河南315消费和解警示平台  中国消费者报维权新闻线索源  中央驻豫及河南主流媒体新闻线索源返回首页  加入收藏
河南消费网您现在的位置:首页 > 首页栏目 > 手机通讯 > 正文

逾13%手机APP存重大漏洞

河南消费网    http://www.hnxfw.org  (2018-01-12 10:33:11)  来源:证券日报    佚名

2017年5月份始发并肆虐全球的“勒索病毒”,至今还让人们心有余悸。不过,绝大多数手机用户或许并不清楚,2017年底,他们刚刚又躲过了一场潜在的“洗劫”。

  1月9日,腾讯安全玄武实验室宣布,新近发现了一种新型的移动攻击威胁模型,并将其命名为“应用克隆”。发布会上,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的“效果”:在升级到最新安卓8.1.0的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户瞬间就被“克隆”到“攻击者”的手机中,然后“攻击者”在自己手机上可以任意查看用户账户信息,并可进行消费。

  值得一提的是,存在“应用克隆”漏洞的并非支付宝APP一家,玄武实验室负责人于旸指出,大量主流APP都存在该漏洞,玄武实验室检测了国内安卓系统中的200个知名APP,其中27家存在该漏洞,占比超过13%,其中包括聚美优品、国美、墨迹天气、一点资讯、携程、百度外卖、京东到家、饿了么、WiFi万能钥匙、小米生活、同程旅游、百度旅游、豆瓣、驴妈妈、赶集网、易车、咕咚、虎扑等。

  对此,有业界人士指出,这些知名APP的技术团队实力都较强,况且如此,数量更为庞大非一线APP,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。

  由于并非个例且事关重大,玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台(CNVD)。CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号(CNE201736682)。12月10日,CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况及建立了修复方案。

  国家互联网应急中心网络安全处副处长李佳表示:“今天,我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢。玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞。这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式,可以说影响范围特别大,危害也是巨大的,刚才通过相关的演示也看到了。玄武实验室在第一时间向我们平台报送了相关的漏洞,可以说为我们对相关的事件应急响应提供了宝贵的时间”。

  尽管CNVD已于12月10日对27家APP进行了点对点的通报,不过,截至发布会召开时,时隔1个月,还有不少APP未修复漏洞或未予反馈。“发出通报后不久,CNVD就收到了支付宝、百度外卖、国美等大部分APP的反馈,表示他们已经在修复漏洞”,李佳表示,“由于各个团队的技术能力有差距,目前有的APP已经修复漏洞了,有的APP还没有修复。截至到1月8日,还没有收到反馈的APP包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。在此,也希望这10家没有及时反馈的企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求”。

  作为被举例演示的APP,记者从支付宝相关负责人处了解到,支付宝已在一个月前对APP进行了升级,修复了这一安卓漏洞,支付宝用户的账户安全不会受到影响。

  不过,令人费解的是,此番被点名的10家APP中,多家APP在接受记者采访时表示,并未获得来自CNVD有关该漏洞的通知。同时亦表示,如果获得了通知,肯定会积极反馈和修复。

  需要提及的是,此前勒索病毒之所以能在短时间内波及全球,其中一个重要原因就是警示信息沟通不及时。

  受精力所限,此次玄武试验室只是选取了较为知名的200个APP进行了测试,且13%存在“应用克隆”漏洞。不难想见,还有大量存在漏洞的APP在“裸奔”,使用这些APP的用户的手机随时可能遭到攻击。“还有很多APP,他们有问题,但是他们自己不知道,没有任何一个人有精力把全中国的APP都检查一遍,更多的是需要厂商自查,这才是我们此次披露的意义”,于旸表示。(来源:证券日报 作者:佚名)

上一篇:每部iPhone机利润151美元 苹果利润是国产手机14倍
下一篇:十年泡实验室 5天丢85万
河南消费网 河南消费网微信公众平台
您身边的“掌中投诉利器,贴身315专家”!
欢迎关注河南消费网微信(hnxfw315)
河南消费网
相关警示
工信部下架“今日头条新闻”等46款不良手机APP  2018-06-14 11:42:28
手机APP个人信息安全调查报告发布 89.62%受访者认为过  2018-03-09 09:21:11
消协报告指手机APP过度采集个人信息  2018-03-08 09:30:36
工信部:手机APP需提供注销服务  2018-01-05 09:42:13
手机APP滥用隐私权限普遍 上网几乎等同于“裸奔”  2017-12-19 14:22:37
合肥女子未用手机竟有消费记录 男子钻购物平台漏洞透  2017-08-07 10:09:43
 
公开和解
我要投诉
投诉咨询 投诉咨询QQ:2115173539
投诉电话 投诉电话:0371-67612315
投诉邮箱 投诉邮箱:[email protected]
 投诉模板(点击下载
投诉指南more

一、如何投诉
(1)通过pc终端(电脑)和移动终端(手机)都可以向河南消费网适时投诉。
(2)通过pc终端(电脑)投诉:确认您选择的是中国消费者报主办的河南消费网(www.hnxfw.org),点击进入公开和解频道或网站首页右上角的“我要投诉”按钮,进入投诉页面。
(3)通过移动终端(手机)投诉:请在手机百度搜索上登陆河南消费网,点击进入公开和解频道或网站首页右上角的“我要投诉”按钮,进入投诉页面。
(4)仔细阅读“投诉必读”。
(5)填写投诉信息。个人资料、被投诉对象资料、详细投诉内容及投诉请求等,请完整填写(如确实无法填写的内容,可用任意字母代替)。内容必须客观真实,不得捏造或歪曲事实,不得故意损害被投诉企业声誉,甚至对投诉对象恶意诽谤。如有相关证据,请通过传真或网页上传的方式提交。(注:如果投诉内容较多,请先在文档上写清楚再复制粘贴到投诉页面上,避免因页面打开时间过长使页面过期,导致投诉信息提交不成功)。
(6)提交投诉。点击页面下方“提交”按钮,如果页面中间出现一个“你的资料已提交!在审核中”的对话框,表示你的投诉已经提交成功。(注:已提交的投诉信息不同步在页面上显示)
二、投诉人联系方式的重要性
联系电话和电子邮箱是网站与您联系的重要途径,请您在投诉时必须填写真实的,而且是常用的联系电话和电子邮箱,以便网站及时向您核实相关信息,反馈投诉处理情况,或者便于中国消费者报记者开展新闻调查。
三、如何查看投诉处理结果
1、进入“处理动态”按钮。
2、向本网在线咨询或者邮件咨询,邮箱地址:[email protected]


处理动态more
回复:王女士投诉郑州雅方教育信息
回复:陈先生投诉郑州雅方教育信息
回复:孙先生投诉河南福万家创新科
回复:卢女士投诉大河票务网临时涨
回复:曾女士投诉大河票务网不退款
公开和解more
贾先生投诉传祺明行莲花汽车服务中
焦女士投诉地铁站自动售卡机诱导消
管先生投诉雅方教育欺骗消费者
孙先生投诉福万家不退款
马女士投诉洁唯依旗舰店涉嫌偷税漏
投诉分析more
河南消费网2018年1月投诉分析
河南消费网2017年12月投诉分析
河南消费网2017年11月投诉分析
河南消费网2017年10月投诉分析
河南消费网2017年9月投诉分析
典型案例more
擅自篡改生产日期 不良商家遭严惩
汽车公司未履约 消费者享双倍返还
水管爆裂商家搬迁 跨省维权终获赔
老人听信宣传广告上当 市场监管所
电暖宝爆炸烫伤女儿 消保委调解获
投诉评论more
押金已经退还,非常感谢河南消费网的
网店代运营公司涉嫌诈骗,感谢中国消
河南消费网维权真的很给力
禾木家居赔偿5000元
选购过程中设备也有语音提示
企业动态more
中华联合保险灾备数据中心启动仪式
全国人大代表魏明: 打好大气污染防
谷雨春新郑首家店落户西亚斯
河南供应链协会将运用微信小程序为
万安山:一个美得让人迷路的地方