1月9日����,“應(yīng)用克隆”這一移動(dòng)攻擊威脅模型正式對(duì)外披露��。
騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404安全實(shí)驗(yàn)室��,在聯(lián)合召開的技術(shù)研究成果發(fā)布會(huì)上公布并展示了這一重大研究成果����。
工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長(zhǎng)付景廣����、CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)網(wǎng)絡(luò)安全處副處長(zhǎng)李佳、騰訊副總裁馬斌��、騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸(TK教主)����、知道創(chuàng)宇首席安全官兼404安全實(shí)驗(yàn)室負(fù)責(zé)人周景平(Heige,人稱黑哥)等領(lǐng)導(dǎo)及專家出席了新聞發(fā)布會(huì)���。
據(jù)發(fā)布會(huì)披露,“應(yīng)用克隆”是基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的�,幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。
在這個(gè)攻擊模型的視角下�����,很多以前認(rèn)為威脅不大��、廠商不重視的安全問題��,都可以輕松“克隆”用戶賬戶�����,竊取隱私信息�����,盜取賬號(hào)及資金等�����。
騰訊安全與知道創(chuàng)宇聯(lián)手呼吁建立“移動(dòng)安全新思維”,移動(dòng)互聯(lián)網(wǎng)時(shí)代的安全形勢(shì)更加復(fù)雜�,只有真正用移動(dòng)思維來思考移動(dòng)安全,才能正確評(píng)估安全問題的風(fēng)險(xiǎn)�。
據(jù)了解,此次披露的“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404安全實(shí)驗(yàn)室負(fù)責(zé)人���、素有“漏洞之王”稱號(hào)的黑哥早在2012年底就曾發(fā)現(xiàn)�,并在2013年公開發(fā)表過��,同時(shí)被國(guó)外安全研究員在相關(guān)安全研究時(shí)作過引用表述�,顯然這并未引起本應(yīng)該有的高度重視。
隨后���,黑哥更是進(jìn)一步對(duì)自己的研究成果進(jìn)行了系統(tǒng)整理,并曾經(jīng)上報(bào)給了谷歌Android 團(tuán)隊(duì)����,但至今仍未收到過來自官方的任何回復(fù)。
黑哥現(xiàn)場(chǎng)講解“應(yīng)用克隆”攻擊方式的發(fā)現(xiàn)過程 據(jù)黑哥透露��,這種“應(yīng)用克隆”屬于緊急(最高等級(jí))級(jí)別的漏洞威脅�,被攻擊者在受到攻擊之后甚至很難察覺,危害極大���,而隨移動(dòng)應(yīng)用在多年后應(yīng)用的更加廣泛��,其危害性也早已今非昔比�。
現(xiàn)在手機(jī)操作系統(tǒng)本身對(duì)漏洞攻擊已有較多防御措施,所以一些安全問題常常被APP廠商和手機(jī)廠商忽略��。
而只要對(duì)這些貌似威脅不大的安全問題進(jìn)行組合�����,就可以實(shí)現(xiàn)“應(yīng)用克隆”攻擊��。
這一漏洞利用方式一旦被不法分子利用��,就可以輕松克隆獲取用戶賬戶權(quán)限�,盜取用戶賬號(hào)及資金等。
發(fā)布會(huì)現(xiàn)場(chǎng)以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級(jí)到最新安卓8.1.0的手機(jī)上�,利用支付寶APP自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信���,用戶一旦點(diǎn)擊����,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中����,然后“攻擊者”就可以任意查看用戶賬戶信息�����,并可進(jìn)行消費(fèi)�。
但必須強(qiáng)調(diào)的是���,目前支付寶在最新版本中已修復(fù)了該“漏洞”��。
TK教主講解“應(yīng)用克隆”原理模型 據(jù)介紹��,“應(yīng)用克隆”對(duì)大多數(shù)移動(dòng)應(yīng)用都有效��。
而此次發(fā)現(xiàn)的“漏洞”至少涉及國(guó)內(nèi)安卓應(yīng)用市場(chǎng)十分之一的APP��,如支付寶���、攜程����、餓了么等多個(gè)主流APP均存在“漏洞”,所以該漏洞幾乎影響國(guó)內(nèi)所有安卓用戶�。
在發(fā)現(xiàn)這些“漏洞”后,騰訊安全玄武實(shí)驗(yàn)室按照相關(guān)法律法規(guī)要求已向有關(guān)部門通報(bào)了相關(guān)信息,并給出了修復(fù)方案��,避免該“漏洞”被不法分子利用���。
黑哥表示�����,在不同的平臺(tái)����,不同場(chǎng)景�����、環(huán)境之下��,攻擊手段也不盡相同���,這考驗(yàn)的是開發(fā)人員對(duì)全平臺(tái)����、全系統(tǒng)的安全認(rèn)知��,而現(xiàn)實(shí)中很難有人面面俱到,或者可能因?yàn)殚_發(fā)周期短而忽視了其中的安全問題����,或者是整個(gè)生態(tài)也還無意識(shí)的某個(gè)環(huán)節(jié)上的新安全問題出現(xiàn),知道創(chuàng)宇在國(guó)內(nèi)網(wǎng)站云防御領(lǐng)域獨(dú)樹一幟的同時(shí)����,目前更面向移動(dòng)應(yīng)用推出相關(guān)的滲透測(cè)試服務(wù),內(nèi)容包含安卓應(yīng)用����、iOS應(yīng)用以及微信服務(wù)號(hào)、小程序等�,將以第三方視角全面幫忙廠商解決移動(dòng)應(yīng)用后期的安全性問題。
對(duì)于個(gè)人用戶而言��,黑哥表示隨著安全研究成果的不斷推進(jìn)��,以及此次“應(yīng)用克隆”的正式發(fā)布�����,很多廠商已經(jīng)推出或者正在積極推出應(yīng)用更新���,但是不排除個(gè)別情況����,建議大家不要隨意掃描二維碼訪問不安全的鏈接��、不點(diǎn)擊陌生人發(fā)來的網(wǎng)址���,同時(shí)常用的移動(dòng)應(yīng)用要關(guān)注廠商公告�,及時(shí)升級(jí)至最新版本���,避免個(gè)人隱私泄露及財(cái)產(chǎn)損失����。
