1月9日，騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404實(shí)驗(yàn)室，正式針對(duì)最新發(fā)現(xiàn)的“應(yīng)用克隆”攻擊模型，聯(lián)合召開(kāi)安全技術(shù)研究成果發(fā)布會(huì)。據(jù)騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸介紹，利用“應(yīng)用克隆”攻擊模型，在國(guó)內(nèi)包括支付寶、攜程等200款主流APP上測(cè)試后發(fā)現(xiàn)了27個(gè)漏洞，比例超過(guò)10%，而受到影響的APP，則存在用戶賬戶信息、數(shù)據(jù)、資金被克隆竊取的風(fēng)險(xiǎn)。

　　而值得關(guān)注的是，早在12月7日，騰訊安全玄武實(shí)驗(yàn)室即將漏洞提交給CNVD(國(guó)家信息安全漏洞共享平臺(tái))，并在被確認(rèn)為“高危”漏洞后，通過(guò)CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)向APP廠商通報(bào)了該情況，并給出修復(fù)方案，但直至發(fā)布會(huì)當(dāng)天上午，僅有小部分APP進(jìn)行了漏洞修復(fù)，還有大量APP沒(méi)有向CNCERT進(jìn)行情況反饋。騰訊安全玄武實(shí)驗(yàn)室也在發(fā)布會(huì)上宣布將啟動(dòng)“玄武支援計(jì)劃”，協(xié)助廠商處理問(wèn)題。

(騰訊安全玄武實(shí)驗(yàn)室發(fā)布“應(yīng)用克隆”漏洞相關(guān)說(shuō)明)

　　呼吁行業(yè)自查，倡導(dǎo)移動(dòng)安全新思維

　　于旸表示，由于該問(wèn)題的復(fù)雜性，無(wú)法通過(guò)自動(dòng)化檢測(cè)來(lái)判斷是否存在上述漏洞，簡(jiǎn)單通過(guò)函數(shù)掃描得出的結(jié)果，既會(huì)出現(xiàn)大量誤報(bào)，又會(huì)出現(xiàn)大量漏報(bào)。唯一能判斷有無(wú)漏洞的方式就是人工檢測(cè)。這也導(dǎo)致玄武實(shí)驗(yàn)室無(wú)法對(duì)整個(gè)安卓應(yīng)用市場(chǎng)進(jìn)行檢測(cè)，所以通過(guò)此次新聞發(fā)布會(huì)，希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞，并進(jìn)行修復(fù)。同時(shí)，考慮到該漏洞影響的廣泛性，以及配合“應(yīng)用克隆”攻擊模型后的巨大威脅，騰訊安全玄武實(shí)驗(yàn)室也在發(fā)布會(huì)現(xiàn)場(chǎng)宣布推出“玄武支援計(jì)劃”，協(xié)助廠商處理問(wèn)題。

(于旸在發(fā)布會(huì)現(xiàn)場(chǎng)介紹移動(dòng)安全趨勢(shì))

　　據(jù)騰訊安全玄武實(shí)驗(yàn)室透露，“玄武支援計(jì)劃”公布后，已經(jīng)有多家公司及應(yīng)用廠商尋求幫助檢測(cè)漏洞。而對(duì)經(jīng)過(guò)實(shí)驗(yàn)室?guī)椭鷻z測(cè)的應(yīng)用，也會(huì)統(tǒng)一提交給 CNVD，然后由 CNVD 通知廠商。

　　相較于蘋果、微軟、谷歌等國(guó)際廠商，國(guó)內(nèi)廠商對(duì)于漏洞安全的重視程度仍舊有待進(jìn)一步提升。經(jīng)騰訊安全玄武實(shí)驗(yàn)室測(cè)試市場(chǎng)上的安卓手機(jī)，大多存在漏洞修復(fù)滯后的情況，最長(zhǎng)甚至有超過(guò)一年的情況。

　　而實(shí)際上，移動(dòng)安全時(shí)代，漏洞可能導(dǎo)致的威脅遠(yuǎn)比業(yè)界之前認(rèn)識(shí)的要大，移動(dòng)設(shè)備普遍使用了可信計(jì)算、漏洞緩解、權(quán)限隔離等安全技術(shù)，但移動(dòng)技術(shù)自身的各種特點(diǎn)又給安全引入了更多的新變量，新變量可能耦合出新風(fēng)險(xiǎn)。

　　而對(duì)安全重視程度不夠，是整個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)普遍存在的問(wèn)題，不只是一兩個(gè)廠商的問(wèn)題。于旸表示，面對(duì)新威脅，不僅需要整個(gè)移動(dòng)互聯(lián)網(wǎng)行業(yè)的重視和協(xié)作，更需要轉(zhuǎn)變舊思維，用新的移動(dòng)思維應(yīng)對(duì)移動(dòng)安全問(wèn)題，需要手機(jī)廠商、應(yīng)用開(kāi)發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手，共同重視。

　　推動(dòng)安全防御“最后一公里”

　　在于旸看來(lái)，安全最核心的問(wèn)題，還是要看廠商重視不重視。但必須注意到，目前，受限于中國(guó)網(wǎng)絡(luò)安全人才的稀缺，互聯(lián)網(wǎng)廠商的安全防御能力面臨著較大壓力。這也促使安全廠商作為“專家”，也必須承擔(dān)相應(yīng)的社會(huì)責(zé)任。

　　而隨著騰訊安全玄武實(shí)驗(yàn)室推出“玄武支援計(jì)劃”，這也意味著騰訊安全在推進(jìn)手機(jī)廠商、APP開(kāi)發(fā)商主動(dòng)自查的同時(shí)，也逐步通過(guò)更加開(kāi)放、合作的方式，輸出自身的安全能力，與第三方廠商一同保障用戶安全，推動(dòng)網(wǎng)絡(luò)安全防御落實(shí)到“最后一公里”，共同筑造安全防線。

　　工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長(zhǎng)付景廣在發(fā)布會(huì)上也對(duì)騰訊安全的舉措表示了肯定。他認(rèn)為，隨著互聯(lián)網(wǎng)及數(shù)字經(jīng)濟(jì)的發(fā)展，網(wǎng)絡(luò)安全一方面造福于國(guó)家、社會(huì)，同時(shí)帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出。騰訊做了大量的工作并把相關(guān)的情況公之于眾，提醒大家給予高度的重視，并且加以針對(duì)性的防范，充分體現(xiàn)了移動(dòng)安全領(lǐng)域的技術(shù)能力。同時(shí)，這也體現(xiàn)了騰訊高度的社會(huì)責(zé)任感，發(fā)現(xiàn)了問(wèn)題及時(shí)提醒，及時(shí)幫助大家去解決問(wèn)題、防范風(fēng)險(xiǎn)，這非常值得肯定。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。