騰訊安全玄武實驗室發現「應用克隆」漏洞:多款主流 App 中招!

2021-01-21 站長之家
騰訊安全玄武實驗室發現「應用克隆」漏洞:多款主流 App 中招!

站長之家(ChinaZ.com) 1 月 10 日消息,昨天下午,騰訊安全玄武實驗室與知道創宇 404 實驗室在北京召開了聯合發布會,在發布會現場騰訊玄武實驗室宣布發現了攻擊威脅模型「應用克隆」漏洞。

據悉這個漏洞發現的時間是在 2017 年年底,攻擊者可以利用該漏洞遠程「克隆」一個跟你帳戶一模一樣的 App,可以直接在用戶不知情的情況下,盜取用戶帳號、個人隱私、資金等。

騰訊方面發布的消息稱,經過測試,「應用克隆」對大多數移動應用都有效,在 200 個移動應用中發現 27 個存在漏洞,比例超過 10%。涉及國內安卓應用市場十分之一的 APP,如支付寶等多個主流 APP 均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。

「應用克隆」漏洞僅對安卓系統有效,iOS 系統不受影響。目前,支付寶等部分 App 已經修復了該漏洞,但還有 10 款 App 尚未修復,另外部分已經修復的 App 仍然存在修復不完全的情況。

截至目前還沒有發現該漏洞被黑客利用的實際案例。


相關焦點

  • 騰訊安全披露「應用克隆」漏洞 安卓主流APP中槍
    【環球網科技報導 記者 李文瑤】1月9日,由騰訊安全玄武實驗室發現的「應用克隆」這一移動攻擊威脅模型正式對外披露。據了解,基於該攻擊模型,騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應用中發現27個存在漏洞,比例超過10%。而這一漏洞利用方式一旦被不法分子利用,就可以輕鬆克隆獲取用戶帳戶權限,盜取用戶帳號及資金等個人隱私信息和資產。
  • 發現應用克隆漏洞 騰訊發現可克隆幾十款App的漏洞
    1月9日,騰訊匯。下午3點的騰訊安全有一場發布會,不到2點,主要演講人騰訊玄武實驗室負責人 TK(於暘) 已經到位,知道創宇404Team的老大黑哥(周景平)也現身了。
  • 騰訊安全玄武實驗室發現「應用克隆」攻擊模型:幾乎適用所有安卓...
    基於該攻擊模型,騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應用中發現27個存在漏洞,比例超過10%。在發現這些漏洞之後,騰訊安全玄武實驗室通過CNCERT向廠商報告了相關漏洞,並提供了修複方法。  考慮到相關問題影響之廣,難以將相關信息逐個通知給所有移動應用開發商,所以通過新聞發布會希望更多移動應用開發商了解該問題。
  • 「應用克隆」漏洞暫無法自動化檢測 騰訊發布「玄武支援計劃」協助...
    1月9日,騰訊安全玄武實驗室與知道創宇404實驗室,正式針對最新發現的「應用克隆」攻擊模型,聯合召開安全技術研究成果發布會。據騰訊安全玄武實驗室負責人於暘介紹,利用「應用克隆」攻擊模型,在國內包括支付寶、攜程等200款主流APP上測試後發現了27個漏洞,比例超過10%,而受到影響的APP,則存在用戶帳戶信息、數據、資金被克隆竊取的風險。
  • 「應用克隆」攻擊可竊取用戶帳戶,支付寶、餓了麼等都中招了
    最近,騰訊安全玄武實驗室負責人「TK教主」於暘就用簡訊為載體,現場披露了」應用克隆「這一移動攻擊威脅模型。玄武實驗室以支付寶App為例展示了攻擊效果:在升級到最新安卓8.1.0的手機上,利用支付寶App自身的漏洞,「攻擊者」向用戶發送一條包含惡意連結的手機簡訊,用戶一旦點擊,其支付寶帳戶一秒鐘就被「克隆」到「攻擊者」的手機中,然後「攻擊者」就可以任意查看用戶帳戶信息,並可進行消費。
  • 「應用克隆」漏洞被發現 涉及國內10%的安卓應用
    「應用克隆」漏洞被發現 涉及國內10%的安卓應用 2018-01-09 21:07:41來源:中國新聞網作者:${中新記者姓名}責任編輯
  • 安卓App存在「應用克隆」風險,行業如何應對?
    近日,騰訊安全玄武實驗室負責人於暘披露了一移動攻擊威脅模型——「應用克隆」。黑客完全可以克隆出一個頭像、ID、芝麻信用等各種信息完全一樣的支付寶,然後肆無忌憚的消費。而簡訊只是一種方式,二維碼、新聞推送等都可能被黑客作為攻擊手段。玄武實驗室表示,由於經歷有限,此次只在國內200個常用app中進行檢測,發現了27個漏洞,比例超過了10%。在發現漏洞後,玄武實驗室第一時間向廠商做了通報,並給出了修復建議。目前部分app的漏洞已經修復,但是並沒有完全修復。
  • 安卓APP存"應用克隆"漏洞 可複製支付寶信息消費
    安卓APP存在"應用克隆"漏洞 可複製支付寶信息並消費  「應用克隆」這一移動攻擊威脅模型的對外披露,引發了不少網民的恐慌情緒。一些一度被認為威脅不大、廠商也不重視的安全漏洞,竟然能「克隆」用戶帳戶、竊取隱私信息、盜取帳號及資金……營造安全行動支付環境,容不得一絲僥倖。
  • 安卓APP存在"應用克隆"漏洞 可複製支付寶信息並消費
    儘管現在支付寶已經修復了這一漏洞,但騰訊安全玄武實驗室與知道創宇404實驗室1月9日披露的攻擊威脅模型「應用克隆」仍令人十分震驚。騰訊安全玄武實驗室負責人於暘表示:「該攻擊模型是基於移動應用的一些基本特點設計的。所以,幾乎所有移動應用都適用該攻擊模型。」研究顯示,市面上200多款常見安卓應用中,有27款應用可被這種方式攻擊,佔比超過10%。
  • 應用克隆:黑產的四維攻擊和白帽子的技術涅槃
    在1月9號的騰訊安全發布會上,騰訊安全玄武實驗室的負責人「TK教主」於暘在現場演示了一段視頻,告訴外界,利用克隆技術的應用克隆,所造成的威脅和破壞到底有多大——只見兩支手機擺放在桌子上,A手機向被攻擊的手機B發送了一條簡訊,這條簡訊中包含了一條惡意連結,B手機打開這個連結後,彈出了一個搶紅包的頁面,就像很多營銷推廣中常見的套路那樣。
  • 中國實驗室發現蘋果M1晶片高危漏洞,庫克又得感謝了
    最近,中國某安全實驗室對蘋果的新發布的M1晶片進行安全測試發現,其存在高危漏洞,這可能影響到包括蘋果12系列,這是實驗室每年都會進行的「例菜」,今年也是,騰訊玄武實驗室今年照例對Apple M1進行了測試,系統最高權限一舉被攻破。
  • 360顯危鏡免費提供「應用克隆」漏洞自動化檢測服務
    近期國內多款知名手機APP被曝光存在「應用克隆」漏洞。攻擊者利用該漏洞,可以輕鬆「克隆」用戶帳戶,竊取隱私信息,盜取帳號及資金等,國內約10%的主流APP受到漏洞影響。作為中國領先的網絡安全廠商,360旗下APP從產品開發階段就已對「應用克隆」攻擊威脅進行全面預防,完全不受此次漏洞影響。
  • TSRC推出騰訊會議專項安全眾測,快來挖洞
    受疫情影響,遠程辦公軟體在全球範圍內需求激增,同時也面臨著巨大的安全風險和挑戰。4月8日,騰訊方面宣布,騰訊安全應急響應中心(TSRC)將聯合雲鼎實驗室、騰訊會議共同啟動「百萬賞金共戰「疫」」騰訊會議專項眾測活動。
  • 又封禁43款中國應用!阿里多款應用「中槍」,印度政府要「趕盡殺絕」?
    釘釘、淘寶直播、快手、騰訊視頻等(海外版)都在此次封禁名單之中。  這已經是印度政府今年以來第四次封禁中國應用。  同時,芒果TV(MangoTV)、騰訊視頻(WeTV)等視頻應用也出現在名單上。  另外,還有網際網路物流服務平臺貨拉拉(Lalamove)等。  值得注意的是,在此次被封禁的名單當中,阿里巴巴的多款應用都成為被禁對象,包括電商平臺AliExpress(全球速賣通)、(淘寶直播)Taobao Live、釘釘(DingTalk)等。
  • 多款智能電視被曝存信息安全隱患,騰訊電視管家檢測識別風險電視APP
    需要注意的是,近年來一些國內外媒體、安全論壇頻繁曝光人工智慧電視信息安全問題,不法分子利用人工智慧電視的安全隱患進行遠程控制、遠程監控等風險行為。近日有實驗室曝光,多款人工智慧電視存在安全漏洞未修復、配置不當、越權操作等信息安全問題。
  • 華為、騰訊「擦槍走火」、拜拜「Flash」|極客一周
    元旦當天,大家還在跨年的宿醉中尚未清醒的時候,兩家軟體和硬體方面的巨頭,騰訊和華為已經「擦槍走火」。1 日凌晨,華為遊戲社區中心發布公告,表示因為騰訊遊戲單方面作出重大變更,華為方面無法合作,只能將騰訊遊戲下架。幾小時後,騰訊遊戲方面回應,稱「因華為手機遊戲平臺與我們的《手機遊戲推廣項目協議》未能如期續約」,才是導致騰訊遊戲從華為下架的真實原因。
  • iPhone12出現安全漏洞,你的隱私留不住了!
    最近我在網上看到了這樣的一篇報導,因為這個是關係隱私洩露的報導,而且蘋果又出事事情了,因為有某機構發現了蘋果的漏洞。蘋果還在高興中,他們研發出了自己的電腦晶片M1,這個晶片被蘋果吹得熱火朝天,但是還沒有高興多久,這款晶片的安全問題就出來了。在我看到的這篇報導中,鵝廠的實驗室找到了M1的安全問題。
  • 抖音已不能搜索「英雄聯盟」「王者榮耀」;熊貓直播 App 已下架...
    近日有消息稱,熊貓直播已經進入破產清算,聯合創始人、副總裁莊明浩及多位高管也已經離職,伺服器將於 3 月 18 日關閉。另外,3 月 7 日晚間,熊貓直播 COO 張菊元在工作群「潘達踢威」中發文稱:「熊貓 TV 被迫選擇了這樣的結束,選擇結束並不是對員工與團隊的否定,而是大勢之下,一個無奈而又最理智的選擇。」
  • 下載APP請上官方網站,保障手機安全請用騰訊手機管家
    (圖:「3D手機鈴聲大全」軟體存惡意推廣風險,騰訊手機管家已精準查殺)類似小周的遭遇還有很多,包括「3D手機鈴聲大全」在內,近日國家計算機病毒應急處理中心曝光了9款惡意應用。其中,「土豪漫畫」和「米奇速借」會私自安裝捆綁應用,並竊取用戶個人信息,造成隱私洩露;「搞笑手機鈴聲」則會在用戶不知情的情況下,通過撥打電話、發送簡訊的方式,私自開通付費業務,造成流量消耗和資費損失。目前,騰訊手機管家依託騰訊自研AI反病毒引擎TRP-AI和自研殺毒引擎TAV,已對這些惡意軟體實現精準查殺,及時保障用戶手機安全。
  • 冉冉升起——國際媒體是如何報導抖音海外版「Tik Tok」的?
    TikTok 是集成了 Snapchat、已經不復存在的視頻應用 Vine 和電視片段「Carpool Karaoke」的一個古怪混合體,是社交媒體領域的令人耳目一新的一朵奇葩。來自用戶@spellmantwinz 的 TikTok 所謂的挑戰視頻,鼓勵用戶製作自己的視頻,將食物「扼殺」在歌曲的節拍上。