河源信息港

当前位置: 首页 >美食

应用克隆漏洞暂无法自动化检测腾讯发布玄武

来源: 作者: 2019-05-14 22:37:52

1月9日,腾讯安全玄武实验室与知道创宇404实验室,正式针对发现的运用克隆攻击模型,联合召开安全技术研究成果发布会。据腾讯安全玄武实验室负责人于旸介绍,利用应用克隆攻击模型,在国内包括支付宝、携程等200款主流APP上测试后发现了27个漏洞,比例超过10%,而受到影响的APP,则存在用户账户信息、数据、资金被克隆窃取的风险。

而值得关注的是,早在12月7日,腾讯安全玄武实验室即将漏洞提交给CNVD(国家信息安全漏洞同享平台),并在被确认为高危漏洞后,通过CNCERT(国家互联应急中心)向APP厂商通报了该情况,并给出修复方案,但直至发布会当天上午,小部分APP进行了漏洞修复,还有大量APP没有向CNCERT进行情况反馈。腾讯安全玄武实验室也在发布会上宣布将启动玄武支援计划,协助厂商处理问题。

(腾讯安全玄武实验室发布运用克隆漏洞相干说明)

呼吁行业自查,提倡移动安全新思维

于旸表示,由于该问题的复杂性,没法通过自动化检测来判断是否存在上述漏洞,简单通过函数扫描得出的结果,既会出现大量误报,又会出现大量漏报。能判断有没有漏洞的方式就是人工检测。这也导致玄武实验室无法对整个安卓运用市场进行检测,所以通过此次发布会,希望更多的APP厂商关注并自查产品是不是仍存在相应漏洞,并进行修复。同时,考虑到该漏洞影响的广泛性,和配合应用克隆攻击模型后的巨大威逼,腾讯安全玄武实验室也在发布会现场宣布推出玄武支援计划,协助厂商处理问题。

(于旸在发布会现场介绍移动安全趋势)

据腾讯安全玄武实验室透露,玄武支援计划公布后,已经有多家公司及应用厂商寻求帮助检测漏洞。而对经过实验室帮助检测的应用,也会统一提交给 CNVD,然后由 CNVD 通知厂商。

相较于苹果、微软、谷歌等国际厂商,国内厂商对漏洞安全的重视程度仍旧有待进一步提升。经腾讯安全玄武实验室测试市场上的安卓,大多存在漏洞修复滞后的情况,长甚至有超过一年的情况。

而实际上,移动安全时期,漏洞可能导致的威胁远比业界之前认识的要大,移动设备普遍使用了可信计算、漏洞缓解、权限隔离等安全技术,但移动技术本身的各种特点又给安全引入了更多的新变量,新变量可能耦合出新风险。

而对安全重视程度不够,是全部移动互联行业普遍存在的问题,不只是1两个厂商的问题。于旸表示,面对新威逼,不但需要整个移动互联行业的重视和协作,更需要转变旧思维,用新的移动思维应对移动安全问题,需要厂商、应用开发商、络安全研究者等多方携手,共同重视。

推动安全防御一公里

在于旸看来,安全核心的问题,还是要看厂商重视不重视。但必须注意到,目前,受限于中国络安全人才的稀缺,互联厂商的安全防御能力面临着较大压力。这也促使安全厂商作为专家,也必须承担相应的社会。

而随着腾讯安全玄武实验室推出玄武支援计划,这也意味着腾讯安全在推动厂商、APP开发商主动自查的同时,也逐步通过更加开放、合作的方式,输出自身的安全能力,与第三方厂商一同保障用户安全,推动络安全防御落实到一公里,共同筑造安全防线。

工信部络安全管理局络与数据安全处处长付景广在发布会上也对腾讯安全的举措表示了肯定。他认为,随着互联及数字经济的发展,络安全一方面造福于国家、社会,同时带来的络安全问题也越来越突出。腾讯做了大量的工作并把相干的情况公之于众,提示大家给予高度的重视,并且加以针对性的防范,充分体现了移动安全领域的技术能力。同时,这也体现了腾讯高度的社会感,发现了问题及时提醒,及时帮助大家去解决问题、防范风险,这非常值得肯定。

平时白带多怎么办
子宫内膜炎症状及治疗
得了盆腔炎吃什么药

相关推荐