1月9日��,“應用克隆”這一移動攻擊威脅模型正式對外披露���。
騰訊安全玄武實驗室與知道創宇404安全實驗室,在聯合召開的技術研究成果發布會上公布并展示了這一重大研究成果。
工信部網絡安全管理局網絡與數據安全處處長付景廣、CNCERT(國家互聯網應急中心)網絡安全處副處長李佳、騰訊副總裁馬斌、騰訊安全玄武實驗室負責人于旸(TK教主)�����、知道創宇首席安全官兼404安全實驗室負責人周景平(Heige,人稱黑哥)等領導及專家出席了新聞發布會。
據發布會披露��,“應用克隆”是基于移動應用的一些基本設計特點導致的�����,幾乎所有移動應用都適用該攻擊模型���。
在這個攻擊模型的視角下��,很多以前認為威脅不大、廠商不重視的安全問題�����,都可以輕松“克隆”用戶賬戶���,竊取隱私信息�����,盜取賬號及資金等。
騰訊安全與知道創宇聯手呼吁建立“移動安全新思維”,移動互聯網時代的安全形勢更加復雜���,只有真正用移動思維來思考移動安全,才能正確評估安全問題的風險。
據了解��,此次披露的“應用克隆”中涉及的部分技術此前知道創宇404安全實驗室負責人���、素有“漏洞之王”稱號的黑哥早在2012年底就曾發現���,并在2013年公開發表過���,同時被國外安全研究員在相關安全研究時作過引用表述���,顯然這并未引起本應該有的高度重視��。
隨后��,黑哥更是進一步對自己的研究成果進行了系統整理,并曾經上報給了谷歌Android 團隊���,但至今仍未收到過來自官方的任何回復。
黑哥現場講解“應用克隆”攻擊方式的發現過程 據黑哥透露�����,這種“應用克隆”屬于緊急(最高等級)級別的漏洞威脅���,被攻擊者在受到攻擊之后甚至很難察覺���,危害極大���,而隨移動應用在多年后應用的更加廣泛���,其危害性也早已今非昔比���。
現在手機操作系統本身對漏洞攻擊已有較多防御措施���,所以一些安全問題常常被APP廠商和手機廠商忽略�����。
而只要對這些貌似威脅不大的安全問題進行組合,就可以實現“應用克隆”攻擊���。
這一漏洞利用方式一旦被不法分子利用,就可以輕松克隆獲取用戶賬戶權限��,盜取用戶賬號及資金等。
發布會現場以支付寶APP為例展示了“應用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上,利用支付寶APP自身的漏洞���,“攻擊者”向用戶發送一條包含惡意鏈接的手機短信,用戶一旦點擊,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶賬戶信息�����,并可進行消費�����。
但必須強調的是�����,目前支付寶在最新版本中已修復了該“漏洞”��。
TK教主講解“應用克隆”原理模型 據介紹���,“應用克隆”對大多數移動應用都有效�����。
而此次發現的“漏洞”至少涉及國內安卓應用市場十分之一的APP,如支付寶���、攜程、餓了么等多個主流APP均存在“漏洞”�����,所以該漏洞幾乎影響國內所有安卓用戶��。
在發現這些“漏洞”后�����,騰訊安全玄武實驗室按照相關法律法規要求已向有關部門通報了相關信息,并給出了修復方案��,避免該“漏洞”被不法分子利用。
黑哥表示���,在不同的平臺���,不同場景��、環境之下�����,攻擊手段也不盡相同��,這考驗的是開發人員對全平臺�����、全系統的安全認知,而現實中很難有人面面俱到,或者可能因為開發周期短而忽視了其中的安全問題�����,或者是整個生態也還無意識的某個環節上的新安全問題出現���,知道創宇在國內網站云防御領域獨樹一幟的同時��,目前更面向移動應用推出相關的滲透測試服務���,內容包含安卓應用���、iOS應用以及微信服務號�����、小程序等��,將以第三方視角全面幫忙廠商解決移動應用后期的安全性問題。
對于個人用戶而言���,黑哥表示隨著安全研究成果的不斷推進,以及此次“應用克隆”的正式發布��,很多廠商已經推出或者正在積極推出應用更新���,但是不排除個別情況���,建議大家不要隨意掃描二維碼訪問不安全的鏈接���、不點擊陌生人發來的網址���,同時常用的移動應用要關注廠商公告���,及時升級至最新版本���,避免個人隱私泄露及財產損失�����。
