无限法则训练营在哪

騰訊安全亮相2019MOSEC移動安全技術峰會 揭秘影響“億級用戶”的文件傳輸漏洞

        【每日科技網】

无限法则训练营在哪 www.rfwtc.icu   擁有上億用戶的高頻安卓應用——文件分享類應用被爆存有安全隱患。騰訊安全玄武實驗室在5月30-31日于上海召開的第五屆MOSEC移動安全技術峰會上,一次性披露了文件分享類應用的多個漏洞。這些漏洞一旦被非法攻擊者掌握,將對數億用戶的傳輸文件和隱私數據安全造成極大威脅。目前,騰訊安全已在第一時間將發現的所有漏洞傳遞給了相關手機廠商,并協助其修復了大部分安全漏洞。

  (圖:騰訊安全玄武實驗室安全研究員張向前和劉惠明分享成果)

  伴隨著互聯網的發展,移動應用成為當下大眾生活方式的重要組成部分,具有更佳用戶體驗和更快傳輸速度的各類文件分享應用逐漸取代藍牙、WiFi等傳統工具,成為越來越多用戶近距離傳輸文件的普遍工具選擇。

  國際數據中心(IDC)公開數據顯示,2018年,安卓設備的出貨量高達近10億臺。在這些設備中,幾乎所有主流廠商設備都預裝了文件分享類應用。同時,市面上排名前十的第三方文件分享類應用的用戶量也已超10億。

  然而,騰訊安全通過對主流Android手機廠商預裝的文件分享類應用進行的逆向分析發現,隨方便快捷而來的是億級用戶量的隱私泄露風險?;詼愿骼轡募窒磧τ?包含第三方文件分享應用)運作機制的深度剖析,騰訊安全專家張向前和劉惠明詳細披露了存在于認證、連接、傳輸以及交互邏輯中的多處通用安全漏洞。

  與此同時,兩名安全專家現場展示揭秘了通過破解應用加密算法的嗅探攻擊、中間人攔截篡改傳輸文件、鎖屏狀態下無需交互劫持網絡、利用邏輯漏洞繞過安全檢查等通用漏洞的攻擊細節和方法,揭露了各類文件分享應用中存有的用戶隱私數據泄露、文件被竊取、篡改、網絡被劫持等安全問題。

  (圖:騰訊安全玄武實驗室安全研究員 劉惠明)

  針對文件分享類應用面臨的漏洞攻擊威脅,大會現場,張向前和劉惠明還分享了構建更安全的WiFi/WiFi-P2P密匙交換渠道和配置、使用TLS/HTTPS和預先交換公鑰證書等升級加密傳輸以及使用以身份驗證為基礎的證書防止偽造等漏洞修復方案,并提出相關應用廠商應在綜合漏洞修復方案的基礎上,建立一套兼具安全和便捷的文件分享安全方案,強化文件分享應用的連接確認、傳輸加密和防止偽造等功能,從而切實地?;な謨沒У囊膠褪蒞踩?。

  (圖:騰訊安全玄武實驗室安全研究員 張向前)

  據了解,本次MOSEC移動安全技術峰會是由盤古團隊和POC共同主辦的。作為國內安全技術峰會的重要風向標,2019 MOSEC移動安全技術峰會承襲前四屆的傳統,匯集了國內外安全團隊和專家,圍繞移動瀏覽器安全、移動應用安全、ios安全、Android安全、IoT安全、工控安全、4G安全、車聯網等多個領域的研究成果展開分享與探討。此前,騰訊安全也在MOSEC大會上分享過ios越獄的成果。

免責聲明:本文僅代表作者個人觀點,與每日科技網無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。

本網站有部分內容均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責,若因作品內容、知識產權、版權和其他問題,請及時提供相關證明等材料并與我們聯系,本網站將在規定時間內給予刪除等相關處理.