站长之家首页 > 传媒 > 手机漏洞最新资讯 > 正文

多款热门APP受寄生兽漏洞影响黑客可在手机种木马

2015-07-02 15:44 · 稿源:站长之家用户投稿

日前,一个能够影响90%以上APP的“寄生兽”漏洞被360手机安全研究团队vulpeckerteam捕获,包括百度、腾讯、阿里等众多厂商的APP产品都受该漏洞影响,为推动厂商关注APP安全,HackPWN安全极客狂欢节将专门设置奖金,面向所有安全极客征集流行APP的安全漏洞。

图:“寄生兽”漏洞影响90%以上APP

APP是目前网络用户享受智能生活的重要工具,APP一旦爆发漏洞被黑客利用并入侵手机,黑客不仅可以直接在用户的手机中植入木马,更可以轻松盗取用户的短信、照片、银行账户密码等关键信息。按照风险评估,该漏洞的经济价值难以估量,而社会危害则更加巨大。

据北京安赛创想安全能力中心主任张傲介绍,目前该漏洞的细节还没有被公布,不过按其公布的视频推测,安卓程序如果没有验证当前进程的文件签名,或没有对进程间的内存读写权限进行控制,第三方恶意程序就可以通过链接库文件劫持或进程注入、修改wifi数据等的方式修改程序行为及通信数据。

测试人员选取了搜狗输入法、百度输入法、UC浏览器、高德地图、微信SDK等热门APP进行测试,根据录制的视频显示,黑客可以利用“寄生兽”漏洞通过这些APP对用户的手机进行控制,并植入木马程序。这些APP均有大公司开发,安全系数相对较高,但在“寄生兽”漏洞面前依然毫无招架之力。那些由小团队开发的APP安全情况则更加不容乐观。

图:APP安全成HACKPWN关注的重点主题之一

随着移动互联的持续扩张,APP承载的是更多企业的终端梦。用户手机安装APP以后,企业即埋下一颗种子,可持续与用户保持联系。可是种子是种下了,可要是它本身就不安全怎么办?事实上,APP安全早已引起业界的重点关注,去年年底,北京即将先行试点APP管理办法,研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》。

在近日举办的“HackPwn安全极客狂欢节”中,APP安全也成为了关注的重点主题之一。据了解,HackPwn安全极客狂欢节重点关注智能生活的安全问题,在启动仪式,组委会的安全专家现场演示了特斯拉、比亚迪、奔驰等多款汽车的入侵和破解过程,并演示了利用已发现的安全漏洞,在不使用物理钥匙的情况下,成功实现对汽车远程操控。

据悉,对于即将到来的智能生活时代,安全问题更是不容轻视,而APP作为智能生活的第一入口,一旦出现安全隐患,由现代科技创建的智慧生活大厦将瞬间倾覆。对此,HackPwn将专门设立奖金,面向所有安全极客征集各种生活类APP的漏洞,以此推动各大厂商关注APP的安全。

对于已被发现的“寄生兽”漏洞,安全专家给用户提出的安全建议是,不要接入不安全的公众wiffi,下载APP应该通过正规渠道下载,就可以初步避免遭到损失。而对于APP开发者来说,则应对程序文件进行签名验证,并对网络间的交互数据进行校验,可以避免受到攻击。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 大家在看
  • 相关推荐
  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天