拥有上亿用户的高频安卓应用——文件分享类应用被爆存有安全隐患。腾讯安全玄武实验室在5月30-31日于上海召开的第五届MOSEC移动安全技术峰会上,一次性披露了文件分享类应用的多个漏洞。这些漏洞一旦被非法攻击者掌握,将对数亿用户的传输文件和隐私数据安全造成极大威胁。目前,腾讯安全已在第一时间将发现的所有漏洞传递给了相关手机厂商,并协助其修复了大部分安全漏洞。
(图:腾讯安全玄武实验室安全研究员张向前和刘惠明分享成果)
伴随着互联网的发展,移动应用成为当下大众生活方式的重要组成部分,具有更佳用户体验和更快传输速度的各类文件分享应用逐渐取代蓝牙、WiFi等传统工具,成为越来越多用户近距离传输文件的普遍工具选择。
国际数据中心(IDC)公开数据显示,2018年,安卓设备的出货量高达近10亿台。在这些设备中,几乎所有主流厂商设备都预装了文件分享类应用。同时,市面上排名前十的第三方文件分享类应用的用户量也已超10亿。
然而,腾讯安全通过对主流Android手机厂商预装的文件分享类应用进行的逆向分析发现,随方便快捷而来的是亿级用户量的隐私泄露风险。基于对各类文件分享应用(包含第三方文件分享应用)运作机制的深度剖析,腾讯安全专家张向前和刘惠明详细披露了存在于认证、连接、传输以及交互逻辑中的多处通用安全漏洞。
与此同时,两名安全专家现场展示揭秘了通过破解应用加密算法的嗅探攻击、中间人拦截篡改传输文件、锁屏状态下无需交互劫持网络、利用逻辑漏洞绕过安全检查等通用漏洞的攻击细节和方法,揭露了各类文件分享应用中存有的用户隐私数据泄露、文件被窃取、篡改、网络被劫持等安全问题。
(图:腾讯安全玄武实验室安全研究员 刘惠明)
针对文件分享类应用面临的漏洞攻击威胁,大会现场,张向前和刘惠明还分享了构建更安全的WiFi/WiFi-P2P密匙交换渠道和配置、使用TLS/HTTPS和预先交换公钥证书等升级加密传输以及使用以身份验证为基础的证书防止伪造等漏洞修复方案,并提出相关应用厂商应在综合漏洞修复方案的基础上, 节日期间,人们总会选择送心爱的人手表来表达爱意,代表自己的心。牛郎织女鹊桥相会,作为中国最传统最浪漫的情人节,表达爱意需要巧妙构思。不妨选择一款情侣对表,把爱意写在腕间。很多品牌都推出了自己的情侣对表,为了制造浪漫氛围,呈现你最爱的那一抹腕间风情。当一些话说不出口,一些爱无法言语时,可以让时间故事替您表达!手表被作为礼物赠送与别人是很常见的,送手表不是随随便便就可以送的,不同的手表送不同的人是有不同的含义的,男生要知道送女孩手表的含义,女生要知道送男生手表的含义。建立一套兼具安全和便捷的文件分享安全方案,强化文件分享应用的连接确认、传输加密和防止伪造等功能,从而切实地保护数亿用户的隐私和数据安全。
(图:腾讯安全玄武实验室安全研究员 张向前)
据了解,本次MOSEC移动安全技术峰会是由盘古团队和POC共同主办的。作为国内安全技术峰会的重要风向标,2019 MOSEC移动安全技术峰会承袭前四届的传统,汇集了国内外顶级安全团队和专家,围绕移动浏览器安全、移动应用安全、ios安全、Android安全、IoT安全、工控安全、4G安全、车联网等多个领域的最新研究成果展开分享与探讨。此前,腾讯安全也在MOSEC大会上分享过ios越狱的最新成果。
第十三名,朗格(A. Lange Soehn)。少见的非瑞士品牌,它是地道的东部德国产品,曾经因前东德的专制统治而消失过,但两德统一后再度焕发青春。朗格坚持只做机械贵金属腕表,使得它的品质和价位都据高不下,一般均在10 万元以上,而且国内一般商场买不到。第十四名,真利时(Zenith)。瑞士品牌,以复杂功能时计著称,多用贵金属作外壳,皮带表居多,是比较传统的腕表,品质一流。第十五名,肖邦(Chopard),瑞士品牌,以女装钻石表著称,特别是“快乐钻石”(HappyDiamond),是窈窕淑女的最爱。窃以为其实际佩戴效果要好于满是珠光宝气的伯爵……哎呀,又挨了一块板儿砖!第十六名,沛纳海(Panerai)。意大利品牌,总部位于佛落伦萨,生产厂却在瑞士。纳海的专业潜水表了,防水深度均在300 米以下,一直就是 包括意大利海军在内的许多国家军队专用潜水表。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-56076.html
