历史上的今天
X
首页
最能打的中国芯评选
技术
模拟电子
单片机
半导体
电源管理
嵌入式
传感器
应用
汽车电子
工业控制
家用电子
手机便携
安防电子
医疗电子
网络通信
测试测量
物联网
大学堂
首页
直播
专题
TI 培训
论坛
汽车电子
国产芯片交流
电机驱动控制
电源技术
单片机
模拟电子
PCB设计
电子竞赛
DIY/开源
嵌入式系统
医疗电子
颁奖专区
【厂商专区】
【电子技术交流】
【创意与实践】
【行业应用】
【休息一下】
活动中心
直播
发现活动
颁奖区
电子头条
参考设计
下载中心
分类资源
文集
排行榜
电路图
Datasheet
返回首页

历史上的今天

今天是:2025年01月13日(星期一)

正在发生

2018年01月13日 | 网络安全领域暗藏大量“黑天鹅” 逾13%手机APP存重大漏洞

2018-01-13 来源:证券日报

2017年5月份始发并肆虐全球的“勒索病毒”,至今还让人们心有余悸。不过,绝大多数手机用户或许并不清楚,2017年底,他们刚刚又躲过了一场潜在的“洗劫”。


1月9日,腾讯安全玄武实验室宣布,新近发现了一种新型的移动攻击威胁模型,并将其命名为“应用克隆”。发布会上,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的“效果”:在升级到最新安卓8.1.0的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户瞬间就被“克隆”到“攻击者”的手机中,然后“攻击者”在自己手机上可以任意查看用户账户信息,并可进行消费。


值得一提的是,存在“应用克隆”漏洞的并非支付宝APP一家,玄武实验室负责人于旸指出,大量主流APP都存在该漏洞,玄武实验室检测了国内安卓系统中的200个知名APP,其中27家存在该漏洞,占比超过13%,其中包括聚美优品、国美、墨迹天气、一点资讯、携程、百度外卖、京东到家、饿了么、WiFi万能钥匙、小米生活、同程旅游、百度旅游、豆瓣、驴妈妈、赶集网、易车、咕咚、虎扑等。


对此,有业界人士指出,这些知名APP的技术团队实力都较强,况且如此,数量更为庞大非一线APP,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。


由于并非个例且事关重大,玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台(CNVD)。CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号(CNE201736682)。12月10日,CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况及建立了修复方案。


国家互联网应急中心网络安全处副处长李佳表示:“今天,我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢。玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞。这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式,可以说影响范围特别大,危害也是巨大的,刚才通过相关的演示也看到了。玄武实验室在第一时间向我们平台报送了相关的漏洞,可以说为我们对相关的事件应急响应提供了宝贵的时间”。


尽管CNVD已于12月10日对27家APP进行了点对点的通报,不过,截至发布会召开时,时隔1个月,还有不少APP未修复漏洞或未予反馈。“发出通报后不久,CNVD就收到了支付宝、百度外卖、国美等大部分APP的反馈,表示他们已经在修复漏洞”,李佳表示,“由于各个团队的技术能力有差距,目前有的APP已经修复漏洞了,有的APP还没有修复。截至到1月8日,还没有收到反馈的APP包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。在此,也希望这10家没有及时反馈的企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求”。


作为被举例演示的APP,记者从支付宝相关负责人处了解到,支付宝已在一个月前对APP进行了升级,修复了这一安卓漏洞,支付宝用户的账户安全不会受到影响。


不过,令人费解的是,此番被点名的10家APP中,多家APP在接受记者采访时表示,并未获得来自CNVD有关该漏洞的通知。同时亦表示,如果获得了通知,肯定会积极反馈和修复。

需要提及的是,此前勒索病毒之所以能在短时间内波及全球,其中一个重要原因就是警示信息沟通不及时。


受精力所限,此次玄武试验室只是选取了较为知名的200个APP进行了测试,且13%存在“应用克隆”漏洞。不难想见,还有大量存在漏洞的APP在“裸奔”,使用这些APP的用户的手机随时可能遭到攻击。“还有很多APP,他们有问题,但是他们自己不知道,没有任何一个人有精力把全中国的APP都检查一遍,更多的是需要厂商自查,这才是我们此次披露的意义”,于旸表示。

网络安全

上一篇:亚马逊Alexa App上市3年 Google Play中下载安装量突破1,000万次

下一篇:5G不会称霸2018年CES,但将会成为2019年CES主角

推荐阅读
2018年01月13日 | 败走无人机市场 GoPro期待被收购
美国相机制造商GoPro首席执行官尼古拉斯·伍德曼说,公司对被收购持开放态度。美国有线电视新闻网(CNN)10日援引伍德曼的话报道:“拒绝不负责任。如果有机会由更大的母公司并购GoPro,可能帮助我们拓展业务,为我们的投资者提供更好的投资收益,绝对好过我们作为独立企业单打独斗。”GoPro在美国拉斯维加斯正在举办的国际消费电子展发表上述言论。本周早...
2019年01月13日 | 发现碳化硅晶体管中的缺陷:电力电子器件有望变得更节能!
背景随着世界各国对节能减排的需求越来越迫切,如何降低电子产品的能耗成为当今热门话题之一。近期,笔者也介绍过了众多有利于降低能耗的新一代电子器件,例如自旋电子器件。今天,让我们再来关注一种对于节能来说至关重要的电子器件:电力电子器件。有了电力电子器件的保证,光伏发电站或风力发电站产生的电力才能反馈到电网中,火车的牵引单元才可以通过...
2020年01月13日 | STM32学习堆和栈(三)
可编程内存在基本上分为这样的几大部分:静态存储区、堆区和栈区。他们的功能不同,对他们使用方式也就不同。静态存储区:内存在程序编译的时候就已经分配好,这块内存在程序的整个运行期间都存在。它主要存放静态数据、全局数据和常量。栈区:在执行函数时,函数内局部变量的存储单元都可以在栈上创建,函数执行结束时这些存储单元自动被释放。栈内存分配...
2021年01月13日 | 越南市场成拓斯达海外营收绝对主力,占比近90%
自中美贸易摩擦以来,由中国迁往越南的制造企业越来越多,其中不乏三星、立讯精密、歌尔股份等先进制造企业,顺带着,部分产业链也跟着迁移。近日OFweek机器人网了解到,广东首家上市机器人企业拓斯达已在越南设厂,并且越南营收正成为其海外业务的重要支柱。从拓斯达2020年上半年海外销售收入按地区统计数据发现,其海外销售总销售额为1.48亿元,其中亚洲...

史海拾趣

Electroswitch公司的发展小趣事

进入21世纪后,Electroswitch开始积极实施国际化战略。公司通过收购和兼并等方式,不断拓展海外市场。同时,公司还加强了与国际知名企业的合作,共同开发新产品和新技术。这些举措使得Electroswitch的国际化水平得到了显著提升,也为公司的未来发展奠定了坚实的基础。

ADPOW公司的发展小趣事

在市场竞争日益激烈的背景下,ADPOW公司深知品质是生存和发展的关键。因此,公司建立了严格的质量管理体系,从原材料采购到产品出厂的每一个环节都进行严格把控。同时,公司注重品牌建设,通过广告宣传、参加展会等方式提升品牌知名度和美誉度。这些举措有效提升了公司的市场竞争力。

CWIND公司的发展小趣事

在电子行业的早期阶段,CWIND公司以其卓越的技术研发能力脱颖而出。公司创始人张先生带领一支由资深工程师组成的团队,针对当时市场上电子产品普遍存在的功耗高、性能不稳定等问题,进行了深入研究。经过数月的努力,他们成功研发出了一款低功耗、高性能的芯片,这款芯片在市场上迅速获得了认可,为CWIND公司打开了市场的大门。随着技术的不断迭代和更新,CWIND逐渐在电子行业中建立了自己的技术壁垒。

Genesis Microchip公司的发展小趣事

在20世纪中期,GI作为一家新兴的电子设备制造商,以其对新兴技术的敏锐洞察力和创新精神而崭露头角。公司创始人意识到半导体技术的巨大潜力,决定投入大量资源进行研发。通过不懈努力,GI成功推出了多款基于半导体技术的创新产品,如早期的晶体管收音机和电视机,这些产品不仅在当时市场上引起了轰动,也为公司后续的快速发展奠定了坚实基础。这一阶段的成功,标志着GI在电子行业技术创新的道路上迈出了坚实的一步。

ABB Group公司的发展小趣事

随着战后的经济复苏和科技的快速发展,GI开始积极寻求业务多元化和国际化的发展道路。公司不仅继续深耕电子技术领域,还逐渐涉足通信、计算机等多个领域,推出了包括通信设备、计算机硬件在内的多款新产品。同时,GI也积极开拓海外市场,通过设立分支机构、与当地企业合作等方式,成功将产品销往全球多个国家和地区。这一阶段的成功,使GI成为了名副其实的跨国电子巨头。

台湾凯励(Carli)公司的发展小趣事

作为一家有社会责任感的企业,凯励公司始终关注环境保护和可持续发展。公司积极推广绿色生产技术和资源循环利用方案,减少生产过程中的能源消耗和废弃物排放。同时,凯励公司还积极参与社会公益活动,为社区和环境贡献自己的力量。这些举措不仅体现了凯励公司的社会责任感,也为其在电子行业树立了良好的形象。

问答坊 | AI 解惑

设计高速电路板的注意事项

我最近针对一篇关于PCB特性阻抗的文章写了封信。该文阐述了工艺过程的变化是怎样引起实际阻抗发生变化的,以及怎样用精确的现场解决工具(field solver)来预见这种现象。我在信中指出,即使没有工艺的变化,其它因素也会引起实际阻抗很大的不同。在设 ...…

查看全部问答>

新手共享---GCC参数详解

[声明]    这篇文档是我的关于gcc参数的笔记,我很怀念dos年代我用小本子,纪录所有的dos    命令的参数.哈哈,下面的东西可能也不是很全面,我参考了很多的书,和gcc的帮助.    不全的原因是,有可能我还没有看到这个 ...…

查看全部问答>

发光的出气筒

设计师Jin-Sook Kim给我们带来了一款发泄工具,当你用力击打这个出气筒的时候,内置的LED灯便会随之点亮,并会以发光来回应每次击打。据说这样有助于发泄者内心由黑暗迅速走向光明。…

查看全部问答>

如何实现netui修改?

我想将wifi模块的配置信息在自己的应用程序中实现:思路是通过应用程序修改注册表,然后netui调用注册表里的值,主要包括wifi的密码,ap的名称等的保存。但是不知道NETUI中这一部分是在什么地方,代码里面没有找到。…

查看全部问答>

Wince 6.0 R3, MUI,控制面板快捷方式还是默认语言。

Wince 6.0 R3, MUI,控制面板快捷方式还是默认语言。 例如NK包含了4国语言,默认是中文,那么无论进入哪一个语言,控制面板的快捷方式,资源管理器的快捷方式还有网络,都是中文。 这个问题难道了好多人。 …

查看全部问答>

申请eeworld硬件/嵌入式开发版大版主

1.已满足eeworld要求申请大版主要达到的条件.(我已经好好的对过) 2.本人足够的热心,为人也算是够厚道吧.(这个由网友们说吧,我说这个没意思) 3.由于爱好领域关系,本人的知识结构跨度较大,对硬件电路的接口也很熟悉.(这对嵌入式版是一个很好的补充) ...…

查看全部问答>

设备列表

谁知道怎么编程怎么实现获取系统中的硬件列表 或查看某一特定硬件是否连接正常…

查看全部问答>

oled12V工作电压

焊接完通电。这个电压不对,实测为3.3V。应该是gdr信号没有输出导致的。 谁的屏电压正常,还是需要向oled配置一下呢?…

查看全部问答>

变量定义

蜂鸣器实验程序#define GPBCON (*(volatile unsigned *)0x56000010)#define GPBDAT (*(volatile unsigned *)0x56000014)#define GPBUP  (*(volatile unsigned *)0x56000018)void delay(int x){        int k=0xff,j= ...…

查看全部问答>

如何高效的使用DMA?

我对DMA的理解是:它用于把CPU从忙等待的数据传输中解脱出来,使得CPU可以利用数据传输的时间来执行其他操作。使用DMA以前,代码也许是这样:for(i = 0; i < 512; ++i){    while(数据没 ...…

查看全部问答>