雨滴是无辜的。漏洞威胁并没有因为操作系统安全性的提高而减弱，只要有合适的漏洞利用方式，漏洞威胁都是真实存在且不可小觑的。对漏洞的警惕意识仍然是必要的。”

之前玄武实验室公开的BadBarcode和BadTunnel攻击方法，包括此次曝出的英特尔CPU漏洞（可通过浏览器javascript脚本嗅探CPU内核受保护数据），均是由耦合不当导致的重大设计缺陷。他们都是基于多个已公开的协议和信息，结合漏洞组合而成的新的攻击方式。

安全的核心仍在于重视 用移动思维看移动安全

TK在研究结果的分享中，着重提及了“移动安全新思维”，即更主动地考虑移动技术自身特点（软/硬件、时空特点）所不断引入的更多的新变量，以及多变量耦合之后所可能的潜在安全风险。

在PC时代，最重要的是系统自身的安全。但在端云一体的移动时代，智能手机已经成为物联网的核心，涉及大量隐私信息用户账号体系和数据安全则显得更为重要。要保护好这些，光搞好系统自身安全是不够的。移动安全问题十分复杂多变，目前移动互联网行业“安全意识不足”的问题是行业普遍存在的，不是一两个厂商的问题。这个现状需要手机生产商、应用开发者、用户和安全厂商的共同努力。

对于手机生产商和应用开发者而言，可行的方法有两个方面：一是在开发和设计之初，遵循安全开发的相应规章和安全测试流程；二是对相关安全漏洞积极和及时的修复。但这两点在中国的现状，都是没有得到足够重视，做得还不够好的。

以此次“应用克隆”为例，据CNCERT网络安全处副处长李佳介绍，该漏洞（CNVD-2017-36682）在经过验证后，已于2017年12月10日向27家具体的App开发企业进行了点对点的漏洞安全通报，同时提供了漏洞的详细情况以及修复方案。但截止到2018年1月9日上午只有8家完成了完全的修复，包括京东到家、饿了么、聚美优品、豆瓣等10家厂商仍未有反馈。

TK在会上表示，由于对该漏洞的检测无法自动化完成，必须人工分析，玄武实验室无法对整个安卓应用市场进行检测，所以也希望通过此次发布，能让更多的App厂商关注并自查产品是否仍存在相应漏洞，并进行修复。对用户量大、涉及重要数据的App，玄武实验室愿意提供相关技术援助。

《腾讯安全前沿技术研究白皮书》发布

会上，腾讯副总裁马斌还发布了《腾讯安全前沿技术研究白皮书》，对目前中国面临的安全形势，以及腾讯安全联合实验室在科技创新、人才建设等方面的成果进行了全面盘点，并首次披露了腾讯安全联合实验室成立以来在反诈骗、人才培养、物联网、云安全、杀毒引擎等十大方面的安全研究成果。

马斌表示，安全生态建设不仅要技术驱动，更需要“开放、合作、共享”的态度，联合政府、安全厂商和企业为用户打造安全的网络环境，进一步推动互联网安全生态的快速发展。

http://mp.weixin.qq.com/s/6Tyaky1h3SYx0xooa0KoOg

TK：安全的核心仍在于重视 移动安全应更多的考虑耦合风险相关推荐

1. 网易视频云CEO余利华：云服务的核心仍是用户体验

   如果说2016年互联网科技圈最热门的词汇,"直播"必定是最佳候选之一.来势汹汹的直播,正在与各式各样的行业联姻,形成"直播+"的经济模式,一度引发了全民直播的热 ...

2. 大数据之父舍恩伯格：大数据的核心要义在于共享

   8月25日,2016IEBE(上海)国际电子商务博览会暨互联网+科创应用展"智享生态联接未来"高峰论坛在上海举行.大数据之父舍恩伯格出席了本次论坛,他与参会者探讨了大数据时代电子商 ...

3. TK联发科MTK8735 核心板4G 全网通4核64位 物联网方案LTE模块 MTK 3G/4G行业设备解决方案

   MTK联发科MTK8735 核心板4G 全网通4核64位 物联网方案LTE模块 MTK 3G/4G行业设备解决方案 MTK联发科平台全部芯片,专业定制开发手机,平板,行业设备,智能手表穿戴,智能家居, ...

4. DriveWealth全球投资者研究：千禧一代不再追逐模因股票，尽管市场低迷，交易仍保持高位，因此需要更多选择

   资金较少的年轻投资者正在对投资技术生态系统产生更大影响 全球金融科技投资网络和零股投资先驱DriveWealth, LLC今天发布了最新的DriveTrends研究报告,题为:<千禧交易者之年: ...

5. ​一季度区块链应用报告：金融、政务仍是主战场，应用向更多行业开枝散叶...

   文丨互链脉搏研究员·梁山花荣 未经授权,不得转载! 进入2019年以来,区块链应用落地正在小步快跑. 根据互链脉搏研究院不完全统计,2019年一季度,全球共披露区块链应用项目181个,环比增长8.4% ...

6. 暴赚5000倍！详解约翰•邓普顿的“逆向投资”

   约翰•邓普顿在全球投资圈是很多人膜拜的宗师级人物,<福布斯>杂志称他为历史上最成功的基金经理之一.有多成功呢?如果1940年你投资给他1万美元,50年后这笔钱会变成5500万美元. &qu ...

7. 宝物志：价值近三千万钻戒秒售空，李佳琦卖出直播间最贵单品

   3月8日,张雨绮现身李佳琦直播间,曾经号称一克拉以下的碎钻不值钱的她,在当晚直播中,与李佳琦一起卖出三枚10克拉的钻戒.每一枚钻戒的价值都高达一千万元,刷新李佳琦直播间最贵商品单价记录,钻石几乎上架就 ...

8. 2016年定制维护组总结-历程回溯

   无线定制维护组2015年初从家用组独立出来,同时便携合入家组.形成了家用主线开发,及定制.维护的二分形势. 2013年专门拉一个定制部门:软件.测试.PDT. 直接对接业务,并承接公司全部的定制项目, ...

9. 支付，造就金融科技生态契机——保险科技生态建设...

   未来的商业形态,必定是距离交易越近的越有价值? 以下是数字化转型的分享线路图,您现在所在的位置为序号的分享:生态圈建设. 以下是正文: 这一节主要造就金融科技契机的能力:支付.是什么造就了金融科技生态 ...

最新文章

1. 【连载】优秀程序员的45个习惯之39——架构师必须写代码
2. Linux的mount命令简介
3. 用动态数组模拟双向循环链表
4. 科学计算机怎么调亮度,LED显示器背光很刺眼怎么办？显示器刺眼如何设置？
5. 永洪科技携手华为构建金融智慧运营与商业智能方案，解决金融敏捷分析难题
6. SQL Error: 957, SQLState: 42000 ORA-00957: duplicate column name
7. HTML DOM教程 37-HTML DOM Meta 对象
8. C#相等性 - 三个方法和一个接口
9. ajax请求会阻塞dom,Jquery ajax 同步阻塞引起的UI线程阻塞问题_jquery
10. PHP童鞋改JAVA代码怎么处理
11. 湖南麒麟实时操作系统调优指南
12. ccc计算机比赛如何报名,2020年加拿大计算机竞赛报名即将截止！
13. UEFI HOB 学习
14. 【中科院信工所】-2021考研经验-记录一段每天都在思考如何学习的日子
15. vue项目导出word文件(根据word模板导出)
16. 自定义注解导出excel数据
17. 小飞学习Docker之使用容器
18. OLE DB error occured. Code 80040E14h. CoInitialize has not been Called. 问题解决
19. Ubuntu把在效劳器领域起更主要的脚色
20. 如何养成良好的生活习惯

热门文章

1. python将对象放入列表_将C对象添加到Python List并将C对象列表返回给python
2. Ubuntu 20.04 grub更换windows10为默认启动项
3. Vigenere密码加密解密原理
4. 寻仙手游维护公告服务器停服更新,寻仙手游新服更新内容汇总 新坐骑黑鸾幽煌上线...
5. 关于BIOS升级的方法
6. 【SpringBoot】35、SpringBoot整合Redis监听Key过期事件
7. Code-server阿里云ECS服务器部署
8. NetworkX画图：nx.draw_networkx(函数详解)
9. 教你如何在软文中设置关键词
10. matlab-----除去图像中的小圆圈