至顶网安全频道 12月21日 综合消息: 很多人的清晨都是从床头拿起手机开始的:打开最喜欢的社交软件,阅读新闻,翻朋友圈,听音乐,看视频,检查邮件,更新日历状态等等,而每个行为背后都对应了多款app。
目前,全球有21亿人拥有智能手机,每年新上架的移动APP数量更是高达千万款。调研数据显示,25岁以上的成年人每天使用手机约264次,15-24岁的人约为每天387次,相当于每隔一分钟就要碰一次智能手机。你或许觉得这组数据难以置信,但事实的确如此,移动app已经深入到我们的生活和工作中。
然而,我们高度依赖的移动app,却并没有想象中的那么安全。根据Gartner的预测,75%的移动app甚至没有通过基本的安全测试,黑客倾向于利用移动app中已知的安全漏洞窃取敏感和机密信息。
更令人意想不到的是,腾讯安全中心在日常终端安全审计中发现,在Android平台中使用https协议的app绝大多数存在安全漏洞,可以直接导致https通讯中的敏感信息泄漏甚至远程代码执行。
https原本是为了加密网络通讯,避免敏感信息被第三方获取而设计的,而如今这些采用了https协议的移动端app却令https加密作用形同虚设,到底是什么原因呢?
https使用不当,让APP遭遇安全风险
通过几大安全公司的漏洞扫描器发现,很多Androida平台中的APP都存在https使用不当的风险,主要体现在app没有安全的使用google提供的API,只是简单的调用https协议,并未对SSL证书有效性做验证。
在google的官方文档中,详细给出了若干种Android平台中使用https的方法,google的API会检查APP应用https证书的合法性,而APP开发测试环境下的https证书,很多都是开发人员自己生成的SSL证书,基本上是无法通过google合法性检查的。因此,绝大多数APP都采用了覆盖google默认的证书检查机制的方式来解决这个问题。
然而,在覆盖默认的证书检查机制后,绝大多数app却没有对SSL证书进行应有的安全性检查,直接接受了所有异常的SSL证书,既不提醒用户存在安全风险,也不终止危险的连接。
在攻击者看来,这种操作漏洞简直让https形同虚设,可以轻易利用这个漏洞进行攻击,最常见的攻击方式是通过伪造wifi进行流量劫持,或者DNS请求劫持、路由链路劫持等,从而获取APP用户全部的https通信数据,包括密码明文,聊天内容,信用卡号等隐私信息。
当某天我们在星巴克静静的坐了一下午,却发现自己银行卡中所有的钱都被无声无息转走了,原因很可能是由于某款APP没有正确使用https而被攻击者钻了空子。
正确使用https,将安全风险扼杀于萌芽
事实上,https可以避免很多安全风险的发生,但前提是必须正确使用https,才能有效抵御中间人攻击。
目前,网页浏览器、移动端应用市场以及应用平台,都会对这类https异常进行报警处理,并提醒用户存在安全风险,相信大家都曾经见过这类提醒页面:
这是因为无论在网页端还是移动端,https都是业界公认的趋势:谷歌Chrome浏览器最新版在采用http协议的网站旁标注“不安全”,其Android平台默认所有APP使用https;苹果safari浏览器对http页面进行限制,并且强制要求iOS App使用https加密连接;微信小程序自2017年起仅支持https接口......
毋庸置疑,https在通讯加密方面发挥着无可替代的作用,但可惜的是,这些关于https的讨论和倡导,并未得到业界同行应有的重视,即使在今天,国内的app依然大面积存在这类未正确使用https而引发的漏洞。
作为中国领先的电子认证服务提供商,天威诚信一直致力于为广大用户构建安全可信的网络空间,推进https在我国的普及。由天威诚信签发的SSL证书,已广泛应用于工商银行、建设银行、腾讯、阿里巴巴等众多企业的网站和APP。同时,为了更好地解决https大面积应用面临的各种问题,诸如:管理不便、下单繁琐、安装故障无法检测、证书报错等,天威诚信推出了自主研发的CIM证书管理平台,为构建安全的互联网环境提供便捷的解决方案。
滴水石穿非一日之功,国内安全行业任重而道远,在此天威诚信也呼吁业界同行,为了建立一个安全互信的网络环境而共同努力。
好文章,需要你的鼓励
微软宣布为Word和Excel推出基于OpenAI的AI代理模式,通过简单提示即可自动生成文档和分析数据。Word用户可享受"氛围写作"功能,利用现有文档组装报告和提案。Excel代理能分析电子表格数据并生成可视化报告。尽管在SpreadsheetBench基准测试中准确率仅为57.2%,低于人类平均水平71.3%,但微软强调其针对实际工作场景优化。此外,微软还发布了基于Anthropic的Office代理,显示其正逐步减少对OpenAI的依赖。
POSTECH研究团队开发出VideoFrom3D框架,能够仅凭粗糙3D模型、摄像机轨迹和参考图片生成高质量场景视频。该方法巧妙结合图像和视频扩散模型优势,通过稀疏锚点生成和几何引导插值两个模块,实现了传统3D制作流程的革命性简化。实验证明该方法在多种复杂场景下表现优异,为3D内容创作提供了更高效的解决方案。
OpenAI为美国ChatGPT用户推出"即时结账"功能,用户可在对话中直接购买Etsy和Shopify商品,无需跳转至外部网站。该功能支持Apple Pay、Google Pay等多种支付方式,并计划接入超过100万家Shopify商户。OpenAI还将开源其代理商务协议技术,与谷歌的代理支付协议形成竞争。这标志着电商购物模式的重大转变,AI聊天机器人可能重塑在线零售发现和支付生态系统。
Meta超级智能实验室开发了ARE平台和Gaia2基准测试,为AI智能体创造了更真实的训练和评估环境。ARE支持异步交互,模拟真实世界的复杂性和不确定性。Gaia2包含1120个场景,评估AI的七项核心能力。实验显示最强模型成功率仅42%,特别在时间管理和处理歧义方面表现较差,揭示了当前AI技术的局限性和改进方向。