TK:安全的核心仍在于重视 移动安全应更多的考虑耦合风险

2024-03-14 20:58

本文主要是介绍TK:安全的核心仍在于重视 移动安全应更多的考虑耦合风险,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

昨日下午,腾讯安全玄武实验室与知道创宇404实验室联合公布了“应用克隆”——这一针对安卓手机的最新攻击模型。该攻击可通过钓鱼链接实现漏洞利用,获取该手机特定app的登录凭证,窃取账户隐私信息,甚至进行消费。根据玄武实验室对国内200余款安卓市场主流app测试结果,有27款app存在此漏洞,受影响比例超过10%。



漏洞威胁减弱是错觉 警惕多点耦合引入的新风险


不同于部分手机自带的数据迁移(手机克隆)功能,此次玄武实验室公布的“应用克隆”是安全研究员利用漏洞实现的结果。在目标用户完全不知情的情况下,仅仅通过“钓鱼短信->恶意链接->访问特定页面”简单的三步,目标手机的app登录凭证就会被传输到攻击者手中。“两部手机的应用的登录状态几乎是完全同步的,账户的所有隐私信息也是可见的。”而攻击过程中涉及的部分技术点,是404负责人知道创宇CSO黑哥(周景平)曾在2013年公开提及,甚至向谷歌安全团队邮件告知过的。但遗憾的是,无论是谷歌还是业界,当年都未给予足够的重视。


据腾讯安全玄武实验室的负责人TK(于旸)介绍,虽然操作系统的安全性近些年在不断提高,但仅是针对实现类漏洞;在app开发甚至硬件设计之初,单点的安全风险是非常隐蔽的,针对多点耦合而成的新安全风险,操作系统可以做的微乎其微。知道创宇的黑哥也向记者表示,移动app安全应有其相对的独立性,不能过分依靠操作系统自身的安全能力。


“洪水来临之时,没有一滴雨滴是无辜的。漏洞威胁并没有因为操作系统安全性的提高而减弱,只要有合适的漏洞利用方式,漏洞威胁都是真实存在且不可小觑的。对漏洞的警惕意识仍然是必要的。”


之前玄武实验室公开的BadBarcode和BadTunnel攻击方法,包括此次曝出的英特尔CPU漏洞(可通过浏览器javascript脚本嗅探CPU内核受保护数据),均是由耦合不当导致的重大设计缺陷。他们都是基于多个已公开的协议和信息,结合漏洞组合而成的新的攻击方式。


安全的核心仍在于重视 用移动思维看移动安全


TK在研究结果的分享中,着重提及了“移动安全新思维”,即更主动地考虑移动技术自身特点(软/硬件、时空特点)所不断引入的更多的新变量,以及多变量耦合之后所可能的潜在安全风险。


在PC时代,最重要的是系统自身的安全。但在端云一体的移动时代,智能手机已经成为物联网的核心,涉及大量隐私信息用户账号体系和数据安全则显得更为重要。要保护好这些,光搞好系统自身安全是不够的。移动安全问题十分复杂多变,目前移动互联网行业“安全意识不足”的问题是行业普遍存在的,不是一两个厂商的问题。这个现状需要手机生产商、应用开发者、用户和安全厂商的共同努力。


对于手机生产商和应用开发者而言,可行的方法有两个方面:一是在开发和设计之初,遵循安全开发的相应规章和安全测试流程;二是对相关安全漏洞积极和及时的修复。但这两点在中国的现状,都是没有得到足够重视,做得还不够好的。


以此次“应用克隆”为例,据CNCERT网络安全处副处长李佳介绍,该漏洞(CNVD-2017-36682)在经过验证后,已于2017年12月10日向27家具体的App开发企业进行了点对点的漏洞安全通报,同时提供了漏洞的详细情况以及修复方案。但截止到2018年1月9日上午只有8家完成了完全的修复,包括京东到家、饿了么、聚美优品、豆瓣等10家厂商仍未有反馈。


TK在会上表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以也希望通过此次发布,能让更多的App厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的App,玄武实验室愿意提供相关技术援助。


《腾讯安全前沿技术研究白皮书》发布


会上,腾讯副总裁马斌还发布了《腾讯安全前沿技术研究白皮书》,对目前中国面临的安全形势,以及腾讯安全联合实验室在科技创新、人才建设等方面的成果进行了全面盘点,并首次披露了腾讯安全联合实验室成立以来在反诈骗、人才培养、物联网、云安全、杀毒引擎等十大方面的安全研究成果。


马斌表示,安全生态建设不仅要技术驱动,更需要“开放、合作、共享”的态度,联合政府、安全厂商和企业为用户打造安全的网络环境,进一步推动互联网安全生态的快速发展。


http://mp.weixin.qq.com/s/6Tyaky1h3SYx0xooa0KoOg

这篇关于TK:安全的核心仍在于重视 移动安全应更多的考虑耦合风险的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/809709

相关文章

Andrej Karpathy最新采访:认知核心模型10亿参数就够了,AI会打破教育不公的僵局

夕小瑶科技说 原创  作者 | 海野 AI圈子的红人,AI大神Andrej Karpathy,曾是OpenAI联合创始人之一,特斯拉AI总监。上一次的动态是官宣创办一家名为 Eureka Labs 的人工智能+教育公司 ,宣布将长期致力于AI原生教育。 近日,Andrej Karpathy接受了No Priors(投资博客)的采访,与硅谷知名投资人 Sara Guo 和 Elad G

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

我在移动打工的日志

客户:给我搞一下录音 我:不会。不在服务范围。 客户:是不想吧 我:笑嘻嘻(气笑) 客户:小姑娘明明会,却欺负老人 我:笑嘻嘻 客户:那我交话费 我:手机号 客户:给我搞录音 我:不会。不懂。没搞过。 客户:那我交话费 我:手机号。这是电信的啊!!我这是中国移动!! 客户:我不管,我要充话费,充话费是你们的 我:可是这是移动!!中国移动!! 客户:我这是手机号 我:那又如何,这是移动!你是电信!!

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

用Unity2D制作一个人物,实现移动、跳起、人物静止和动起来时的动画:中(人物移动、跳起、静止动作)

上回我们学到创建一个地形和一个人物,今天我们实现一下人物实现移动和跳起,依次点击,我们准备创建一个C#文件 创建好我们点击进去,就会跳转到我们的Vision Studio,然后输入这些代码 using UnityEngine;public class Move : MonoBehaviour // 定义一个名为Move的类,继承自MonoBehaviour{private Rigidbo

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等

分布式系统的主要考虑

异构性:分布式系统由于基于不同的网路、操作系统、计算机硬件和编程语言来构造,必须要考虑一种通用的网络通讯协议来屏蔽异构系统之间的禅意。一般交由中间件来处理这些差异。缺乏全球时钟:在程序需要协作时,它们通过交换消息来协调它们的动作。紧密的协调经常依赖于对程序动作发生时间的共识,但是,实际上网络上计算机同步时钟的准确性受到极大的限制,即没有一个正确时间的全局概念。这是通过网络发送消息作为唯一的通信方式

简单的角色响应鼠标而移动

actor类 //处理移动距离,核心是找到角色坐标在世界坐标的向量的投影(x,y,z),然后在世界坐标中合成,此CC是在地面行走,所以Y轴投影始终置为0; using UnityEngine; using System.Collections; public class actor : MonoBehaviour { public float speed=0.1f; CharacterCo