拥有上亿用户的高频安卓应用——文件分享类应用被爆存有安全隐患。腾讯安全玄武实验室在5月30-31日于上海召开的第五届MOSEC移动安全技术峰会上,一次性披露了文件分享类应用的多个漏洞。这些漏洞一旦被非法攻击者掌握,将对数亿用户的传输文件和隐私数据安全造成极大威胁。目前,腾讯安全已在第一时间将发现的所有漏洞传递给了相关手机厂商,并协助其修复了大部分安全漏洞。
(图:腾讯安全玄武实验室安全研究员张向前和刘惠明分享成果)
伴随着互联网的发展,移动应用成为当下大众生活方式的重要组成部分,具有更佳用户体验和更快传输速度的各类文件分享应用逐渐取代蓝牙、WiFi等传统工具,成为越来越多用户近距离传输文件的普遍工具选择。
国际数据中心(IDC)公开数据显示,2018年,安卓设备的出货量高达近10亿台。在这些设备中,几乎所有主流厂商设备都预装了文件分享类应用。同时,市面上排名前十的第三方文件分享类应用的用户量也已超10亿。
然而,腾讯安全通过对主流Android手机厂商预装的文件分享类应用进行的逆向分析发现,随方便快捷而来的是亿级用户量的隐私泄露风险。基于对各类文件分享应用(包含第三方文件分享应用)运作机制的深度剖析,腾讯安全专家张向前和刘惠明详细披露了存在于认证、连接、传输以及交互逻辑中的多处通用安全漏洞。
与此同时,两名安全专家现场展示揭秘了通过破解应用加密算法的嗅探攻击、中间人拦截篡改传输文件、锁屏状态下无需交互劫持网络、利用逻辑漏洞绕过安全检查等通用漏洞的攻击细节和方法,揭露了各类文件分享应用中存有的用户隐私数据泄露、文件被窃取、篡改、网络被劫持等安全问题。
(图:腾讯安全玄武实验室安全研究员 刘惠明)
针对文件分享类应用面临的漏洞攻击威胁,大会现场,张向前和刘惠明还分享了构建更安全的WiFi/WiFi-P2P密匙交换渠道和配置、使用TLS/HTTPS和预先交换公钥证书等升级加密传输以及使用以身份验证为基础的证书防止伪造等漏洞修复方案,并提出相关应用厂商应在综合漏洞修复方案的基础上,建立一套兼具安全和便捷的文件分享安全方案,强化文件分享应用的连接确认、传输加密和防止伪造等功能,从而切实地保护数亿用户的隐私和数据安全。
(图:腾讯安全玄武实验室安全研究员 张向前)
据了解,本次MOSEC移动安全技术峰会是由盘古团队和POC共同主办的。作为国内安全技术峰会的重要风向标,2019 MOSEC移动安全技术峰会承袭前四届的传统,汇集了国内外顶级安全团队和专家,围绕移动浏览器安全、移动应用安全、ios安全、Android安全、IoT安全、工控安全、4G安全、车联网等多个领域的最新研究成果展开分享与探讨。此前,腾讯安全也在MOSEC大会上分享过ios越狱的最新成果。