当我们的生活被形形色色的手机应用包围,你或许还没发现那些潜在的安全风险已经浮出水面。10月24日,GeekPwn 2019国际安全极客大赛在上海召开,腾讯移动安全实验室参赛团队现场成功破解三款主流品牌安卓手机,利用漏洞实现在手机中自动安装、运行APP,获取手机的GPS位置信息等操作。
多漏洞组合串联 腾讯移动安全实验室成功破解3款主流安卓手机
移动互联网时代,用户越来越依赖智能手机,在手机购物、娱乐聊天过程中,在手机上保留了大量敏感的隐私信息,如手机号码、身份证号、银行卡账户、密码等,一旦手机被攻破导致泄漏,将给用户带来极大的危害。随着网络技术的更新,不法分子从原来只靠电话忽悠,进化到联合恶意链接、病毒APP,诱导用户下载安装。此次在GeekPwn 2019大赛上,腾讯移动安全实验室就通过扫描二维码访问用户手机中的网址,实现了应用程序自动安装。
来自腾讯移动安全实验室的高级研究员韩紫东、韩景维选择了三款不同品牌安卓手机作为攻破对象,详细地展示了攻破手法及步骤。两位选手首先用三款手机分别扫描二维码,使其跳转至一个网站。该网站里的内容是利用手机漏洞构造好的一些链接,一旦被攻击的手机访问这些链接,就会触发相关的漏洞,当漏洞一个一个被触发并组合串联起来,最终会静默安装指定的应用程序,并将其调起。在现场验证中,腾讯移动安全实验室的两位选手在不到20分钟的时间里,先后攻破三款手机,完成了恶意APP安装,并成功获取到指定手机的GPS位置信息。
腾讯安全开放能力 助力设备厂商维护安全
腾讯移动安全实验室在赛场上的精彩表现,充分展现了腾讯安全在漏洞挖掘方面的技术领先性。
伴随着移动终端的多样性发展和智能化演进,终端上所承载的各类应用已成为移动运营商新的收入来源和核心业务增长点,如手机网上支付、电子商务、基于位置的服务等富有特色的一系列增值服务,这将极大地激发运营商、终端厂商、增值服务提供商对终端安全保障体系的关注和投入,移动终端安全已成为新的产业链。
腾讯移动安全实验室专注于移动生态安全研究和物联网生态安全研究,为腾讯众多的移动软件提供安全防御能力和黑产识别、打击能力。针对设备APP,基于Android和IOS平台开发语言的VMP保护方案能大幅提高攻击者逆向分析APP进行漏洞挖掘的成本和精力;在协议保护方面,对数据进行加密等安全处理行为能够保证数据内容不被窃取或篡改,保证数据传输层的协议及内容安全;在固件方面,IoT安全编译器通过对Native代码的深度保护,提供攻击者固件漏洞挖掘的成本。
实验室还建立了领先的软件安全能力和漏洞挖掘能力,在移动生态安全能力上,除为腾讯内部移动应用发掘零日漏洞外,也多次收到谷歌Android的零日漏洞致谢。在物联网和智能设备领域,移动安全实验室在GeekPwn 2018分别破解了多款智能门锁,远程控制10多款智能家居设备,预演并帮助智能家居产品提升安全性能。
随着物联网的发展和智能家居设备为广大的用户接受,各类设备、流量、账号系统、甚至移动端app,安全边界越来越模糊,生态体系包括第三方授权和集成的纬度也越来越多,导致在各个层面安全问题频繁出现。腾讯移动安全实验室和众多的设备厂商联合,在智能设备准入、身份认证、账号体系,以及行业解决方案上深度合作,给个人用户和企业用户提供领先的安全保障能力。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 新能源车技术升级抢先看,ChatGPT崩了引热议:未来科技如何破局?
- 自动驾驶行业大洗牌即将结束,小马智行引领千台车队新篇章
- 微软反垄断风暴:Office捆绑销售引质疑,云服务策略遭调查,巨头陷困境
- 显卡涨价风暴来袭!NVIDIA/AMD紧急应对,全力加速生产运回本土
- 微软新目标:用1000亿美元打造实用通用AI,未来可期但需谨慎
- 亚马逊云科技陈晓建预测:未来三年内,生成式AI将引发云市场新革命
- 林肯中国辟谣:财务调整非合并,业务不变稳如泰山
- 字节跳动研发大手笔:2024年投入接近BAT之和,能否引领中国OpenAI新潮流?
- 跨境汇款平台新举措:蚂蚁集团开发者服务限每日10万美元,助力全球交易更便捷
- 我国充电桩建设提速,50%增长背后的高速服务区充电新篇章
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。