您现在的位置是: 首页 > IT业界

腾讯实验室公布应用克隆漏洞, 对普通用户影响到底大不大?

时间:2018-01-30 00:19:41 来源:福利日报

1月9日,“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404实验室,在联合召开的技术研究成果发布会上公布并展示了这一重大研究成果。

一时间舆论哗然,大家对自己手机的安全性都表示担忧,那么这里小编试着为大家解释下,不要被媒体吓到了。

漏洞报告可查到的相关来源

事实2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682),新闻讲的是发布会上演示的,一是本身是媒体渠道,再一个拿支付宝举例比较爆眼球,当然很多人对演示效果的真实性存疑,这里不作讨论。

360在2014年也发布过webview跨域攻击的问题,不过没引起太大的反应。这个在360的团队博客网站上可以看到,标题是《WEBVIEW跨源攻击分析》 。

漏洞触发的前提

那么漏洞真的有主流媒体宣传的这么恐怖吗,我们看看CNVD漏洞报告正文对漏洞触发前提的描述

漏洞触发成功前提条件如下:

1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置为true;

2.WebView可以直接被外部调用,并能够加载外部可控的HTML文件。

对于没有编程经验的朋友可能不知所云,触发前提翻译过来是这样的:

对上面的第一点Android 4.1之前的手机,系统默认是true,符合这个前提,而之后的手机,如果App编码的时候设置了这个值才会符合这个前提。

App故意或者编码不严谨,能够被注入可执行的代码网页代码才能够符合这个前提。

如果符合这些前提,信息泄露的后果是什么?

这里有一点要注意的,漏洞触发后攻击者并不是大量媒体担忧的,攻击者并非可以为所欲为,攻击者只能上传被攻击应用的使用数据(数据量不大的情况下)。而这时对用户的损害程度取决于用户在该app上使用信息的重要程度。

4.1以下手机现在应该非常非常很少

根据友盟统计手机系统版本分布,4.1以下系统版本基本已经退出历史舞台。

而4.1能够各种巧合能被攻击带有重要信息的应用一般在安全加密方面做的都比较好,除非你在乱七八糟的应用里保留重要信息,极有可能被开发者有意的攻击到。

总的来说如果有较好的手机使用习惯和安全意识,大可不必担忧,那么问题来了,在手机数据安全上,作为一般用户应该注意哪些?

小编在这里斗胆总结几条自己平时注意的问题。

在输入敏感信息如身份证、手机号、银行卡号、密码等时候一定要稍稍留意应用或者网站是否是官方网站还是钓鱼网站。在钓鱼网站或应用输入重要信息相当于直接告诉别人自己的信息。

支付类一定要设置密码,尽量不要打开免密支付,相当于着道后留下第二层坚固的防护。

短信、不知名的应用内链接尽量不要直接点击跳转网页,防止跳转到钓鱼网址,大意失察。

使用梯子网上出国旅行的朋友,少上乱七八糟的网站,毕竟那是木马病毒的温床。

对于一些不了解的应用申请敏感的权限,不要轻易给予,读取短信、联系人、自启动之类的。

帐号密码复杂点吧,太容易猜中的密码和不设没什么区别。

大家在使用手机时,保护自己数据安全上有什么样的习惯呢?

关于我们| 联系我们| 投稿合作| 法律声明| 返回顶部

版权所有 ©2015-2017 我在网 京ICP备14056282号-1

(function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();