·
网络安全领域暗藏大量“黑天鹅”
逾13%手机APP应用存重大漏洞
·
32家医药生物公司高管离职
英特集团实控人变更团队换血
·
利润来去外因多 10家公司业绩预报变脸
·
“个人原因”当头 新年伊始15家公司独董请辞
·
明家联合高管团队大换血 大股东派驻多位资深人士
·
恒大开创扶贫新模式
向毕节市累计捐赠60亿元
·
新年到高管走
十天内131家上市公司274位董监高辞职
   第A1版:头版
   第A2版:今日基本面
   第A3版:市场观察
   第A4版:信息披露
   第B1版:保险业
   第B2版:保险·观察
   第B3版:信息披露
   第B4版:信息披露
   第C1版:公司新闻
   第C2版:公司纵深
   第C3版:信息披露
   第C4版:信息披露
   第D1版:信息披露
   第D2版:信息披露
   第D3版:信息披露
   第D4版:信息披露
   第D5版:信息披露
   第D6版:信息披露
   第D7版:信息披露
   第D8版:信息披露
   第D9版:信息披露
   第D10版:信息披露
   第D11版:信息披露
   第D12版:信息披露
   第D13版:信息披露
   第D14版:信息披露
   第D15版:信息披露
   第D16版:信息披露
   第D17版:信息披露
   第D18版:信息披露
   第D19版:信息披露
   第D20版:信息披露
   第D21版:信息披露
   第D22版:信息披露
   第D23版:信息披露
   第D24版:信息披露
   第D25版:信息披露
   第D26版:信息披露
   第D27版:信息披露
   第D28版:信息披露
   第D29版:信息披露
   第D30版:信息披露
   第D31版:信息披露
   第D32版:信息披露
   第D33版:信息披露
   第D34版:信息披露
   第D35版:信息披露
   第D36版:信息披露
   第D37版:信息披露
   第D38版:信息披露
   第D39版:信息披露
   第D40版:信息披露
   第D41版:信息披露
   第D42版:信息披露
   第D43版:信息披露
   第D44版:信息披露
   第D45版:信息披露
   第D46版:信息披露
   第D47版:信息披露
   第D48版:信息披露
   第D49版:信息披露
   第D50版:信息披露
   第D51版:信息披露
   第D52版:信息披露
   第D53版:信息披露
   第D54版:信息披露
   第D55版:信息披露
   第D56版:信息披露
 
   
 
  标题导航  
2018年01月11日     版面导航 标题导航
 
  上一期 下一期
 

网络安全领域暗藏大量“黑天鹅”
逾13%手机APP应用存重大漏洞

  ■本报记者 贺 骏

  

  2017年5月份始发并肆虐全球的“勒索病毒”,至今还让人们心有余悸。不过,绝大多数手机用户或许并不清楚,2017年底,他们刚刚又躲过了一场潜在的“洗劫”。

  1月9日,腾讯安全玄武实验室宣布,新近发现了一种新型的移动攻击威胁模型,并将其命名为“应用克隆”。发布会上,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的“效果”:在升级到最新安卓8.1.0的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户瞬间就被“克隆”到“攻击者”的手机中,然后“攻击者”在自己手机上可以任意查看用户账户信息,并可进行消费。

  值得一提的是,存在“应用克隆”漏洞的并非支付宝APP一家,玄武实验室负责人于旸指出,大量主流APP都存在该漏洞,玄武实验室检测了国内安卓系统中的200个知名APP,其中27家存在该漏洞,占比超过13%,其中包括聚美优品、国美、墨迹天气、一点资讯、携程、百度外卖、京东到家、饿了么、WiFi万能钥匙、小米生活、同程旅游、百度旅游、豆瓣、驴妈妈、赶集网、易车、咕咚、虎扑等。

  对此,有业界人士指出,这些知名APP的技术团队实力都较强,况且如此,数量更为庞大非一线APP,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。

  由于并非个例且事关重大,玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台(CNVD)。CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号(CNE201736682)。12月10日,CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况及建立了修复方案。

  国家互联网应急中心网络安全处副处长李佳表示:“今天,我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢。玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞。这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式,可以说影响范围特别大,危害也是巨大的,刚才通过相关的演示也看到了。玄武实验室在第一时间向我们平台报送了相关的漏洞,可以说为我们对相关的事件应急响应提供了宝贵的时间”。

  尽管CNVD已于12月10日对27家APP进行了点对点的通报,不过,截至发布会召开时,时隔1个月,还有不少APP未修复漏洞或未予反馈。“发出通报后不久,CNVD就收到了支付宝、百度外卖、国美等大部分APP的反馈,表示他们已经在修复漏洞”,李佳表示,“由于各个团队的技术能力有差距,目前有的APP已经修复漏洞了,有的APP还没有修复。截至到1月8日,还没有收到反馈的APP包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。在此,也希望这10家没有及时反馈的企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求”。

  作为被举例演示的APP,记者从支付宝相关负责人处了解到,支付宝已在一个月前对APP进行了升级,修复了这一安卓漏洞,支付宝用户的账户安全不会受到影响。

  不过,令人费解的是,此番被点名的10家APP中,多家APP在接受记者采访时表示,并未获得来自CNVD有关该漏洞的通知。同时亦表示,如果获得了通知,肯定会积极反馈和修复。

  需要提及的是,此前勒索病毒之所以能在短时间内波及全球,其中一个重要原因就是警示信息沟通不及时。

  受精力所限,此次玄武试验室只是选取了较为知名的200个APP进行了测试,且13%存在“应用克隆”漏洞。不难想见,还有大量存在漏洞的APP在“裸奔”,使用这些APP的用户的手机随时可能遭到攻击。“还有很多APP,他们有问题,但是他们自己不知道,没有任何一个人有精力把全中国的APP都检查一遍,更多的是需要厂商自查,这才是我们此次披露的意义”,于旸表示。

 
    下一篇  

  
 
 

资本证券网所载文章、数据仅供参考,使用前务请仔细阅读法律申明,风险自负。
证券日报社联系电话:82031700 网站联系电话:84372599 网站传真:84372566 电子邮件:webmaster@ccstock.cn
版权所有 中国资本证券网 京ICP备09033800号