騰訊安全&知道創(chuàng)宇發(fā)布“克隆”攻擊 安卓用戶均受影響

1月9日，“應(yīng)用克隆”這一移動(dòng)攻擊威脅模型正式對(duì)外披露。騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404安全實(shí)驗(yàn)室，在聯(lián)合召開(kāi)的技術(shù)研究成果發(fā)布會(huì)上公布并展示了這一重大研究成果。工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長(zhǎng)付景廣、CNCERT（國(guó)家互聯(lián)網(wǎng)應(yīng)急中心）網(wǎng)絡(luò)安全處副處長(zhǎng)李佳、騰訊副總裁馬斌、騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸(TK教主)、知道創(chuàng)宇首席安全官兼404安全實(shí)驗(yàn)室負(fù)責(zé)人周景平(Heige,人稱黑哥)等領(lǐng)導(dǎo)及專家出席了新聞發(fā)布會(huì)。

據(jù)發(fā)布會(huì)披露，“應(yīng)用克隆”是基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的，幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。在這個(gè)攻擊模型的視角下，很多以前認(rèn)為威脅不大、廠商不重視的安全問(wèn)題，都可以輕松“克隆”用戶賬戶，竊取隱私信息，盜取賬號(hào)及資金等。騰訊安全與知道創(chuàng)宇聯(lián)手呼吁建立“移動(dòng)安全新思維”，移動(dòng)互聯(lián)網(wǎng)時(shí)代的安全形勢(shì)更加復(fù)雜，只有真正用移動(dòng)思維來(lái)思考移動(dòng)安全，才能正確評(píng)估安全問(wèn)題的風(fēng)險(xiǎn)。

據(jù)了解，此次披露的“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404安全實(shí)驗(yàn)室負(fù)責(zé)人、素有“漏洞之王”稱號(hào)的黑哥早在2012年底就曾發(fā)現(xiàn)，并在2013年公開(kāi)發(fā)表過(guò)，同時(shí)被國(guó)外安全研究員在相關(guān)安全研究時(shí)作過(guò)引用表述，顯然這并未引起本應(yīng)該有的高度重視。隨后，黑哥更是進(jìn)一步對(duì)自己的研究成果進(jìn)行了系統(tǒng)整理，并曾經(jīng)上報(bào)給了谷歌Android 團(tuán)隊(duì)，但至今仍未收到過(guò)來(lái)自官方的任何回復(fù)。

黑哥現(xiàn)場(chǎng)講解“應(yīng)用克隆”攻擊方式的發(fā)現(xiàn)過(guò)程

據(jù)黑哥透露，這種“應(yīng)用克隆”屬于緊急(最高等級(jí))級(jí)別的漏洞威脅，被攻擊者在受到攻擊之后甚至很難察覺(jué)，危害極大，而隨移動(dòng)應(yīng)用在多年后應(yīng)用的更加廣泛，其危害性也早已今非昔比?，F(xiàn)在手機(jī)操作系統(tǒng)本身對(duì)漏洞攻擊已有較多防御措施，所以一些安全問(wèn)題常常被APP廠商和手機(jī)廠商忽略。而只要對(duì)這些貌似威脅不大的安全問(wèn)題進(jìn)行組合，就可以實(shí)現(xiàn)“應(yīng)用克隆”攻擊。這一漏洞利用方式一旦被不法分子利用，就可以輕松克隆獲取用戶賬戶權(quán)限，盜取用戶賬號(hào)及資金等。

發(fā)布會(huì)現(xiàn)場(chǎng)以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果：在升級(jí)到最新安卓8.1.0的手機(jī)上，利用支付寶APP自身的漏洞，“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信，用戶一旦點(diǎn)擊，其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中，然后“攻擊者”就可以任意查看用戶賬戶信息，并可進(jìn)行消費(fèi)。但必須強(qiáng)調(diào)的是，目前支付寶在最新版本中已修復(fù)了該“漏洞”。

TK教主講解“應(yīng)用克隆”原理模型

據(jù)介紹，“應(yīng)用克隆”對(duì)大多數(shù)移動(dòng)應(yīng)用都有效。而此次發(fā)現(xiàn)的“漏洞”至少涉及國(guó)內(nèi)安卓應(yīng)用市場(chǎng)十分之一的APP，如支付寶、攜程、餓了么等多個(gè)主流APP均存在“漏洞”，所以該漏洞幾乎影響國(guó)內(nèi)所有安卓用戶。在發(fā)現(xiàn)這些“漏洞”后，騰訊安全玄武實(shí)驗(yàn)室按照相關(guān)法律法規(guī)要求已向有關(guān)部門(mén)通報(bào)了相關(guān)信息，并給出了修復(fù)方案，避免該“漏洞”被不法分子利用。

黑哥表示，在不同的平臺(tái)，不同場(chǎng)景、環(huán)境之下，攻擊手段也不盡相同，這考驗(yàn)的是開(kāi)發(fā)人員對(duì)全平臺(tái)、全系統(tǒng)的安全認(rèn)知，而現(xiàn)實(shí)中很難有人面面俱到，或者可能因?yàn)殚_(kāi)發(fā)周期短而忽視了其中的安全問(wèn)題，或者是整個(gè)生態(tài)也還無(wú)意識(shí)的某個(gè)環(huán)節(jié)上的新安全問(wèn)題出現(xiàn)，知道創(chuàng)宇在國(guó)內(nèi)網(wǎng)站云防御領(lǐng)域獨(dú)樹(shù)一幟的同時(shí)，目前更面向移動(dòng)應(yīng)用推出相關(guān)的滲透測(cè)試服務(wù)，內(nèi)容包含安卓應(yīng)用、iOS應(yīng)用以及微信服務(wù)號(hào)、小程序等，將以第三方視角全面幫忙廠商解決移動(dòng)應(yīng)用后期的安全性問(wèn)題。

對(duì)于個(gè)人用戶而言，黑哥表示隨著安全研究成果的不斷推進(jìn)，以及此次“應(yīng)用克隆”的正式發(fā)布，很多廠商已經(jīng)推出或者正在積極推出應(yīng)用更新，但是不排除個(gè)別情況，建議大家不要隨意掃描二維碼訪問(wèn)不安全的鏈接、不點(diǎn)擊陌生人發(fā)來(lái)的網(wǎng)址，同時(shí)常用的移動(dòng)應(yīng)用要關(guān)注廠商公告，及時(shí)升級(jí)至最新版本，避免個(gè)人隱私泄露及財(cái)產(chǎn)損失。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。