首页 > 传媒 > 关键词 > 腾讯云最新资讯 > 正文

腾讯云联手腾讯安全玄武实验室,提供「应用克隆」漏洞免费检测服务

2018-01-17 10:17 · 稿源:站长之家用户投稿

国内主流安卓 APP 被爆存在「应用克隆」风险。 2018 年 1 月 9 日,在正式对外披露攻击威胁模型「应用克隆」的新闻发布会上,腾讯安全玄武实验室负责人于旸(TK教主)现场展示了一段视频,用一场真实测试为大众揭秘“应用克隆”移动攻击威胁,一些平常不被重视的小漏洞,最终演变成窃取隐私信息和盗取账号资金的大危机。

在发现这些漏洞后,腾讯安全玄武实验室通过 CNCERT 向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。目前,对于用户数量大、涉及重要数据的 APP,腾讯安全玄武实验室愿意提供相关技术援助,与此同时,腾讯云移动安全团队联手玄武实验室,对想要检测是否存在「应用克隆」漏洞的客户提供1V1 的免费检测服务。

图片1.png

 

发布会现场演示应用克隆漏洞 

「应用克隆」漏洞产生的原因,以及将被如何利用?

发布会上,于旸指出:“多点耦合产生了可怕漏洞,所谓多点耦合,是 A 点看上去没问题,B 点看上去也没问题,但是 A 和 B 组合起来,就组成了一个大问题。”

「应用克隆」漏洞产生的原因是在 安卓 APP 中,WebView 开启了 file 域访问,且允许 file 域对 http 域进行访问,同时未对 file 域的路径进行严格限制所致。「应用克隆」漏洞只会影响使用 WebView 控件,开启了 file 域访问并且未按安全策略开发的安卓 APP。由此可见,「应用克隆」 攻击的成功实施需要多个漏洞的相互配合。

据介绍,「应用克隆」漏洞至少涉及国内10%的主流 安卓 APP,几乎影响国内所有安卓 用户。黑客可利用 Android 平台 WebView 控件的跨域访问漏洞(CNVD-2017-36682),远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对 APP 用户账户的完全控制。 

解决方案

值得庆幸的是,腾讯安全玄武实验室在不法黑客前发现了「应用克隆」攻击模型,占据了攻防主动。目前,受影响的APP厂商都已完成或正在积极的修复当中,具体修复可以参考国家信息安全漏洞共享平台联合腾讯提供的临时解决方案,如下所示:

1. file 域访问为非功能需求时,手动配置 setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLs 两个 API 为 false。(Android4. 1 版本之前这两个 API 默认是 true,需要显式设置为 false)

2. 若需要开启 file 域访问,则设置 file 路径的白名单,严格控制 file 域的访问范围,具体如下:

    (1)固定不变的 HTML 文件可以放在 assets 或 res 目录下,file:///android_asset 和 file:///android_res 在不开启 API 的情况下也可以访问;

(2)可能会更新的 HTML 文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

(3)对 file 域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

3. 避免 APP 内部的 WebView 被不信任的第三方调用。排查内置 WebView 的Activity 是否被导出、必须导出的 Activity 是否会通过参数传递调起内置的 WebView等。

4. 建议进一步对 APP 目录下的敏感数据进行保护。客户端 APP 应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 云上安全形势太复杂?腾讯云“三道墙”高效防护

    在云的时代,伴随更多企业客户转向公有云,基于云原生的防火墙技术逐步取代传统防火墙,成为守护企业云端安全的关键基础设施。近日,腾讯安全战略级新品——SaaS化云防火墙宣布正式升级到V1.6. 0 版本,在原有互联网边界防火墙、VPC间防火墙基础上,新增NAT边界防火墙,三道墙统一防护,精细化管控企业内外部流量,并结合安全策略和防御能力升级,为企业用户带来安全性更高、运行效率更好、可拓展性更强的云端安全防护。作为腾讯云

  • 腾讯云申请注册商标“良心云” 网友:官方玩梗最为致命

    日前,腾讯公司向国家知识产权局申请了“良心云”商标,目前该商标还在等待实质审查阶段。而这个商标名称实际上来自网友玩梗。之前曾有竞争对手吐槽腾讯,旗下云服务套路太多,为了讽刺的更彻底,友商还申请了“套路云”的商标。

  • ​当IPFS遇见云管理服务|云MSP新钛云服与冰河分布式实验室达成战略协议

    7月18日,冰河分布式存储实验室发布会在“天府之国”四川成都国际金融中心(IFS)隆重召开,本次发布会以“正本清源,探寻更佳”为主题。在此次大会上,新钛云服CEO冯祯旺受邀出席,并与冰河分布式实验室成功达成战略协议。冰河分布式存储实验室致力于向行业输出IPFS分布式存储专业知识科普、最新技术公开测评、最优算法开源最佳矿机矿池配置方案、生态应用实测等成果,正本清源地向行业传递务实、透明、开源的信息,探寻最佳的解决方案。新

  • 华为成立数通自动驾驶网络联合实验室

    今日,华为宣布,在 2020 华为自动驾驶网络技术峰会期间,成立数通自动驾驶网络联合实验室,以“像改变汽车一样改变网络”为愿景,致力于打造“产-学-研”技术合作平台,促进网络自动驾驶技术科研成果转化。

  • 腾讯云获可信云4项最佳实践奖项,新增十多项可信云认证

    7 月29- 30 日, 2020 可信云大会在线上举行。会上,可信云年度技术和服务最佳实践评选活动结果以及可信云最新评估结果正式公布,腾讯云揽获四项最佳实践奖项,并新增十多项可信云评估认证。其中,腾讯云金融专区、T-Sec云防火墙获评可信云年度服务最佳实践,腾讯云虚拟化技术、大数据容器化技术则获评年度技术最佳实践。另外,腾讯云智能云应用服务、企业级SaaS服务、Serverless云函数、TStack云管理服务等十多项产品和方案通过可

  • 火币宣布成立DeFi实验室,联合全球社区构建DeFi生态

    8 月 3 日,全球知名的数字经济领军企业,火币集团宣布成立火币DeFi实验室。 火币DeFi实验室专注于DeFi(去中心化金融)的研究、投资、孵化、以及生态的建设。计划在未来通过与全球加密领域和DeFi社区合作,构建更好的金融系统。 火币集团创始人兼CEO李林表示:“作为全球知名的数字经济领军企业,我们的使命是让财富更自由,让全球至少一亿家庭拥有数字资产,无论是DeFi还是CeFi。加入全球DeFi生态是一件激动人心的事,同时,也很?

  • 字节跳动AI实验室李磊:如何用算法帮助内容在不同语言里互通

    在 2020 世界人工智能大会WAIC“《新一代中国人工智能》全景论文背后的故事及AI产业在中国的发展和世界的领导力”圆桌论坛中,参与撰写论文的七位作者讨论了论文的意义和背后的故事。

  • 又获权威机构认可 腾讯云摘得IPv6最佳实践奖

    7 月 30 日, IPv6 领域全球权威会议之一—— 2020 全球IPv6 下一代互联网峰会在广州举办。会上,大会主办方首度颁发IPv6 最佳实践奖,腾讯云“T-Sec网络入侵防护系统”和“腾讯云SCDN安全加速产品”因其IPv6 场景化安全方案的创新实践获此殊荣。腾讯安全平台部总监、资深安全专家甘祥在演讲中指出,IPv6 时代已经到来,作为产业数字化的基座,网络安全是IPv6 发展中不可忽视的重要一环。腾讯将持续深耕IPv6 环境下的场景化安全解?

  • i云保入围分子实验室“2020中国保险科技100强”榜单

    7月10日,分子实验室《2020中国保险科技全景发展报告》(下称简称“报告”)和《2020中国保险科技100强》榜单发布,专注于赋能保险代理人的保险科技服务平台——i云保,与蚂蚁金服保险、众安保险、美团金服等知名互联网保险科技公司同时入围百强榜单。据悉,分子实验室从“行业价值、发展韧性、用户体验、运营管理、未来成长、社会价值”六个方面考量,甄选出100家优秀公司,并将其融于《报告》。作为传统行业模式创新的探索者,i?

  • 华为正式成立数通自动驾驶网络联合实验室:像改变汽车一样改变网络

    从华为官方获悉,近日,华为在苏州成功举办华为自动驾驶网络技术峰会,与来自复旦大学、浙江大学、西安交通大学、东北大学、苏州大学等多所高校的教授共同探讨自动驾驶网络产业的

  • 肯德基宣布与3D生物打印公司合作 尝试制作实验室生产更环保鸡块

    对于肯德基来说,他们正试图打造世界上第一款实验室生产的鸡块,这是其 "未来餐厅"概念的一部分。这家主打鸡肉的连锁餐厅将与俄罗斯公司3D Bioprinting Solutions合作开发生物打印技术

  • chem17独家对话上海德卡实验室中国地区销售经理王云峰

    随着中国经济的迅速发展,实验室行业已经从市场情况、行业服务、市场规模等进入到了中国市场的方方面面。据相关数据显示:预计2020年全球实验室分析仪器市场规模约为637.5亿美元,2016-2020年复合增长率超过4%,亚洲在未来会成为在此市场中增速最快的地区,而我国预计增速将高于其他国家/地区至少1.2个百分点。在当今市场发展下,实验室用户要求更加多样,上海德卡实验室正是这样一家拥有专业的态度和技术的值得信赖的供应商。慕尼

  • 腾讯安全专家直播分享:云原生水面下的安全航线

    上云初期,大部分应用程序是从本地环境直接移植到云上的,这些应用程序在设计开发时并没有考虑云环境的特殊问题,很容易出现“水土不服”的情况。为了让应用程序更好地适应云环境,以云作为最终部署环境,按照云环境的要求所开发的应用程序——云原生应用被相继开发出来,为加速企业数字化转型进程提供重要助力。除了应用程序适配性的问题外,云原生应用的普及在为企业带来高效、便捷的使用体验的同时,也带来了传统安全手段无法应

  • 中国科学院深圳先进院联合速眠成立数字睡眠与脑科学实验室

    2020 年 7 月 24 日,首届中国国际智慧睡眠发展高峰论坛暨数字睡眠与脑科学联合实验室成立仪式在中国科学院深圳先进技术研究院举办,以线下峰会,线上直播两者联动的方式进行。本次高峰论坛由中国科学院深圳先进技术研究院与柏斯速眠科技(深圳)有限公司共同发起,以“乘·新数之慧,启·智睡纪元”为主题,从宏观局势和顶层规划的视角,瞻望中国睡眠产业的发展趋势与创新路径。 中国科学院深圳先进技术研究院副院长许建国,中国科

  • 腾讯云“优才计划”与中国产业互联网发展联盟达成签约合作

    为响应国家新基建战略,满足新基建发展人才需求,推动产业互联网数字化人才培养,助力稳就业、保就业。 7 月 24 日,中国产业互联网发展联盟与腾讯云“优才计划”合作签约仪式在“云端”举办。会上,腾讯云宣布与联盟达成合作,未来双方将基于腾讯云“优才计划”,资源共享、优势互补,协力构建数字化人才培养新生态,打造具有行业示范价值的新基建人才培养新模式。中国产业互联网发展联盟秘书长雷晓斌,腾讯云副总裁黄世飞,中国?

  • 腾讯云服务器+视频云组合优惠活动地址 2年低至3折超低折扣购买

    腾讯云最近开启了服务器联合视频云的大促活动,如果直接开通2年,即可享受低至3折的优惠,很多人还不清楚在哪买腾讯服务器加视频云的组合,下面就来为大家分享一下。

  • 腾讯竟申请新商标“良心云” 网友忍俊不禁:玩梗都能当真

    之前曾有竞争对手吐槽腾讯,旗下云服务套路太多,为了讽刺的更彻底,友商还申请了“套路云”的商标,当然企鹅也不是吃素的。从公布的申请商标细节看,腾讯公司竟然向国家知识产权

  • 2020年世界智能大会圆满落幕,腾讯安全重保护航

    6 月 24 日下午,第四届世界智能大会云闭幕式在津举行,本届世界智能大会成果丰硕,通过“云签约”方式,签约项目 148 个,其中内资项目 131 个,总投资约 809 亿元人民币;外资项目 17 个,总投资约 16 亿美元。同时本次大会也持续开放了“云智能科技展” ,荟聚 100 余家知名企业及科研机构,实现云逛展、云展览、云洽谈,打造“云会展”又一样板。在世界智能大会期间,腾讯安全用优异的安全“重保”成绩单,成功助力 2020 年世?

  • 北京银行新版手机银行APP上线,腾讯云助力研发效能提升一倍

    7 月 22 日消息,北京银行基于腾讯云移动金融开发平台TMF开发的全新手机银行APP“京彩生活”近日正式上线。据悉,新版APP新增了 60 多项功能与服务,对 200 余项存量业务流程进行了重构,并优化了 2000 多个操作界面体验,是该行历史上最大的一次手机银行迭代升级。当前,银行业正面临“得零售者得天下”的竞争格局,不少银行将发力零售业务作为为核心发展战略。手机银行是银行零售业务中体量最大、活性最高、价值额度最高的应用载

  • 首次开讲!七位专家分享腾讯云原生安全技术理解与应用实践 | 产业安全公开课

    随着产业互联网的发展,越来越多的企业将业务上云,云环境复杂度不断蔓延,催生出新的应用架构,并不断向轻量化、无服务化演进。云原生已成为云计算领域的重要技术发展趋势。如何依托云原生搭建安全体系,构建从被动防御到主动规划的安全闭环,从根本上提升企业安全水位?腾讯安全联合CSDN共同发起《产业安全公开课 · 云原生安全专场》,邀请 7 位腾讯安全专家分享其对云原生安全的技术理解、应用落地和实践经验,涵盖主机安全、?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签