1月9日,“應(yīng)用克隆”這一移動(dòng)攻擊威脅模型正式對(duì)外披露��。騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404實(shí)驗(yàn)室,在聯(lián)合召開(kāi)的技術(shù)研究成果發(fā)布會(huì)上公布并展示了這一重大研究成果��。工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長(zhǎng)付景廣�、CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)網(wǎng)絡(luò)安全處副處長(zhǎng)李佳、騰訊副總裁馬斌���、騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸(TK教主)�����、知道創(chuàng)宇首席安全官周景平等領(lǐng)導(dǎo)及專家出席了新聞發(fā)布會(huì)�����。
付景廣處長(zhǎng)表示:“現(xiàn)在隨著互聯(lián)網(wǎng)及數(shù)字經(jīng)濟(jì)的發(fā)展�����,網(wǎng)絡(luò)安全一方面造福于國(guó)家����、社會(huì),同時(shí)帶來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越突出���。騰訊做了大量的工作并把相關(guān)的情況公之于眾����,提醒大家給予高度的重視����,并且加以針對(duì)性的防范,充分體現(xiàn)了移動(dòng)安全領(lǐng)域的技術(shù)能力�����,我們有能力去發(fā)現(xiàn)沒(méi)有人發(fā)現(xiàn)過(guò)的漏洞�����,體現(xiàn)出非常高的水平。同時(shí)�����,這也體現(xiàn)了騰訊高度的社會(huì)責(zé)任感��,發(fā)現(xiàn)了問(wèn)題及時(shí)提醒���,及時(shí)幫助大家去解決問(wèn)題、防范風(fēng)險(xiǎn)���,這非常值得肯定����?��!?/p>
于旸則表示��,該攻擊模型是基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的�,所以幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型���。在這個(gè)攻擊模型的視角下��,很多以前認(rèn)為威脅不大�、廠商不重視的安全問(wèn)題,都可以輕松“克隆”用戶賬戶�����,竊取隱私信息���,盜取賬號(hào)及資金等�����?����;谠摴裟P?��,騰訊安全玄武實(shí)驗(yàn)室以某個(gè)常被廠商忽略的安全問(wèn)題進(jìn)行檢查,在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞����,比例超過(guò)10%��。在發(fā)現(xiàn)這些漏洞之后�,騰訊安全玄武實(shí)驗(yàn)室通過(guò)CNCERT向廠商報(bào)告了相關(guān)漏洞�,并提供了修復(fù)方法。但考慮到相關(guān)問(wèn)題影響之廣����,難以將相關(guān)信息逐個(gè)通知給所有移動(dòng)應(yīng)用開(kāi)發(fā)商,所以通過(guò)新聞發(fā)布會(huì)希望更多移動(dòng)應(yīng)用開(kāi)發(fā)商了解該問(wèn)題并進(jìn)行自查�����。同時(shí)�,玄武實(shí)驗(yàn)室將提供“玄武支援計(jì)劃”協(xié)助處理����。同時(shí)于旸還指出,移動(dòng)互聯(lián)網(wǎng)時(shí)代的安全形勢(shì)更加復(fù)雜��,只有真正用移動(dòng)思維來(lái)思考移動(dòng)安全��,才能正確評(píng)估安全問(wèn)題的風(fēng)險(xiǎn)����。
(玄武實(shí)驗(yàn)室以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果)
“應(yīng)用克隆”影響范圍涉及國(guó)內(nèi)主流APP�����,騰訊安全公布“玄武支援計(jì)劃”
于旸介紹���,在玄武安全研究團(tuán)隊(duì)研究過(guò)程中,發(fā)現(xiàn)由于現(xiàn)在手機(jī)操作系統(tǒng)本身對(duì)漏洞攻擊已有較多防御措施����,所以一些安全問(wèn)題常常被APP廠商和手機(jī)廠商忽略。而只要對(duì)這些貌似威脅不大的安全問(wèn)題進(jìn)行組合��,就可以實(shí)現(xiàn)“應(yīng)用克隆”攻擊��。這一漏洞利用方式一旦被不法分子利用�,就可以輕松克隆獲取用戶賬戶權(quán)限,盜取用戶賬號(hào)及資金等�。騰訊安全玄武實(shí)驗(yàn)室在研究過(guò)程中還發(fā)現(xiàn),“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404實(shí)驗(yàn)室和一些國(guó)外研究人員也曾提及過(guò)�,但顯然在業(yè)界并未引起足夠重視。
在發(fā)布會(huì)現(xiàn)場(chǎng)�,玄武實(shí)驗(yàn)室以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級(jí)到最新安卓8.1.0的手機(jī)上,利用支付寶APP自身的漏洞���,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信��,用戶一旦點(diǎn)擊��,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中����,然后“攻擊者”就可以任意查看用戶賬戶信息,并可進(jìn)行消費(fèi)�����。目前����,支付寶在最新版本中已修復(fù)了該漏洞。
據(jù)介紹��,“應(yīng)用克隆”對(duì)大多數(shù)移動(dòng)應(yīng)用都有效���。而玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國(guó)內(nèi)安卓應(yīng)用市場(chǎng)十分之一的APP,如支付寶�����、攜程、餓了么等多個(gè)主流APP均存在漏洞�,所以該漏洞幾乎影響國(guó)內(nèi)所有安卓用戶。在發(fā)現(xiàn)這些漏洞后�����,騰訊安全玄武實(shí)驗(yàn)室通過(guò)CNCERT向廠商通報(bào)了相關(guān)信息���,并給出了修復(fù)方案��,避免該漏洞被不法分子利用����。
發(fā)布會(huì)上�,李佳副處長(zhǎng)代表CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)網(wǎng)絡(luò)安全處和CNVD對(duì)騰訊安全玄武實(shí)驗(yàn)室所做的工作表示感謝。他表示����,騰訊安全玄武實(shí)驗(yàn)室在第一時(shí)間向CNCERT平臺(tái)報(bào)送了相關(guān)的漏洞,為相關(guān)的事件應(yīng)急響應(yīng)提前提供了很寶貴的時(shí)間�。CNVD在獲取到漏洞的相關(guān)情況之后,安排了相關(guān)的技術(shù)人員對(duì)漏洞進(jìn)行了驗(yàn)證�,并且也為漏洞分配了漏洞編號(hào)(CVE201736682),于2017年12月10號(hào)向27家具體的APP發(fā)送了點(diǎn)對(duì)點(diǎn)的漏洞安全通報(bào)���,同時(shí)提供了漏洞的詳細(xì)情況以及建立了修復(fù)方案�。
考慮到該漏洞影響的廣泛性,以及配合“應(yīng)用克隆”攻擊模型后的巨大威脅��,騰訊安全玄武實(shí)驗(yàn)室現(xiàn)場(chǎng)發(fā)布了“玄武支援計(jì)劃”�����。于旸表示��,由于對(duì)該漏洞的檢測(cè)無(wú)法自動(dòng)化完成�,必須人工分析,玄武實(shí)驗(yàn)室無(wú)法對(duì)整個(gè)安卓應(yīng)用市場(chǎng)進(jìn)行檢測(cè)���,所以通過(guò)此次新聞發(fā)布會(huì)���,希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞,并進(jìn)行修復(fù)����。對(duì)用戶量大�、涉及重要數(shù)據(jù)的APP,玄武實(shí)驗(yàn)室也愿意提供相關(guān)技術(shù)援助�����。
適應(yīng)網(wǎng)絡(luò)安全發(fā)展新趨勢(shì)騰訊安全首倡 “移動(dòng)安全新思維”
更值得關(guān)注的是,于旸在此次報(bào)告中首次提出安全廠商要建立“移動(dòng)安全新思維”�,用移動(dòng)思維來(lái)思考移動(dòng)安全,來(lái)適應(yīng)新的移動(dòng)互聯(lián)網(wǎng)安全發(fā)展趨勢(shì)���。在他看來(lái)����,PC時(shí)代的安全思維對(duì)移動(dòng)時(shí)代來(lái)說(shuō)是不夠的��。移動(dòng)設(shè)備有諸多不同于PC的特點(diǎn)���,而移動(dòng)應(yīng)用也有諸多不同于傳統(tǒng)軟件的特點(diǎn)�。在PC時(shí)代�����,最重要的是系統(tǒng)自身的安全����。而移動(dòng)設(shè)備系統(tǒng)自身的安全性比PC要高很多,但在端云一體的移動(dòng)時(shí)代�����,最重要的其實(shí)是用戶賬號(hào)體系和數(shù)據(jù)的安全。而要保護(hù)好這些�����,光搞好系統(tǒng)自身安全是不夠的���。這使得移動(dòng)時(shí)代的安全問(wèn)題更加復(fù)雜多變�,涉及的方面也更多���。需要手機(jī)廠商��、應(yīng)用開(kāi)發(fā)商�、網(wǎng)絡(luò)安全研究者等多方攜手�����,共同重視����。
(于旸在此次報(bào)告中首次提出安全廠商要建立“移動(dòng)安全新思維)
“傳統(tǒng)的利用軟件漏洞進(jìn)行攻擊的思路,一般是先用漏洞獲得控制,再植入后門��。好比想長(zhǎng)期進(jìn)出你酒店的房間����,就要先悄悄尾隨你進(jìn)門��,再悄悄把鎖弄壞��,以后就能隨時(shí)進(jìn)來(lái)?���,F(xiàn)代移動(dòng)操作系統(tǒng)已經(jīng)針對(duì)這種模式做了防御,不是說(shuō)不可能再這樣攻擊���,但難度極大��。如果我們換一個(gè)思路:進(jìn)門后��,找到你的酒店房卡��,復(fù)制一張��,就可以隨時(shí)進(jìn)出了��。不但可以隨時(shí)進(jìn)出��,還能以你的名義在酒店里消費(fèi)��。目前����,大部分移動(dòng)應(yīng)用在設(shè)計(jì)上都沒(méi)有考慮這種攻擊方式?!庇跁D表示,移動(dòng)互聯(lián)網(wǎng)時(shí)代�,安全廠商必須意識(shí)到各種新技術(shù)新設(shè)計(jì)會(huì)帶來(lái)更多新問(wèn)題,要用移動(dòng)思維來(lái)評(píng)估每一個(gè)安全風(fēng)險(xiǎn)����,才能避免最終在安全上積重難返。
作為國(guó)際領(lǐng)先的安全攻防研究團(tuán)隊(duì)�,騰訊安全玄武實(shí)驗(yàn)室聚集了頂尖的技術(shù)人才,在很多安全領(lǐng)域都取得了突破進(jìn)展��。而此次“應(yīng)用克隆”漏洞利用方式的發(fā)現(xiàn)��,也得益于玄武實(shí)驗(yàn)室的深厚技術(shù)儲(chǔ)備����。在不久前結(jié)束的2017年烏鎮(zhèn)世界互聯(lián)網(wǎng)大會(huì)上,騰訊安全玄武實(shí)驗(yàn)室和中國(guó)科學(xué)院計(jì)算所大數(shù)據(jù)安全組合作的“阿圖因”軟件空間安全測(cè)繪系統(tǒng)入選了大會(huì)評(píng)出的前58大“世界互聯(lián)網(wǎng)領(lǐng)先科技成果”。
騰訊安全聯(lián)合實(shí)驗(yàn)室技術(shù)創(chuàng)新持續(xù)賦能六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域
在此次技術(shù)研究成果發(fā)布會(huì)上�,騰訊副總裁馬斌發(fā)布了《騰訊安全前沿技術(shù)研究白皮書(shū)》,對(duì)目前中國(guó)面臨的安全形勢(shì)�����,以及騰訊安全聯(lián)合實(shí)驗(yàn)室在科技創(chuàng)新����、人才建設(shè)等方面的成果進(jìn)行了全面盤點(diǎn)�,并首次披露了騰訊安全聯(lián)合實(shí)驗(yàn)室成立以來(lái)的十大安全研究成果。
作為國(guó)內(nèi)首個(gè)互聯(lián)網(wǎng)安全實(shí)驗(yàn)室矩陣��,騰訊安全聯(lián)合實(shí)驗(yàn)室旗下涵蓋科恩���、玄武�、湛瀘�、云鼎、反病毒�����、反詐騙�、移動(dòng)安全七大實(shí)驗(yàn)室,實(shí)驗(yàn)室專注安全技術(shù)研究及安全攻防體系搭建,安全防范和保障范圍覆蓋了連接���、系統(tǒng)�����、應(yīng)用�、信息�、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域����,并在車聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全�、人工智能、云安全�、自研殺毒引擎、安全人才培養(yǎng)�、社會(huì)責(zé)任等諸多方面取得突破進(jìn)展。
2016年����,憑借“全球首次遠(yuǎn)程無(wú)物理接觸方式入侵特斯拉汽車”研究成果,騰訊安全聯(lián)合實(shí)驗(yàn)室科恩實(shí)驗(yàn)室獲得特斯拉官方最高獎(jiǎng)勵(lì)及榮譽(yù)���。同時(shí)�,在反詐騙領(lǐng)域,騰訊安全反詐騙實(shí)驗(yàn)室攜手公安部��、運(yùn)營(yíng)商等相關(guān)合作伙伴共同推出的“守護(hù)者計(jì)劃”�����,利用“反詐騙智慧大腦”等新技術(shù)武器����,精準(zhǔn)打擊詐騙黑產(chǎn)��,保障用戶資金安全�。另外,在2017年上半年的“WannaCry”����、“暗云Ⅲ”等病毒事件中,騰訊安全反病毒實(shí)驗(yàn)室��、騰訊安全云鼎實(shí)驗(yàn)室共同針對(duì)用戶網(wǎng)絡(luò)安全���、云端安全迅速制定防御方案���,并開(kāi)發(fā)出包括勒索病毒免疫工具�、文檔守護(hù)者��、云鏡等多款工具����,第一時(shí)間降低了國(guó)內(nèi)用戶和企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
(馬斌表示騰訊安全聯(lián)合實(shí)驗(yàn)室將進(jìn)一步推動(dòng)互聯(lián)網(wǎng)安全生態(tài)的快速發(fā)展)
而作為騰訊安全七大實(shí)驗(yàn)室矩陣之一����,此次發(fā)布“應(yīng)用克隆”漏洞利用方式的玄武實(shí)驗(yàn)室,在業(yè)內(nèi)素有“漏洞挖掘機(jī)”稱號(hào)����。2016年中,騰訊安全玄武實(shí)驗(yàn)室和騰訊安全聯(lián)合實(shí)驗(yàn)室旗下的其他六大實(shí)驗(yàn)室相互配合���,累計(jì)為微軟���、蘋(píng)果、谷歌����、Adobe四大國(guó)際頂尖廠商提交漏洞269個(gè)��,位居國(guó)內(nèi)首位����。2016
年 5 月的 Adobe Reader 安全公告中更是一次性包含了 32
個(gè)玄武實(shí)驗(yàn)室報(bào)告的漏洞�,從而創(chuàng)下了該產(chǎn)品歷史上單個(gè)公告中報(bào)告漏洞最多的紀(jì)錄。在發(fā)現(xiàn)應(yīng)用克隆攻擊技術(shù)之前��,騰訊安全玄武實(shí)驗(yàn)室還針對(duì)條碼閱讀器的“BadBarcode”研究揭示了影響整個(gè)行業(yè)的存在了近二十年的重大安全隱患����,得到國(guó)際安全界的廣泛關(guān)注和稱譽(yù),并因此榮獲
WitAwards“年度最佳研究成果”獎(jiǎng)����。
馬斌表示���,隨著騰訊安全聯(lián)合實(shí)驗(yàn)室在反詐騙��、反病毒����、漏洞安全���、云安全����、車聯(lián)網(wǎng)、網(wǎng)絡(luò)安全人才建設(shè)���、技術(shù)研究等領(lǐng)域?qū)⒊掷m(xù)輸出能力��,賦能行業(yè)����、企業(yè)���,將進(jìn)一步推動(dòng)互聯(lián)網(wǎng)安全生態(tài)的快速發(fā)展��。
