拥有上亿用户的高频安卓应用——文件分享类应用被爆存有安全隐患。腾讯安全玄武实验室在5月30-31日于上海召开的第五届MOSEC移动安全技术峰会上,一次性披露了文件分享类应用的多个漏洞。这些漏洞一旦被非法攻击者掌握,将对数亿用户的传输文件和隐私数据安全造成极大威胁。目前,腾讯安全已在第一时间将发现的所有漏洞传递给了相关手机厂商,并协助其修复了大部分安全漏洞。
伴随着互联网的发展,移动应用成为当下大众生活方式的重要组成部分,具有更佳用户体验和更快传输速度的各类文件分享应用逐渐取代蓝牙、WiFi等传统工具,成为越来越多用户近距离传输文件的普遍工具选择。
国际数据中心(IDC)公开数据显示,2018年,安卓设备的出货量高达近10亿台。在这些设备中,几乎所有主流厂商设备都预装了文件分享类应用。同时,市面上排名前十的第三方文件分享类应用的用户量也已超10亿。
然而,腾讯安全通过对主流Android手机厂商预装的文件分享类应用进行的逆向分析发现,随方便快捷而来的是亿级用户量的隐私泄露风险。基于对各类文件分享应用(包含第三方文件分享应用)运作机制的深度剖析,腾讯安全专家张向前和刘惠明详细披露了存在于认证、连接、传输以及交互逻辑中的多处通用安全漏洞。
与此同时,两名安全专家现场展示揭秘了通过破解应用加密算法的嗅探攻击、中间人拦截篡改传输文件、锁屏状态下无需交互劫持网络、利用逻辑漏洞绕过安全检查等通用漏洞的攻击细节和方法,揭露了各类文件分享应用中存有的用户隐私数据泄露、文件被窃取、篡改、网络被劫持等安全问题。
针对文件分享类应用面临的漏洞攻击威胁,大会现场,张向前和刘惠明还分享了构建更安全的WiFi/WiFi-P2P密匙交换渠道和配置、使用TLS/HTTPS和预先交换公钥证书等升级加密传输以及使用以身份验证为基础的证书防止伪造等漏洞修复方案,并提出相关应用厂商应在综合漏洞修复方案的基础上,建立一套兼具安全和便捷的文件分享安全方案,强化文件分享应用的连接确认、传输加密和防止伪造等功能,从而切实地保护数亿用户的隐私和数据安全。
据了解,本次MOSEC移动安全技术峰会是由盘古团队和POC共同主办的。作为国内安全技术峰会的重要风向标,2019 MOSEC移动安全技术峰会承袭前四届的传统,汇集了国内外安全团队和专家,围绕移动浏览器安全、移动应用安全、ios安全、Android安全、IoT安全、工控安全、4G安全、车联网等多个领域的研究成果展开分享与探讨。此前,腾讯安全也在MOSEC大会上分享过ios越狱的成果。
免责声明:本文仅代表作者个人观点,与每日科技网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
本网站有部分内容均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,若因作品内容、知识产权、版权和其他问题,请及时提供相关证明等材料并与我们联系,本网站将在规定时间内给予删除等相关处理.
精彩推荐
-
采购拿回扣问题,教你一个小妙招,看看怎么做!
2017-09-18 11:09 广告 阅读
-
苦逼的老板,教你一个小妙招,怎么防采购拿回扣!
2017-09-18 11:09 广告 阅读
-
广告推广平台传播易 启用新域名cby.cn
2022-11-16 15:31:34 更新 阅读
-
尖货爆料!速来【数码预爆台】领取618福利和AI新
2024-06-21 18:33:22 更新 阅读
-
喜获国际设计大奖丨十字勋章减重大师Pro商务背包
2024-06-12 14:04:28 更新 阅读
-
Baseus倍思音频品鉴会:一场产品与技术的对话
2024-05-29 11:13:32 更新 阅读
-
212携手极致军工品质,焕新出发
2024-05-22 21:16:00 更新 阅读
-
第四届全球应用算法BPAA大赛再度升级,增添三大
2024-05-17 17:55:36 更新 阅读
-
三维天地助力实验室质量管理工作无纸化、流程化
2024-05-09 15:35:04 更新 阅读