日前,一個(gè)能夠影響90%以上APP的“寄生獸”漏洞被360手機(jī)安全研究團(tuán)隊(duì)vulpeckerteam捕獲,包括百度、騰訊、阿里等眾多廠商的APP產(chǎn)品都受該漏洞影響,為推動(dòng)廠商關(guān)注APP安全,HackPWN安全極客狂歡節(jié)將專門設(shè)置獎(jiǎng)金,面向所有安全極客征集流行APP的安全漏洞。
圖:“寄生獸”漏洞影響90%以上APP
APP是目前網(wǎng)絡(luò)用戶享受智能生活的重要工具,APP一旦爆發(fā)漏洞被黑客利用并入侵手機(jī),黑客不僅可以直接在用戶的手機(jī)中植入木馬,更可以輕松盜取用戶的短信、照片、銀行賬戶密碼等關(guān)鍵信息。按照風(fēng)險(xiǎn)評(píng)估,該漏洞的經(jīng)濟(jì)價(jià)值難以估量,而社會(huì)危害則更加巨大。
據(jù)北京安賽創(chuàng)想安全能力中心主任張傲介紹,目前該漏洞的細(xì)節(jié)還沒有被公布,不過按其公布的視頻推測(cè),安卓程序如果沒有驗(yàn)證當(dāng)前進(jìn)程的文件簽名,或沒有對(duì)進(jìn)程間的內(nèi)存讀寫權(quán)限進(jìn)行控制,第三方惡意程序就可以通過鏈接庫文件劫持或進(jìn)程注入、修改wifi數(shù)據(jù)等的方式修改程序行為及通信數(shù)據(jù)。
測(cè)試人員選取了搜狗輸入法、百度輸入法、UC瀏覽器、高德地圖、微信SDK等熱門APP進(jìn)行測(cè)試,根據(jù)錄制的視頻顯示,黑客可以利用“寄生獸”漏洞通過這些APP對(duì)用戶的手機(jī)進(jìn)行控制,并植入木馬程序。這些APP均有大公司開發(fā),安全系數(shù)相對(duì)較高,但在“寄生獸”漏洞面前依然毫無招架之力。那些由小團(tuán)隊(duì)開發(fā)的APP安全情況則更加不容樂觀。
圖:APP安全成HACKPWN關(guān)注的重點(diǎn)主題之一
隨著移動(dòng)互聯(lián)的持續(xù)擴(kuò)張,APP承載的是更多企業(yè)的終端夢(mèng)。用戶手機(jī)安裝APP以后,企業(yè)即埋下一顆種子,可持續(xù)與用戶保持聯(lián)系??墒欠N子是種下了,可要是它本身就不安全怎么辦?事實(shí)上,APP安全早已引起業(yè)界的重點(diǎn)關(guān)注,去年年底,北京即將先行試點(diǎn)APP管理辦法,研究制定《北京市APP應(yīng)用程序公眾信息服務(wù)發(fā)展管理暫行辦法》。
在近日舉辦的“HackPwn安全極客狂歡節(jié)”中,APP安全也成為了關(guān)注的重點(diǎn)主題之一。據(jù)了解,HackPwn安全極客狂歡節(jié)重點(diǎn)關(guān)注智能生活的安全問題,在啟動(dòng)儀式,組委會(huì)的安全專家現(xiàn)場(chǎng)演示了特斯拉、比亞迪、奔馳等多款汽車的入侵和破解過程,并演示了利用已發(fā)現(xiàn)的安全漏洞,在不使用物理鑰匙的情況下,成功實(shí)現(xiàn)對(duì)汽車遠(yuǎn)程操控。
據(jù)悉,對(duì)于即將到來的智能生活時(shí)代,安全問題更是不容輕視,而APP作為智能生活的第一入口,一旦出現(xiàn)安全隱患,由現(xiàn)代科技創(chuàng)建的智慧生活大廈將瞬間傾覆。對(duì)此,HackPwn將專門設(shè)立獎(jiǎng)金,面向所有安全極客征集各種生活類APP的漏洞,以此推動(dòng)各大廠商關(guān)注APP的安全。
對(duì)于已被發(fā)現(xiàn)的“寄生獸”漏洞,安全專家給用戶提出的安全建議是,不要接入不安全的公眾wiffi,下載APP應(yīng)該通過正規(guī)渠道下載,就可以初步避免遭到損失。而對(duì)于APP開發(fā)者來說,則應(yīng)對(duì)程序文件進(jìn)行簽名驗(yàn)證,并對(duì)網(wǎng)絡(luò)間的交互數(shù)據(jù)進(jìn)行校驗(yàn),可以避免受到攻擊。