1月9日，騰訊安全玄武實驗室與知道創(chuàng)宇404實驗室，正式針對最新發(fā)現(xiàn)的“應用克隆”攻擊模型，聯(lián)合召開安全技術(shù)研究成果發(fā)布會。據(jù)騰訊安全玄武實驗室負責人于旸介紹，利用“應用克隆”攻擊模型，在國內(nèi)包括支付寶、攜程等200款主流APP上測試后發(fā)現(xiàn)了27個漏洞，比例超過10%，而受到影響的APP，則存在用戶賬戶信息、數(shù)據(jù)、資金被克隆竊取的風險。

　　而值得關(guān)注的是，早在12月7日，騰訊安全玄武實驗室即將漏洞提交給CNVD(國家信息安全漏洞共享平臺)，并在被確認為“高危”漏洞后，通過CNCERT(國家互聯(lián)網(wǎng)應急中心)向APP廠商通報了該情況，并給出修復方案，但直至發(fā)布會當天上午，僅有小部分APP進行了漏洞修復，還有大量APP沒有向CNCERT進行情況反饋。騰訊安全玄武實驗室也在發(fā)布會上宣布將啟動“玄武支援計劃”，協(xié)助廠商處理問題。

(騰訊安全玄武實驗室發(fā)布“應用克隆”漏洞相關(guān)說明)

　　呼吁行業(yè)自查，倡導移動安全新思維

　　于旸表示，由于該問題的復雜性，無法通過自動化檢測來判斷是否存在上述漏洞，簡單通過函數(shù)掃描得出的結(jié)果，既會出現(xiàn)大量誤報，又會出現(xiàn)大量漏報。唯一能判斷有無漏洞的方式就是人工檢測。這也導致玄武實驗室無法對整個安卓應用市場進行檢測，所以通過此次新聞發(fā)布會，希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應漏洞，并進行修復。同時，考慮到該漏洞影響的廣泛性，以及配合“應用克隆”攻擊模型后的巨大威脅，騰訊安全玄武實驗室也在發(fā)布會現(xiàn)場宣布推出“玄武支援計劃”，協(xié)助廠商處理問題。

(于旸在發(fā)布會現(xiàn)場介紹移動安全趨勢)

　　據(jù)騰訊安全玄武實驗室透露，“玄武支援計劃”公布后，已經(jīng)有多家公司及應用廠商尋求幫助檢測漏洞。而對經(jīng)過實驗室?guī)椭鷻z測的應用，也會統(tǒng)一提交給 CNVD，然后由 CNVD 通知廠商。

　　相較于蘋果、微軟、谷歌等國際廠商，國內(nèi)廠商對于漏洞安全的重視程度仍舊有待進一步提升。經(jīng)騰訊安全玄武實驗室測試市場上的安卓手機，大多存在漏洞修復滯后的情況，最長甚至有超過一年的情況。

　　而實際上，移動安全時代，漏洞可能導致的威脅遠比業(yè)界之前認識的要大，移動設(shè)備普遍使用了可信計算、漏洞緩解、權(quán)限隔離等安全技術(shù)，但移動技術(shù)自身的各種特點又給安全引入了更多的新變量，新變量可能耦合出新風險。

　　而對安全重視程度不夠，是整個移動互聯(lián)網(wǎng)行業(yè)普遍存在的問題，不只是一兩個廠商的問題。于旸表示，面對新威脅，不僅需要整個移動互聯(lián)網(wǎng)行業(yè)的重視和協(xié)作，更需要轉(zhuǎn)變舊思維，用新的移動思維應對移動安全問題，需要手機廠商、應用開發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手，共同重視。

　　推動安全防御“最后一公里”

　　在于旸看來，安全最核心的問題，還是要看廠商重視不重視。但必須注意到，目前，受限于中國網(wǎng)絡(luò)安全人才的稀缺，互聯(lián)網(wǎng)廠商的安全防御能力面臨著較大壓力。這也促使安全廠商作為“專家”，也必須承擔相應的社會責任。

　　而隨著騰訊安全玄武實驗室推出“玄武支援計劃”，這也意味著騰訊安全在推進手機廠商、APP開發(fā)商主動自查的同時，也逐步通過更加開放、合作的方式，輸出自身的安全能力，與第三方廠商一同保障用戶安全，推動網(wǎng)絡(luò)安全防御落實到“最后一公里”，共同筑造安全防線。

　　工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長付景廣在發(fā)布會上也對騰訊安全的舉措表示了肯定。他認為，隨著互聯(lián)網(wǎng)及數(shù)字經(jīng)濟的發(fā)展，網(wǎng)絡(luò)安全一方面造福于國家、社會，同時帶來的網(wǎng)絡(luò)安全問題也越來越突出。騰訊做了大量的工作并把相關(guān)的情況公之于眾，提醒大家給予高度的重視，并且加以針對性的防范，充分體現(xiàn)了移動安全領(lǐng)域的技術(shù)能力。同時，這也體現(xiàn)了騰訊高度的社會責任感，發(fā)現(xiàn)了問題及時提醒，及時幫助大家去解決問題、防范風險，這非常值得肯定。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。