日前,一个可以影响90%以上app的寄生bug被360手机安全研究团队抓到。百度、腾讯、阿里等众多厂商的APP产品都受到这个bug的影响。为了促进关注,制造商的应用程序安全,安全极客嘉年华将设置一个特殊的奖金,为所有安全极客收集流行应用程序的安全漏洞。
图:寄生兽漏洞影响超过90%的app
APP是网络用户享受智能生活的重要工具。一旦APP被黑客利用,侵入手机,黑客不仅可以直接在用户手机中植入木马,还可以轻松窃取用户的短信、照片、银行账户密码等关键信息。根据风险评估,这种脆弱性的经济价值难以估计,而社会危害更大。
据北京安塞创想安全能力中心主任张傲介绍,目前尚未公布该漏洞的详细情况。但根据其公布的视频,如果Android程序不验证当前进程的文件签名,或者不控制进程间的内存读写权限,第三方恶意程序可以通过劫持链接库文件或注入进程、修改wifi数据等方式修改程序行为和通信数据。
测试人员选择了搜狗输入法、百度输入法、微信SDK等热门app进行测试。根据录制的视频,黑客可以利用这些app控制用户手机,植入木马。这些app都是大公司开发的,安全系数比较高,但是面对寄生兽的漏洞还是无能为力。那些小团队开发的app的安全情况就更不乐观了。
图:应用安全已经成为关注的重要主题之一
随着移动互联网的不断拓展,APP承载了更多企业的终端梦想。用户在手机上安装APP后,企业会种下一颗种子,不断与用户保持联系。但是种子种下了,但是不安全怎么办?事实上,APP安全早已成为关注业界关注的焦点,去年年底,北京市即将试点APP管理办法,并研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》。
在近期举办的安全极客嘉年华中,APP安全也成为关注重点主题之一据了解,安全极客嘉年华聚焦关注智能生活安全。启动仪式上,组委会的安全专家现场演示了特斯拉、比亚迪、奔驰等车辆的入侵和破解过程,并利用发现的安全漏洞演示了不使用物理钥匙成功远程控制车辆。
据悉,对于即将到来的智慧生活时代,安全问题不容小觑,而APP作为智慧生活的第一入口,一旦存在安全隐患,就会瞬间颠覆现代科技打造的智慧生活大厦。对此,将设立专项奖金,面向所有安全极客征集各类生活app的漏洞,以此推动各大厂商关注app的安全性。
对于发现的寄生bug,安全专家给用户的安全建议是,不要访问不安全的公众,下载APP要通过正规渠道下载,可以初步避免损失。对于APP开发者来说,程序文件的签名验证和网间交互数据的验证可以避免被攻击。
本文链接:http://www.slxf119.com/17992.html 转载需授权!
网友评论