日前,一个能够影响90%以上APP的“寄生兽”漏洞被360手机安全研究团队vulpeckerteam捕获,包括百度、腾讯、阿里等众多厂商的APP产品都受该漏洞影响,为推动厂商关注APP安全,HackPWN安全极客狂欢节将专门设置奖金,面向所有安全极客征集流行APP的安全漏洞。
图:“寄生兽”漏洞影响90%以上APP
APP是目前网络用户享受智能生活的重要工具,APP一旦爆发漏洞被黑客利用并入侵手机,黑客不仅可以直接在用户的手机中植入木马,更可以轻松盗取用户的短信、照片、银行账户密码等关键信息。按照风险评估,该漏洞的经济价值难以估量,而社会危害则更加巨大。
据北京安赛创想安全能力中心主任张傲介绍,目前该漏洞的细节还没有被公布,不过按其公布的视频推测,安卓程序如果没有验证当前进程的文件签名,或没有对进程间的内存读写权限进行控制,第三方恶意程序就可以通过链接库文件劫持或进程注入、修改wifi数据等的方式修改程序行为及通信数据。
测试人员选取了搜狗输入法、百度输入法、UC浏览器、高德地图、微信SDK等热门APP进行测试,根据录制的视频显示,黑客可以利用“寄生兽”漏洞通过这些APP对用户的手机进行控制,并植入木马程序。这些APP均有大公司开发,安全系数相对较高,但在“寄生兽”漏洞面前依然毫无招架之力。那些由小团队开发的APP安全情况则更加不容乐观。
图:APP安全成HACKPWN关注的重点主题之一
随着移动互联的持续扩张,APP承载的是更多企业的终端梦。用户手机安装APP以后,企业即埋下一颗种子,可持续与用户保持联系。可是种子是种下了,可要是它本身就不安全怎么办?事实上,APP安全早已引起业界的重点关注,去年年底,北京即将先行试点APP管理办法,研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》。
在近日举办的“HackPwn安全极客狂欢节”中,APP安全也成为了关注的重点主题之一。据了解,HackPwn安全极客狂欢节重点关注智能生活的安全问题,在启动仪式,组委会的安全专家现场演示了特斯拉、比亚迪、奔驰等多款汽车的入侵和破解过程,并演示了利用已发现的安全漏洞,在不使用物理钥匙的情况下,成功实现对汽车远程操控。
据悉,对于即将到来的智能生活时代,安全问题更是不容轻视,而APP作为智能生活的第一入口,一旦出现安全隐患,由现代科技创建的智慧生活大厦将瞬间倾覆。对此,HackPwn将专门设立奖金,面向所有安全极客征集各种生活类APP的漏洞,以此推动各大厂商关注APP的安全。
对于已被发现的“寄生兽”漏洞,安全专家给用户提出的安全建议是,不要接入不安全的公众wiffi,下载APP应该通过正规渠道下载,就可以初步避免遭到损失。而对于APP开发者来说,则应对程序文件进行签名验证,并对网络间的交互数据进行校验,可以避免受到攻击。
