首页 > 科技频道 > 应用新闻

安全狗工程师大叔实力解读:微信小程序安全吗

2017年01月11日 15:57:54   来源:中国网

   这两天微信小程序的热度不减,狗哥的朋友圈已经被刷屏了,到处都在晒用了小程序以后删了哪些APP(有小伙伴一脸坏笑地跟狗哥说,要把狗哥卸掉,狗哥傲娇地表示,狗哥生活在服务器上,这样是删不掉的!)。

  狗哥这两天也试了一下,觉得有的时候也蛮方便,但是出于职业习惯,非常自然地想到了一个问题,微信的小程序足够安全吗?会不会有人通过小程序的某些漏洞,从我的账户里把钱转走?

  狗哥专门咨询了我们的一些工程师,来听听他们怎么说吧!

  小程序的机制上有漏洞吗?

  比较漏洞的风险首先要有一个合理的参照对象。

  与小程序这个建立在微信这个大的系统上的前端表现形式相比,原先的APP由各方自行开发,各家代码复杂程度不一,业务系统也有很大区别,所以在安全性上表现不一;小程序的开发则是由微信提供接口,只需要调用微信的接口就可以实现相应的功能。

  这产生了两个结果

  1、原先针对APP的攻击方法可能面临失效;

  2、微信的架构如果被发现漏洞,可能波及所有小程序。

  以微信明星般的重量级产品的地位,腾讯在安全性能上是不易疏忽的,所以暂时可以放心。

  所以一个合适的结论是,小程序相对于原来,安全性得到了较好的统一(而不是单纯地提高或者下降),由于微信在架构和安全上做得比较到位,所以尽管存在理论上的风险,但是依然是相对更安全的。

  (不过狗哥还是忍不住暗搓搓地想,要是这几天真的能发现一些问题就好了。并不是看热闹不嫌事儿大,而是问题越早发现,对于用户和企业来讲,未来的风险就越小)

  理论上小程序的风险可能会在哪?

  先科普一下微信小程序的架构,狗哥不是专业的,说错了欢迎大家指出来哈。

  先说结论,微信小程序是一种插件。

  插件的特点是:基础程序(微信)通过一些接口向插件(小程序)提供功能和服务。

  而根据我们可爱的工程师大叔介绍,小程序在Android上和iOS上,分别使用X5内核接口和JS Core接口(虽然狗哥并没有听懂……)

  经由接口,微信可以把一些服务提供给小程序,比如支付等等;如果有些功能没有提供相应的接口,那么小程序就做不到这些事情。但是微信的架构可能存在某些漏洞,导致小程序能够利用这些漏洞接触到它本来不应该接触到的信息,比如地理位置信息、零钱余额什么的,那么就存在一定的安全隐患。

  理论上讲,只是理论上!攻击者可能做到这两件事:

  1、攻击微信本身。如果微信的架构存在问题,小程序找到了突破执行环境的办法,从而在微信主程序中获得代码执行,就成功制造了代码执行的漏洞,进而可以,比如说,往朋友圈发一张你手机里不可描述内容的图片。

  2、攻击其他的小程序。理论上也存在这样的漏洞,导致一个小程序非法接触到了其他小程序的数据,甚至获得改动数据的权限。

  不过上述两种情况的攻击力过于强大了,真实的攻击多数来自于脚本,从技术上讲不太可能这么厉害,能够非法接触到一些信息已经很不容易了,所以想想就好,不必太当真。

  微信会怎么预防这些威胁?

  就在小程序推出的当天,TSRC(腾讯安全应急响应中心)也发布了英雄帖《微信小程序如约而至,安全需要你的守护》,宣布即日起到2017年1月20日,“重金”收集有关微信小程序的漏洞和威胁情报。

  作为主场,微信一定会审核每个想上线的小程序,以腾讯的技术实力,出篓子的可能性不高,起码恶意的小程序是不会轻易上架的。

  不过人算不如天算,就算提前审核再严格,有些恶意程序仍然有可能绕过监管。可爱的工程师大叔的观点是,更安全的做法是为小程序专门建立一个沙盒环境,即使出了问题,依然是有限和可控的。

  哎,不多说了,手机内存不够了,狗哥要去删APP了……

  来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

  文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

  中文科技资讯登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述,也不代表本网对其真实性负责。您若对该稿件内容有任何疑问或质疑,请即与中文科技资讯联系,本网将迅速给您回应并做处理。

[责任编辑: CIT03]
分享到微信

最新

新闻

苹果打压价格 为何国产手机品牌只能谋求涨价止损

2017年,手机“涨声”不断,一边是任正非对手机增量不增效不满意,要求提高手机利润率,另一边是不少互联网手机品牌谋求涨价止损。即便是占据手机利润90%以上的苹果仍然不满意,进一步提高利润。提高利润率原本不稀奇,但是,苹果反常规的做法让人大跌眼镜,甚至有业界人士认为苹果“太狠了”。

科学

科学家新发现三个不同类型的近地小行星

日前,中国科学院紫金山天文台赵海斌团队发现了3个近地小行星2017 BK3、2017 BL3、2017 BM3,这是继2016年11月2日该团队首次发现具有潜在威胁的近地小行星2016 VC1后的又一新发现。

融合

人工智能语音助手将会如何发展?看看这5项预测

语音分析创业公司VoiceLabs发布的《2017语音报告》对微软、三星、谷歌(微博)和亚马逊等公司在未来的语音助手大战中的表现进行了预测。

专栏

MWC发布 诺基亚将推Withings手表新品

据外媒报道,此前诺基亚品牌授权商曾确认他们将在MWC2017上公布三款新的智能手机,就在今天诺基亚旗下的智能手表厂牌Withings也确认将在MWC上发布重大消息。有分析人士认为,Withings公司即将推出他们加入诺基亚之后的首款智能手表,或者是一些智能追踪应用。