通付盾——金融科技安全行业领军品牌 风险决策平台 · 信用认证 · 多因子身份认证 · APP检测加固 技术专业 服务安全 体验快捷
QQ咨询 在线咨询 400-8318-116 免费申请试用
安全资讯
多款安卓App存在“应用克隆”漏洞,通付盾提供免费检测与加固服务
来源:本站原创 时间:2018-01-18 作者:adminx

当手机收到一条看似平常的短信链接时,用户一旦点击,支付宝应用一秒钟内就被“克隆”到另一部手机上,攻击者就可以任意查看你的支付宝信息,且可以进行支付消费......


这就是”应用克隆”移动攻击威胁模型,短信、二维码、红包页面、新闻资讯等都可以成为攻击方式。目前,检测国内安全应用市场的近200款知名移动应用,其中支付宝、饿了么、京东到家等27款主流APP存在“应用克隆”漏洞,比例超过10%。


当前,云计算、大数据、AI被认为是有望改变世界的“三剑客”。其中,人工智能在移动安全和网络安全方面的应用潜力不断被挖掘,通付盾基于深度学习的动静双引擎检测,可以为Android和iOS移动应用程序提供全方位安全检测服务,帮助APP开发企业更高效地发现安全威胁和高危漏洞。


针对“应用克隆”漏洞,通付盾移动安全实验室为用户提供了修复建议: file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false(Android4.1版本之前这两个API默认是true,需要显式设置为false),若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围。


移动安全版本2-图1.png


同时,通付盾APP加固服务可以为安卓应用提供更深层次的安全防护,通过加壳保护、代码混淆、代码加密、防篡改以及VMP保护,有效对抗逆向工程、二次打包、代码注入等攻击行为。其中VMP保护通过对C/C++源文件函数进行虚拟化,将核心代码转换为在自定义虚拟机上运行的字节码,有效保护核心代码和敏感文件,让攻击者无法利用“应用克隆”漏洞获取敏感信息,有效确保应用程序逻辑安全和代码安全,避免企业移动 APP 关键业务遭受恶意攻击和破坏。


为应对不断变化升级的攻击手段,通付盾的移动安全技术不断升级,目前已推出了包括终端威胁感知、APP检测与加固、全渠道应用监测在内的移动应用安全解决方案,其中APP检测与加固标准版服务对中小企业和个人开发者免费,现在登录通付盾云平台,即可免费使用。


帮助文档
联系我们
  • 商务咨询:info@tongfudun.com
  • 售后服务:service@tongfudun.com
  • 市场合作:info@tongfudun.com
  • 英才招聘:jobs@tongfudun.com
  • 蓝海基金:bp@tongfudun.com
  • 联系电话:400-831-8116
随时随地了解通付盾动态 敬请关注:

通付盾
官方微博

通付盾
官方公众号