“應用克隆”漏洞暫無法自動化檢測 騰訊發布“玄武支援計劃”協助處理

來源:鳳凰科技 2018-01-11 13:41:01

原標題:“應用克隆”漏洞暫無法自動化檢測 騰訊發布“玄武支援計劃”協助處理

1月9日,騰訊安全玄武實驗室與知道創宇404實驗室,正式針對最新發現的“應用克隆”攻擊模型,聯合召開安全技術研究成果發布會。據騰訊安全玄武實驗室負責人於暘介紹,利用“應用克隆”攻擊模型,在國內包括支付寶、攜程等200款主流APP上測試後發現了27個漏洞,比例超過10%,而受到影響的APP,則存在用戶賬戶信息、數據、資金被克隆竊取的風險。

而值得關注的是,早在12月7日,騰訊安全玄武實驗室即將漏洞提交給CNVD(國家信息安全漏洞共享平台),並在被確認為“高危”漏洞後,通過CNCERT(國家互聯網應急中心)向APP廠商通報了該情況,並給出修複方案,但直至發布會當天上午,僅有小部分APP進行了漏洞修複,還有大量APP沒有向CNCERT進行情況反饋。騰訊安全玄武實驗室也在發布會上宣布將啟動“玄武支援計劃”,協助廠商處理問題。

(騰訊安全玄武實驗室發布“應用克隆”漏洞相關說明)

呼籲行業自查,倡導移動安全新思維

於暘表示,由於該問題的複雜性,無法通過自動化檢測來判斷是否存在上述漏洞,簡單通過函數掃描得出的結果,既會出現大量誤報,又會出現大量漏報。唯一能判斷有無漏洞的方式就是人工檢測。這也導致玄武實驗室無法對整個安卓應用市場進行檢測,所以通過此次新聞發布會,希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修複。同時,考慮到該漏洞影響的廣泛性,以及配合“應用克隆”攻擊模型後的巨大威脅,騰訊安全玄武實驗室也在發布會現場宣布推出“玄武支援計劃”,協助廠商處理問題。

(於暘在發布會現場介紹移動安全趨勢)

據騰訊安全玄武實驗室透露,“玄武支援計劃”公布後,已經有多家公司及應用廠商尋求幫助檢測漏洞。而對經過實驗室幫助檢測的應用,也會統一提交給 CNVD,然後由 CNVD 通知廠商。

相較於蘋果、微軟、穀歌等國際廠商,國內廠商對於漏洞安全的重視程度仍舊有待進一步提升。經騰訊安全玄武實驗室測試市場上的安卓手機,大多存在漏洞修複滯後的情況,最長甚至有超過一年的情況。

而實際上,移動安全時代,漏洞可能導致的威脅遠比業界之前認識的要大,移動設備普遍使用了可信計算、漏洞緩解、權限隔離等安全技術,但移動技術自身的各種特點又給安全引入了更多的新變量,新變量可能耦合出新風險。

而對安全重視程度不夠,是整個移動互聯網行業普遍存在的問題,不隻是一兩個廠商的問題。於暘表示,麵對新威脅,不僅需要整個移動互聯網行業的重視和協作,更需要轉變舊思維,用新的移動思維應對移動安全問題,需要手機廠商、應用開發商、網絡安全研究者等多方攜手,共同重視。

推動安全防禦“最後一公裏”

在於暘看來,安全最核心的問題,還是要看廠商重視不重視。但必須注意到,目前,受限於中國網絡安全人才的稀缺,互聯網廠商的安全防禦能力麵臨著較大壓力。這也促使安全廠商作為“專家”,也必須承擔相應的社會責任。

而隨著騰訊安全玄武實驗室推出“玄武支援計劃”,這也意味著騰訊安全在推進手機廠商、APP開發商主動自查的同時,也逐步通過更加開放、合作的方式,輸出自身的安全能力,與第三方廠商一同保障用戶安全,推動網絡安全防禦落實到“最後一公裏”,共同築造安全防線。

工信部網絡安全管理局網絡與數據安全處處長付景廣在發布會上也對騰訊安全的舉措表示了肯定。他認為,隨著互聯網及數字經濟的發展,網絡安全一方麵造福於國家、社會,同時帶來的網絡安全問題也越來越突出。騰訊做了大量的工作並把相關的情況公之於眾,提醒大家給予高度的重視,並且加以針對性的防範,充分體現了移動安全領域的技術能力。同時,這也體現了騰訊高度的社會責任感,發現了問題及時提醒,及時幫助大家去解決問題、防範風險,這非常值得肯定。

點擊查看原文

相關鏈接