擁有上億用戶的高頻安卓應(yīng)用——文件分享類應(yīng)用被爆存有安全隱患。騰訊安全玄武實(shí)驗(yàn)室在5月30-31日于上海召開(kāi)的第五屆MOSEC移動(dòng)安全技術(shù)峰會(huì)上,一次性披露了文件分享類應(yīng)用的多個(gè)漏洞。這些漏洞一旦被非法攻擊者掌握,將對(duì)數(shù)億用戶的傳輸文件和隱私數(shù)據(jù)安全造成極大威脅。目前,騰訊安全已在第一時(shí)間將發(fā)現(xiàn)的所有漏洞傳遞給了相關(guān)手機(jī)廠商,并協(xié)助其修復(fù)了大部分安全漏洞。
(圖:騰訊安全玄武實(shí)驗(yàn)室安全研究員張向前和劉惠明分享成果)
伴隨著互聯(lián)網(wǎng)的發(fā)展,移動(dòng)應(yīng)用成為當(dāng)下大眾生活方式的重要組成部分,具有更佳用戶體驗(yàn)和更快傳輸速度的各類文件分享應(yīng)用逐漸取代藍(lán)牙、WiFi等傳統(tǒng)工具,成為越來(lái)越多用戶近距離傳輸文件的普遍工具選擇。
國(guó)際數(shù)據(jù)中心(IDC)公開(kāi)數(shù)據(jù)顯示,2018年,安卓設(shè)備的出貨量高達(dá)近10億臺(tái)。在這些設(shè)備中,幾乎所有主流廠商設(shè)備都預(yù)裝了文件分享類應(yīng)用。同時(shí),市面上排名前十的第三方文件分享類應(yīng)用的用戶量也已超10億。
然而,騰訊安全通過(guò)對(duì)主流Android手機(jī)廠商預(yù)裝的文件分享類應(yīng)用進(jìn)行的逆向分析發(fā)現(xiàn),隨方便快捷而來(lái)的是億級(jí)用戶量的隱私泄露風(fēng)險(xiǎn)?;趯?duì)各類文件分享應(yīng)用(包含第三方文件分享應(yīng)用)運(yùn)作機(jī)制的深度剖析,騰訊安全專家張向前和劉惠明詳細(xì)披露了存在于認(rèn)證、連接、傳輸以及交互邏輯中的多處通用安全漏洞。
與此同時(shí),兩名安全專家現(xiàn)場(chǎng)展示揭秘了通過(guò)破解應(yīng)用加密算法的嗅探攻擊、中間人攔截篡改傳輸文件、鎖屏狀態(tài)下無(wú)需交互劫持網(wǎng)絡(luò)、利用邏輯漏洞繞過(guò)安全檢查等通用漏洞的攻擊細(xì)節(jié)和方法,揭露了各類文件分享應(yīng)用中存有的用戶隱私數(shù)據(jù)泄露、文件被竊取、篡改、網(wǎng)絡(luò)被劫持等安全問(wèn)題。
(圖:騰訊安全玄武實(shí)驗(yàn)室安全研究員 劉惠明)
針對(duì)文件分享類應(yīng)用面臨的漏洞攻擊威脅,大會(huì)現(xiàn)場(chǎng),張向前和劉惠明還分享了構(gòu)建更安全的WiFi/WiFi-P2P密匙交換渠道和配置、使用TLS/HTTPS和預(yù)先交換公鑰證書(shū)等升級(jí)加密傳輸以及使用以身份驗(yàn)證為基礎(chǔ)的證書(shū)防止偽造等漏洞修復(fù)方案,并提出相關(guān)應(yīng)用廠商應(yīng)在綜合漏洞修復(fù)方案的基礎(chǔ)上,建立一套兼具安全和便捷的文件分享安全方案,強(qiáng)化文件分享應(yīng)用的連接確認(rèn)、傳輸加密和防止偽造等功能,從而切實(shí)地保護(hù)數(shù)億用戶的隱私和數(shù)據(jù)安全。
(圖:騰訊安全玄武實(shí)驗(yàn)室安全研究員 張向前)
據(jù)了解,本次MOSEC移動(dòng)安全技術(shù)峰會(huì)是由盤(pán)古團(tuán)隊(duì)和POC共同主辦的。作為國(guó)內(nèi)安全技術(shù)峰會(huì)的重要風(fēng)向標(biāo),2019 MOSEC移動(dòng)安全技術(shù)峰會(huì)承襲前四屆的傳統(tǒng),匯集了國(guó)內(nèi)外頂級(jí)安全團(tuán)隊(duì)和專家,圍繞移動(dòng)瀏覽器安全、移動(dòng)應(yīng)用安全、ios安全、Android安全、IoT安全、工控安全、4G安全、車聯(lián)網(wǎng)等多個(gè)領(lǐng)域的最新研究成果展開(kāi)分享與探討。此前,騰訊安全也在MOSEC大會(huì)上分享過(guò)ios越獄的最新成果。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 網(wǎng)信辦嚴(yán)打網(wǎng)絡(luò)侵害未成年人行為,守護(hù)成長(zhǎng)新篇章
- 豆包大模型升級(jí)引爆股市,字節(jié)緊急警示:小心為上
- 小米YU7無(wú)偽裝實(shí)車首次曝光引熱議,小紅書(shū)封號(hào)事件沖上熱搜,科技圈又掀波瀾?
- 警惕討好型人格:賺錢路上,人格魅力并非一切
- 小米SUV墜崖一家四口奇跡生還,車主回應(yīng):別夸大其詞
- 金融AI大模型新突破:奇富科技AI產(chǎn)品小奇引領(lǐng)行業(yè),重塑金融未來(lái)
- 谷歌攜手Apptronik,AI+機(jī)器人引領(lǐng)未來(lái):商業(yè)化人形機(jī)器人新紀(jì)元
- AI盛宴即將上演!李想回歸,理想汽車12月25日揭秘未來(lái)駕駛新篇章
- 特斯拉Model Y勁敵來(lái)襲!明年登陸英國(guó)市場(chǎng)的未來(lái)樂(lè)道L60引爆期待
- 火山引擎總裁回應(yīng)豆包大模型定價(jià):如何確保合理毛利,揭秘行業(yè)內(nèi)幕
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。