腾讯安全发现多款安卓手机漏洞，可致APP自动安装及运行多漏洞组合串联腾讯移动安全实验室成功

　　当我们的生活被形形色色的手机应用包围，你或许还没发现那些潜在的安全风险已经浮出水面。 10月24日， GeekPwn 2019国际安全极客大赛在上海召开，腾讯移动安全实验室参赛团队现场成功破解三款主流品牌安卓手机，利用漏洞实现在手机中自动安装、运行APP ，获取手机的GPS位置信息等操作。

----腾讯安全发现多款安卓手机漏洞，可致APP自动安装及运行//----

　　多漏洞组合串联腾讯移动安全实验室成功破解3款主流安卓手机

　　移动互联网时代，用户越来越依赖智能手机，在手机购物、娱乐聊天过程中，在手机上保留了大量敏感的隐私信息，如手机号码、身份证号、银行卡账户、密码等，一旦手机被攻破导致泄漏，将给用户带来极大的危害。随着网络技术的更新，不法分子从原来只靠电话忽悠，进化到联合恶意链接、病毒APP ，诱导用户下载安装。此次在GeekPwn 2019大赛上，腾讯移动安全实验室就通过扫描二维码访问用户手机中的网址，实现了应用程序自动安装。

----腾讯安全发现多款安卓手机漏洞，可致APP自动安装及运行//----

　　来自腾讯移动安全实验室的高级研究员韩紫东、韩景维选择了三款不同品牌安卓手机作为攻破对象，详细地展示了攻破手法及步骤。两位选手首先用三款手机分别扫描二维码，使其跳转至一个网站。该网站里的内容是利用手机漏洞构造好的一些链接，一旦被攻击的手机访问这些链接，就会触发相关的漏洞，当漏洞一个一个被触发并组合串联起来，最终会静默安装指定的应用程序，并将其调起。在现场验证中，腾讯移动安全实验室的两位选手在不到20分钟的时间里，先后攻破三款手机，完成了恶意APP安装，并成功获取到指定手机的GPS位置信息。

　　腾讯安全开放能力助力设备厂商维护安全

　　腾讯移动安全实验室在赛场上的精彩表现，充分展现了腾讯安全在漏洞挖掘方面的技术领先性。

　　伴随着移动终端的多样性发展和智能化演进，终端上所承载的各类应用已成为移动运营商新的收入来源和核心业务增长点，如手机网上支付、电子商务、基于位置的服务等富有特色的一系列增值服务，这将极大地激发运营商、终端厂商、增值服务提供商对终端安全保障体系的关注和投入，移动终端安全已成为新的产业链。

　　腾讯移动安全实验室专注于移动生态安全研究和物联网生态安全研究，为腾讯众多的移动软件提供安全防御能力和黑产识别、打击能力。针对设备APP ，基于Android和IOS平台开发语言的VMP保护方案能大幅提高攻击者逆向分析APP进行漏洞挖掘的成本和精力;在协议保护方面，对数据进行加密等安全处理行为能够保证数据内容不被窃取或篡改，保证数据传输层的协议及内容安全;在固件方面， IoT安全编译器通过对Native代码的深度保护，提供攻击者固件漏洞挖掘的成本。