这个漏洞让27款安卓App中招,可让黑客帮你花钱

2018年1月9日下午,腾讯七大实验室之一的玄武实验室宣布发现了攻击威胁模型"应用克隆",该漏洞让支付宝、京东到家、饿了么、携程等27款App的安卓版纷纷中招。黑客可以利用该漏洞远程"克隆"一个跟你账户一模一样的App,还顺便帮你花钱甚至干各种让你无法想象的勾当。

目前,支付宝等部分App已经修复了该漏洞,但还有10款App尚未修复,另外,部分已经修复的App仍然存在修复不完全的情况。

需要强调的是,该漏洞仅存在于上述App的安卓版,iPhone上的这些App不受影响。并且,截至目前,还没有发现该漏洞被黑客利用的实际案例。

玄武实验室在现场演示了两款App被克隆、攻击的过程,一款是支付宝,一款是携程。

以支付宝为例,黑客向用户发送一条隐藏着攻击信息的短信,并以红包加以引诱,用户在这种情况下点开短信里的链接,他看到的是一个真实的抢红包页面,但攻击者却在另一个手机上复制了该用户完整的支付宝账户信息,包括头像、用户名等完全一样,也可以查看用户的芝麻信用分,还可以用支付宝的付款码进行消费。在演示中,攻击者成功帮助用户消费了325元。

"攻击"支付宝和携程的演示视频

当我问TK,黑客是否可以连用户的支付密码也"克隆"过去时,他告诉我:"就支付宝而言,密码是拿不到的。"但他又补充了一句:"但有些App因为还存在其它漏洞,在克隆后,再配合其它漏洞真的可以拿到密码,完完全全控制账号。"

万幸的是,TK告诉我,包括支付宝在内的这些存在"应用克隆"漏洞隐患的App目前都还是安全的,还没有发现利用该漏洞攻击用户的行为,"至少我们没有知道的案例会通过这种途径发起攻击。"但今天他们公布了之后就说不准了。

支付宝相关负责人告诉我,他们接到通知后立马进行了修复。

短信只是其中一种诱导方式,该漏洞还可以被黑客隐藏在二维码、新闻页面等,只要用户不小心点到了就会中招。

在演示攻击携程App的时候,大体操作跟攻击支付宝类似。有意思的是,支付宝和携程这两款App背后站着阿里和百度,腾讯的两个劲敌。

据悉,该漏洞发现的时间是在2017年年底,应该在11月底或12月初。因为12月初的时候,TK跟我说他们近期会公布一个影响非常大的发现,但他没有透露任何细节。今晚,TK承认这个漏洞就是他当初说的"重大发现"。

他向虎嗅透露,这个漏洞的发现最初只是他的一个想法,随后他们团队对200款左右的App安卓版进行了监测,发现有27款App可以被该漏洞攻击。12月7日,玄武实验室把该漏洞以及可能被攻击的App提交给了国家互联网应急中心。

国家互联网应急中心网络安全处副处长李佳披露了从收到漏洞提交到验证到通知厂商修复的整个过程,以及修复情况--

CNVD在获取到漏洞的相关情况之后,第一时间安排了相关的技术人员对漏洞进行了验证,也为漏洞分配了漏洞编号,是CNVD-2017-36682,并且也于2017年的12月10号向这次漏洞涉及到的27家App的相关企业发送了点对点的漏洞安全通报。同时,在通报中也向各个企业提供了漏洞的详细情况以及建立了修复方案。

在发出通报后不久CNVD又收到了包括支付宝、百度外卖还有国美等等大部分App的这种主动反馈,表示他们已经在漏洞的修复进程中。可能是由于各个团队的技术能力有差距,刚才看到目前有的APP已经有修复了,有的还没有修复。

截止到昨天,目前包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商还没有收到他们的相关反馈。在这儿也希望这10家没有及时反馈的企业切实的加强网络安全运营能力,落实网络安全法规的主体责任要求。当本公司的产品出现了重大的安全漏洞或者隐患的时候能够第一时间的进行响应和解决修复,能够切实的维护和保障广大用户的权利。

在TK提供一张PPT上,清晰地显示已彻底修复的包括支付宝、饿了么、Wi-Fi万能钥匙、小米生活、百度旅游、墨迹天气、驴妈妈旅游、咕咚;

修复不完全的App包括一点资讯、卡牛信用管家、亚马逊中国版;

尚未修复该漏洞的就多了,包括百度外卖、携程、京东到家、聚美优品、国美、12306智能火车票、vivo应用市场、豆瓣、同程旅游等。

这就引申出一个问题,即原本黑客并没有发现这个漏洞,玄武实验室此时公布了这个漏洞,对于那些尚未修复的App而言,黑客完全可以立即发起对其攻击,这一定程度上,玄武反而成了帮凶。

腾讯玄武实验室负责人TK

虎嗅把这个疑惑抛给了TK,他解释道:"这个话题其实是安全界已经讨论了十几年的话题,关于漏洞披露的问题,这里面是有矛盾的。假使我今天发现了今天就披露,完全没有给厂商留出修复的时间,这个肯定是有问题的。我们报告了之后等厂商修复,一天不修等一天,一年不修等一年,这也是有问题的。"

TK说,具体到今天公布的"应用克隆",它影响的不只是一两家厂商,安卓应用市场里有几十万、上百万款应用,他们只是检查了200款,也不可能全检查一遍。"通过我们公布了这个漏洞让更多厂商对自家应用自查,这其实就是披露的意义。你知道问题是一回事,然后你整个去实现攻击又是一回事,所以漏洞披露是需要权衡的一个过程。"TK向我解释道。

我相信这些安全人员都有一种浪漫的情怀来做这样一件事情,但通过我的观察,腾讯对这样一款漏洞的公布举行这样一场发布会,本质上除了警告这些App厂商提高安全等级、修复漏洞之外,还可能是为了宣传腾讯在安全领域的技术实力。1月14日腾讯安全还有一场更盛大的峰会"2018年守护者计划大会"在北京举行,届时马化腾将从深圳跑来北京为该峰会站台。

今天晚上7点半,国家互联网应急中心在旗下的CNVD(国家信息安全漏洞共享平台)对该漏洞(官方称其为"Android WebView存在跨域访问漏洞")进行公告,对漏洞进行了分析,并给出了"高危"的安全评级以及修复建议:

在宣布上述27款App安全漏洞的同时,TK也强调了手机厂商在其中的责任,"发现所有测试的手机当中都存在几个月之前就已经公开披露的漏洞。"

在其公布的一份名单中,包括三星、华为、小米、OPPO、vivo等手机厂商都存在修复漏洞滞后的现象,包括它们的最新旗舰机型。

"由于现在移动操作系统的安全设计,让我们可能麻痹了很长时间,觉得漏洞的危险已经没有之前那么大了,但是我们要说`这是一种错觉`,我们对漏洞的这种警惕意识仍然是必要的。"TK呼吁手机厂商和应用开发者,"绝对不能够因为在一个时间段或者说过去的五六年里漏洞攻击感觉没有那么多了,而放松对它的警惕,以至于在编程的时候,很多已知的这种安全原则不再去遵循或者说你在做系统的很多已知漏洞,应该修复的时候不修复。从更大的格局上讲其实是不利于移动互联网整个行业的健康发展。"

TK说:"洪水来临的时候没有一滴雨滴是无辜的。"

一盒上万人吃过从未被吐槽的曲奇饼

一盒补救早餐、下午茶、深夜加班精灵的曲奇饼

一盒口感好到逆天原地旋转跳跃的曲奇饼

一盒包装好看到送礼绝对完美的曲奇饼

你现在立刻马上,就可以揣进兜里

由于不可抗力

虎嗅公众号不能评论了

欢迎直接在公众号对话框留言

也可以点击"阅读原文"

到文章原文页愉快吐槽

「点点赞赏,手留余香」

赞赏

  • 0人赞过
0
0
0
评论 0 请文明上网,理性发言

相关文章

  • 提起安卓与iOS最大的差距,如今许多国内用户并不再认为是系统不稳定、卡顿,而是理智地认识到,是软件生态质量。 ▲iOS与安卓,图/AppPartner 毕竟由于谷歌监管的缺失,国内各种流氓类应用可谓是「泛滥成灾」呀。但这可并不意味着安卓上没有出色的应用。 今天,我们就来介绍一些值得你尝试,且十分出色的安卓软件。 全能
    md8rt0 5 2 0 条评论
  • 现在是手机系统基本被安卓和IOS两大阵营垄断,其中安卓相比于IOS生态更加开放,对系统底层的操作更加灵活,各位大佬也是搞出了许多牛逼产品,目前比较火的应该就是Xposed框架。 由于Xposed框架受制于ROOT,而现在手机基本都无法ROOT,因此很多免Root框架也被搞了出来:太极、VirtualXposed、应用
    资倔強恋海 3 1 0 条评论
  • 前段时间vivoOriginOS系统的发布,让很多机友想起了停止在2015年的WindowsPhone系统。 现在来看,WindowsPhone强调信息本身、富于动态的磁贴设计正是今天各种系统探索的方向。 不得不说微软家很多东西败就败在太前卫,生不逢时。 但失败只是过去,这几年关于将Windows的设计理念跟安卓系统
    上山打病猫 5 0 0 条评论
  • 昨日,App违法违规收集使用个人信息治理工作组发布通告,35款安卓App存在个人信息收集使用问题,建议相关App运营者及时对存在的问题进行整改,并自即日起30日内向工作组反馈整改情况。 30日后,工作组将对整改情况进行核验,并向相关部门提交复核结果,对不能有效整改的建议依法予以处置。 其中,新浪微博、鄂汇办两款用户
    超级洪宗玉 5 0 0 条评论
  • 随着安卓8.0的发布,现在的安卓系统不仅越来越流畅,安装应用的速度也越来越快,还加入了给力的休眠模式。但是它依然不敌国内各种权限强盗App,各种自启和相互唤醒。虽然不少厂商已经在ROM中引入了禁止自启和权限管理功能,但还有包括原生安卓在内相当一部分系统是不支持控制这些权限的。。 今天,就为大家精选了一些杜绝卡顿的安卓A
    _阿Kong隆 8 1 0 条评论
  • 6月11至12日,2019腾讯安全国际技术峰会上,腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》(以下简称《白皮书》),该实验选取了14个应用市场分类中下载量前100名左右的APP,共计1404个检测样本。检测结果显示,这1404个样本中,有1381个APP存在安全问题,这意味着,98%的安卓应
    娄沦醚奄 8 0 0 条评论
  • Windows11系统推出到至今,被称之为新一代的操作系统,已经过去数月,其中带来的最大的惊喜就是能够兼容安卓应用环境。 但是,在推出的这么多测试版本中,均不能使用安卓App。不过根据最新消息来看,微软会在后续的更新中才会慢慢加入。 而华为最新电脑"系统"来了,已经抢先支持安卓App。 华为在前天发布了MateBoo
    hkpxsbo34587 4 0 0 条评论
  • 2018年1月9日下午,腾讯七大实验室之一的玄武实验室宣布发现了攻击威胁模型"应用克隆",该漏洞让支付宝、京东到家、饿了么、携程等27款App的安卓版纷纷中招。黑客可以利用该漏洞远程"克隆"一个跟你账户一模一样的App,还顺便帮你花钱甚至干各种让你无法想象的勾当。 目前,支付宝等部分App已经修复了该漏洞,但还有10
    曹伊宾茉 8 0 0 条评论
  • 谷歌宣布了一项新的漏洞赏金计划,名为MobileVRP(漏洞奖励计划),该计划涵盖其移动应用程序,用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用(谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面)才在新赏金计划的范围内。 谷歌将奖
    LiLioioio 9 2 0 条评论
  • 我们都知道,目前全球手机分为安卓和苹果两大阵营,而苹果能以一己之力对抗整个安卓阵营且完全占据上风,最大的功臣应该就是苹果打造的iOS系统和其一手把控的第三方应用生态。和安卓应用相比,苹果应用操作逻辑统一,所需权限较少,很少有违规行为 这样一来,苹果iPhone的体验明显就比安卓好一个层次,在安卓手机硬件几乎追上甚至超越
    瑗珞珺颜 7 0 0 条评论