您正在使用IE低版浏览器,为了您的雷峰网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
此为临时链接,仅用于文章预览,将在时失效
新鲜 正文
发私信给金红
发送

5

安卓曝“寄生兽”漏洞,BAT的App受感染

本文作者: 金红 2015-06-30 18:07
导语:360手机安全研究团队vulpecker team近日向补天漏洞响应平台提交了其发现的安卓app新型通用安全漏洞“寄生兽”,市面上数以千万的APP受该漏洞影响,包括百度、腾讯、阿里等众多厂商的移动产品。

安卓曝“寄生兽”漏洞,BAT的App受感染

360手机安全研究团队vulpecker team近日向补天漏洞响应平台提交了其发现的安卓app新型通用安全漏洞“寄生兽”,市面上数以千万的APP受该漏洞影响,包括百度、腾讯、阿里等众多厂商的移动产品。

寄生兽是日本作家岩明均创作的漫画《寄生兽》中的一种怪物,初始形态是一种虫子,会钻进生物的体内并夺取大脑,因人类严重的环境污染而诞生。vulpecker team以此命名该漏洞,可见此漏洞的危害之大。一旦该漏洞被攻击者利用,可直接在用户手机中植入木马,盗取用户的短信照片以及银行、支付宝等账号密码等。多名业内人士评价,按照风险评估,该漏洞的经济价值难以估量。

北京安赛创想安全能力中心主任张傲向雷锋网表示,目前漏洞细节还没有被公布,不过按其公布的视频推测,安卓程序如果没有验证当前进程的文件签名,或没有对进程间的内存读写权限进行控制,第三方恶意程序就可以通过链接库文件劫持或进程注入、修改wifi数据等的方式修改程序行为及通信数据。张傲表示,因为是通用型的漏洞,90%以上的应用都受影响。不过,如果用户加强自我防护的意识并作出行动,将不会受到攻击。

张傲对用户提出的建议是,不要接入不安全的公众Wifi,或通过正规渠道下载应用程序,可以避免遭到损失。而对于开发商,则应对程序文件进行签名验证,并对网络间的交互数据进行校验,可以避免受到攻击。

目前补天平台已经将相关详情通知给各大安全应急响应中心,并敦请厂商收到详情及时自查,如果自家app存在相关安全问题,需及时修复。另外,为了奖励该通用漏洞的白帽子团队补天平台向其发放了1万元奖金。

雷峰网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

编辑

雷锋网编辑,专注新技术和商业故事报道,创业者或行业交流可加微信号Duras0820
当月热门文章
最新文章
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说