2017年勒索病毒的餘(yú)威(wēi)還未完(wán)全散盡,2018年伊始,就又爆發了多(duō)起網絡安全事件,繼曝出CPU芯片(piàn)級漏洞事件(jiàn)之後不久,騰訊安全玄武實驗室首次發現“應用克隆”攻(gōng)擊模型,隻需用戶點擊一(yī)個鏈接,攻擊者便可輕鬆(sōng)克隆用戶的賬(zhàng)戶權限,盜取用戶賬號及資金(jīn)等。支付寶、攜程等國內主流APP均在受影響之列,波及幾(jǐ)乎全部的安(ān)卓手(shǒu)機用戶。
值得關注的(de)是,本次“應用克隆”攻擊模型的搭建並非基於某一個單(dān)獨的漏洞(dòng)造成的安全隱患,而是由一係列此前已公開卻被(bèi)大家普遍不重視的漏洞,耦合在一起產生的風險。這背後不僅反映出在(zài)經過十多年漏洞(dòng)攻防之後,大家放鬆了對漏洞的警惕;更折射出當下的移動安全防護工作亟需建立新思維來應對。
十餘年網絡攻防陷入(rù)“舒適區”漏洞威(wēi)脅逐漸(jiàn)被低估
1月9日,“應用克隆”攻擊(jī)模型,在騰訊安全玄武實驗室與知道創宇聯合召開的技術研究成果發布會上,以一個三分鍾的演示視頻正式對外披露。全新的攻擊思路和意想不到的攻擊效果迅速吸引了在場行業專(zhuān)家及(jí)媒體人(rén)士的關注(zhù),CNCERT(國(guó)家互聯網應急中心)也在(zài)當(dāng)晚21點左右正式(shì)發布安全公告(gào),將其中涉及的漏洞分配編(biān)號,並評級為“高危”。
與其(qí)他攻擊模型不同的是,“應用克隆”攻擊模型中利用的所有安全風險點,都是幾年前就公開(kāi)的。利用手機瀏覽器訪問本地文件的風險,2009年之前業界就有共識;應用內嵌瀏覽器設置不當(dāng)的風險(xiǎn),2012年7月就(jiù)有相(xiàng)關漏洞被披露;克隆攻擊的風險,知道創宇首席安全官周景平在2013年就公開發表過研究,並提交穀(gǔ)歌,但是“一直沒得到回(huí)應”。
在於暘看來,這背後隱藏的其實是網絡安全在攻防十餘年之後的趨勢。他在(zài)發布(bù)會(huì)現場指出,最近十幾(jǐ)年來(lái),操作係統的安全性不斷的提高,可能有一(yī)些人會產(chǎn)生一種(zhǒng)錯覺(jiào),覺得漏洞的危險沒有那麽(me)大,可能十年前(qián)的人會對漏洞更(gèng)加敏感一些(xiē)。
(於暘在發布會現場介紹移動安全(quán)趨勢)
一方麵是,安全工作者和攻擊者(zhě),在不斷(duàn)地攻防交鋒中,雙方(fāng)各自(zì)發展出了很多(duō)的技術。操作係(xì)統當中已經增加了大(dà)量的(de)安全防禦功能,傳統的各種漏洞(dòng)攻擊思路,其實在操作係統裏麵也有相應的對抗模式;另(lìng)一方麵是,攻擊者利用(yòng)漏洞發起網絡(luò)攻擊的成本變高,“你家裏的電腦或者手機,可能就是幾千塊錢。能夠實現克隆目的的漏洞,可能這一個漏洞在黑市上(shàng)要幾十萬美元甚至是上(shàng)百萬美(měi)元。”
“一切都(dōu)在變化,隻有變化本身是不變”,於暘進一步指(zhǐ)出(chū),過去十幾年,網絡攻擊大致經曆了三個階段,不法黑客初(chū)期利用用戶薄弱的安全意識進行欺詐的“誘導執行”,到中期利用大量軟件漏(lòu)洞傳播惡意代碼,現在又再次回歸到偽裝欺騙的“誘導執行”。
這在2017年爆發的多起勒索病毒事件上也得到了類似印證(zhèng),起初爆發的WannaCry僅僅是利用漏洞,但是最近在東歐爆發的Bad Rabbit上,不(bú)法黑客(kè)就加入了水坑攻擊等欺騙性手段。
耦合不當導致(zhì)重大設計漏洞移動安全(quán)需要新思維
除了反(fǎn)映(yìng)出目(mù)前行業普遍陷入(rù)攻防(fáng)“舒(shū)適區”的錯覺之外,“應(yīng)用克隆”攻擊模型應用的攻擊(jī)思路更是揭示了當下移動安全遭遇的全新挑戰。
於暘表示,操作係統在攻防鬥爭中所增加的防禦措施針對的大多(duō)是實現類(lèi)漏(lòu)洞(dòng)。而對設計類安全問題目前業界仍未能較好解決。“設計類安(ān)全問題,有很多是多點耦合導致的,相關每(měi)一個問題可能都是已知的,但組合起來所能(néng)導致的風險則很少有人意識到”。
而在“應用克隆”攻擊模型披露之(zhī)前,設(shè)計類漏(lòu)洞的(de)威脅其實已經浮出水麵。騰訊安(ān)全玄武實驗(yàn)室最早在2015年就發現設計類漏洞(dòng)BadBarcode,攻擊者通過掃描惡意條碼甚至(zhì)發射激光(guāng),即可在連接著條碼閱讀器的(de)電腦上執行任意操作,影響世界上過去二十年間所有條碼閱讀(dú)器廠商生產的大部分產品,該研究獲得WitAwards年度安全研究成果獎(jiǎng);2016年,騰訊安全玄武實驗室發現(xiàn)另一重大漏洞BadTunnel,用戶打(dǎ)開一(yī)個惡意網(wǎng)址、任何一種Office文件、PDF文件,或插上一個U盤,攻擊者就可以劫持用(yòng)戶的網絡竊取隱私,甚至植入木馬,該漏洞影響(xiǎng)過(guò)去二十年間所有Windows版本,從Windows 95到 Windows 10。
而就在(zài)“應用克(kè)隆”攻擊(jī)模型正式對外披露(lù)之前,因特爾(ěr)被曝存在CPU底層漏洞:“幽靈(líng)”“崩潰”,波及全球(qiú)幾乎所有的手機、電腦、雲計算(suàn)產品。騰(téng)訊安全玄武在發(fā)布會對此也做了(le)重點分析,並發布“幽靈”漏洞在(zài)線檢測工具,幫助用戶一鍵檢測自己的設(shè)備是否容易(yì)遭受漏洞攻擊
基於此,於暘(yáng)在發布會現(xiàn)場(chǎng)針對“應用克隆”背後的耦合風(fēng)險首次提出安全廠商要建立“移動安全(quán)新思維”。他指出(chū),在端雲一體的移動時代,最重(chóng)要的其實是用戶(hù)賬號體係和數據的安全。而(ér)要保護好這些,光搞好係(xì)統自身安全是不夠的(de)。這(zhè)使得移動時代的安全問題更加複雜多變,涉及的方麵也更多。需要手機廠商、應用開發商、網絡安全研究者等多方攜手,共同(tóng)重視。
值得慶幸的是,“應用克隆”攻擊模型的發現我們領先於(yú)不法黑客,占據了攻防主動,受影響的APP廠商都已完(wán)成(chéng)或正在積極的修複當中,這也進一步堅定了行業內外攜手共建健康網絡安全環境的(de)決心,畢竟正如(rú)TK教(jiāo)主所言“洪水來(lái)臨(lín)的時候沒有一滴雨滴是無辜的”。
香(xiāng)港昆侖科(kē)技有限公司(sī)主要致力於地(dì)鐵,高速公路隧道,石油化(huà)工,冶金核電,海工造船。橋梁礦山等(děng)行業內部(bù)應急專用通訊係統,風景區,機(jī)場遊客求助管理係統,市政SOS,110,119報(bào)警係統。特種工(gōng)業IP電(diàn)話機(jī),SOS 電話機,IP調度係統的研發(fā)、生產和銷售。
