2019MOSEC移動安全技術峰會：騰訊安全披露“文件分享”中的安全危險

擁有上億用戶的高頻安卓應用——文件分享類應用被爆存有安全隱患。騰訊安全玄武實驗室在5月30-31日于上海召開的第五屆MOSEC移動安全技術峰會上，一次性披露了文件分享類應用的多個漏洞。這些漏洞一旦被非法攻擊者掌握，將對數(shù)億用戶的傳輸文件和隱私數(shù)據(jù)安全造成極大威脅。目前，騰訊安全已在第一時間將發(fā)現(xiàn)的所有漏洞傳遞給了相關手機廠商，并協(xié)助其修復了大部分安全漏洞。

　　(圖：騰訊安全玄武實驗室安全研究員張向前和劉惠明分享成果)

伴隨著互聯(lián)網(wǎng)的發(fā)展，移動應用成為當下大眾生活方式的重要組成部分，具有更佳用戶體驗和更快傳輸速度的各類文件分享應用逐漸取代藍牙、WiFi等傳統(tǒng)工具，成為越來越多用戶近距離傳輸文件的普遍工具選擇。

國際數(shù)據(jù)中心(IDC)公開數(shù)據(jù)顯示，2018年，安卓設備的出貨量高達近10億臺。在這些設備中，幾乎所有主流廠商設備都預裝了文件分享類應用。同時，市面上排名前十的第三方文件分享類應用的用戶量也已超10億。

然而，騰訊安全通過對主流Android手機廠商預裝的文件分享類應用進行的逆向分析發(fā)現(xiàn)，隨方便快捷而來的是億級用戶量的隱私泄露風險。基于對各類文件分享應用(包含第三方文件分享應用)運作機制的深度剖析，騰訊安全專家張向前和劉惠明詳細披露了存在于認證、連接、傳輸以及交互邏輯中的多處通用安全漏洞。

與此同時，兩名安全專家現(xiàn)場展示揭秘了通過破解應用加密算法的嗅探攻擊、中間人攔截篡改傳輸文件、鎖屏狀態(tài)下無需交互劫持網(wǎng)絡、利用邏輯漏洞繞過安全檢查等通用漏洞的攻擊細節(jié)和方法，揭露了各類文件分享應用中存有的用戶隱私數(shù)據(jù)泄露、文件被竊取、篡改、網(wǎng)絡被劫持等安全問題。

　　(圖：騰訊安全玄武實驗室安全研究員 劉惠明)

針對文件分享類應用面臨的漏洞攻擊威脅，大會現(xiàn)場，張向前和劉惠明還分享了構(gòu)建更安全的WiFi/WiFi-P2P密匙交換渠道和配置、使用TLS/HTTPS和預先交換公鑰證書等升級加密傳輸以及使用以身份驗證為基礎的證書防止偽造等漏洞修復方案，并提出相關應用廠商應在綜合漏洞修復方案的基礎上，建立一套兼具安全和便捷的文件分享安全方案，強化文件分享應用的連接確認、傳輸加密和防止偽造等功能，從而切實地保護數(shù)億用戶的隱私和數(shù)據(jù)安全。

　　(圖：騰訊安全玄武實驗室安全研究員 張向前)

據(jù)了解，本次MOSEC移動安全技術峰會是由盤古團隊和POC共同主辦的。作為國內(nèi)安全技術峰會的重要風向標，2019 MOSEC移動安全技術峰會承襲前四屆的傳統(tǒng)，匯集了國內(nèi)外頂級安全團隊和專家，圍繞移動瀏覽器安全、移動應用安全、ios安全、Android安全、IoT安全、工控安全、4G安全、車聯(lián)網(wǎng)等多個領域的最新研究成果展開分享與探討。此前，騰訊安全也在MOSEC大會上分享過ios越獄的最新成果。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。