1月9日����,“應(yīng)用克隆”這一移動攻擊威脅模型正式對外披露���。騰訊安全玄武實驗室與知道創(chuàng)宇404實驗室,在聯(lián)合召開的技術(shù)研究成果發(fā)布會上公布并展示了這一重大研究成果��。工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長付景廣����、CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)網(wǎng)絡(luò)安全處副處長李佳����、騰訊副總裁馬斌、騰訊安全玄武實驗室負責人于旸(TK教主)�、知道創(chuàng)宇首席安全官周景平等領(lǐng)導及專家出席了新聞發(fā)布會。
付景廣處長表示:“現(xiàn)在隨著互聯(lián)網(wǎng)及數(shù)字經(jīng)濟的發(fā)展�,網(wǎng)絡(luò)安全一方面造福于國家、社會�����,同時帶來的網(wǎng)絡(luò)安全問題也越來越突出���。騰訊做了大量的工作并把相關(guān)的情況公之于眾�,提醒大家給予高度的重視�,并且加以針對性的防范���,充分體現(xiàn)了移動安全領(lǐng)域的技術(shù)能力,我們有能力去發(fā)現(xiàn)沒有人發(fā)現(xiàn)過的漏洞�,體現(xiàn)出非常高的水平。同時����,這也體現(xiàn)了騰訊高度的社會責任感,發(fā)現(xiàn)了問題及時提醒�,及時幫助大家去解決問題、防范風險�,這非常值得肯定?����!?/p>
于旸則表示�����,該攻擊模型是基于移動應(yīng)用的一些基本設(shè)計特點導致的����,所以幾乎所有移動應(yīng)用都適用該攻擊模型。在這個攻擊模型的視角下����,很多以前認為威脅不大��、廠商不重視的安全問題�����,都可以輕松“克隆”用戶賬戶����,竊取隱私信息�,盜取賬號及資金等�。基于該攻擊模型����,騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞�����,比例超過10%�����。在發(fā)現(xiàn)這些漏洞之后,騰訊安全玄武實驗室通過CNCERT向廠商報告了相關(guān)漏洞����,并提供了修復(fù)方法。但考慮到相關(guān)問題影響之廣���,難以將相關(guān)信息逐個通知給所有移動應(yīng)用開發(fā)商�����,所以通過新聞發(fā)布會希望更多移動應(yīng)用開發(fā)商了解該問題并進行自查����。同時���,玄武實驗室將提供“玄武支援計劃”協(xié)助處理�����。同時于旸還指出�����,移動互聯(lián)網(wǎng)時代的安全形勢更加復(fù)雜����,只有真正用移動思維來思考移動安全,才能正確評估安全問題的風險�。
(玄武實驗室以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果)
“應(yīng)用克隆”影響范圍涉及國內(nèi)主流APP,騰訊安全公布“玄武支援計劃”
于旸介紹����,在玄武安全研究團隊研究過程中,發(fā)現(xiàn)由于現(xiàn)在手機操作系統(tǒng)本身對漏洞攻擊已有較多防御措施�,所以一些安全問題常常被APP廠商和手機廠商忽略。而只要對這些貌似威脅不大的安全問題進行組合��,就可以實現(xiàn)“應(yīng)用克隆”攻擊�����。這一漏洞利用方式一旦被不法分子利用���,就可以輕松克隆獲取用戶賬戶權(quán)限,盜取用戶賬號及資金等��。騰訊安全玄武實驗室在研究過程中還發(fā)現(xiàn)��,“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404實驗室和一些國外研究人員也曾提及過,但顯然在業(yè)界并未引起足夠重視�。
在發(fā)布會現(xiàn)場,玄武實驗室以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上����,利用支付寶APP自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信�����,用戶一旦點擊�,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶賬戶信息�,并可進行消費。目前����,支付寶在最新版本中已修復(fù)了該漏洞。
據(jù)介紹�,“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效。而玄武實驗室此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP����,如支付寶、攜程����、餓了么等多個主流APP均存在漏洞��,所以該漏洞幾乎影響國內(nèi)所有安卓用戶����。在發(fā)現(xiàn)這些漏洞后����,騰訊安全玄武實驗室通過CNCERT向廠商通報了相關(guān)信息,并給出了修復(fù)方案��,避免該漏洞被不法分子利用��。
發(fā)布會上����,李佳副處長代表CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)網(wǎng)絡(luò)安全處和CNVD對騰訊安全玄武實驗室所做的工作表示感謝�����。他表示�,騰訊安全玄武實驗室在第一時間向CNCERT平臺報送了相關(guān)的漏洞,為相關(guān)的事件應(yīng)急響應(yīng)提前提供了很寶貴的時間��。CNVD在獲取到漏洞的相關(guān)情況之后,安排了相關(guān)的技術(shù)人員對漏洞進行了驗證�����,并且也為漏洞分配了漏洞編號(CVE201736682)��,于2017年12月10號向27家具體的APP發(fā)送了點對點的漏洞安全通報��,同時提供了漏洞的詳細情況以及建立了修復(fù)方案����。
考慮到該漏洞影響的廣泛性,以及配合“應(yīng)用克隆”攻擊模型后的巨大威脅���,騰訊安全玄武實驗室現(xiàn)場發(fā)布了“玄武支援計劃”����。于旸表示�����,由于對該漏洞的檢測無法自動化完成���,必須人工分析��,玄武實驗室無法對整個安卓應(yīng)用市場進行檢測��,所以通過此次新聞發(fā)布會�����,希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞�,并進行修復(fù)。對用戶量大��、涉及重要數(shù)據(jù)的APP�����,玄武實驗室也愿意提供相關(guān)技術(shù)援助����。
適應(yīng)網(wǎng)絡(luò)安全發(fā)展新趨勢騰訊安全首倡 “移動安全新思維”
更值得關(guān)注的是,于旸在此次報告中首次提出安全廠商要建立“移動安全新思維”����,用移動思維來思考移動安全,來適應(yīng)新的移動互聯(lián)網(wǎng)安全發(fā)展趨勢��。在他看來��,PC時代的安全思維對移動時代來說是不夠的�����。移動設(shè)備有諸多不同于PC的特點�����,而移動應(yīng)用也有諸多不同于傳統(tǒng)軟件的特點���。在PC時代�,最重要的是系統(tǒng)自身的安全��。而移動設(shè)備系統(tǒng)自身的安全性比PC要高很多����,但在端云一體的移動時代,最重要的其實是用戶賬號體系和數(shù)據(jù)的安全����。而要保護好這些,光搞好系統(tǒng)自身安全是不夠的�����。這使得移動時代的安全問題更加復(fù)雜多變,涉及的方面也更多��。需要手機廠商���、應(yīng)用開發(fā)商���、網(wǎng)絡(luò)安全研究者等多方攜手,共同重視���。
(于旸在此次報告中首次提出安全廠商要建立“移動安全新思維)
“傳統(tǒng)的利用軟件漏洞進行攻擊的思路��,一般是先用漏洞獲得控制���,再植入后門。好比想長期進出你酒店的房間����,就要先悄悄尾隨你進門,再悄悄把鎖弄壞��,以后就能隨時進來?�,F(xiàn)代移動操作系統(tǒng)已經(jīng)針對這種模式做了防御,不是說不可能再這樣攻擊��,但難度極大���。如果我們換一個思路:進門后,找到你的酒店房卡���,復(fù)制一張��,就可以隨時進出了���。不但可以隨時進出,還能以你的名義在酒店里消費����。目前,大部分移動應(yīng)用在設(shè)計上都沒有考慮這種攻擊方式�����?��!庇跁D表示�,移動互聯(lián)網(wǎng)時代,安全廠商必須意識到各種新技術(shù)新設(shè)計會帶來更多新問題��,要用移動思維來評估每一個安全風險,才能避免最終在安全上積重難返��。
作為國際領(lǐng)先的安全攻防研究團隊�,騰訊安全玄武實驗室聚集了頂尖的技術(shù)人才�,在很多安全領(lǐng)域都取得了突破進展。而此次“應(yīng)用克隆”漏洞利用方式的發(fā)現(xiàn)�,也得益于玄武實驗室的深厚技術(shù)儲備。在不久前結(jié)束的2017年烏鎮(zhèn)世界互聯(lián)網(wǎng)大會上����,騰訊安全玄武實驗室和中國科學院計算所大數(shù)據(jù)安全組合作的“阿圖因”軟件空間安全測繪系統(tǒng)入選了大會評出的前58大“世界互聯(lián)網(wǎng)領(lǐng)先科技成果”。
騰訊安全聯(lián)合實驗室技術(shù)創(chuàng)新持續(xù)賦能六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域
在此次技術(shù)研究成果發(fā)布會上�����,騰訊副總裁馬斌發(fā)布了《騰訊安全前沿技術(shù)研究白皮書》��,對目前中國面臨的安全形勢�����,以及騰訊安全聯(lián)合實驗室在科技創(chuàng)新��、人才建設(shè)等方面的成果進行了全面盤點,并首次披露了騰訊安全聯(lián)合實驗室成立以來的十大安全研究成果��。
作為國內(nèi)首個互聯(lián)網(wǎng)安全實驗室矩陣�,騰訊安全聯(lián)合實驗室旗下涵蓋科恩、玄武�����、湛瀘��、云鼎���、反病毒、反詐騙�����、移動安全七大實驗室�����,實驗室專注安全技術(shù)研究及安全攻防體系搭建���,安全防范和保障范圍覆蓋了連接���、系統(tǒng)��、應(yīng)用����、信息����、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域�,并在車聯(lián)網(wǎng)安全、物聯(lián)網(wǎng)安全��、人工智能�����、云安全��、自研殺毒引擎�����、安全人才培養(yǎng)����、社會責任等諸多方面取得突破進展��。
2016年�,憑借“全球首次遠程無物理接觸方式入侵特斯拉汽車”研究成果�,騰訊安全聯(lián)合實驗室科恩實驗室獲得特斯拉官方最高獎勵及榮譽。同時�,在反詐騙領(lǐng)域,騰訊安全反詐騙實驗室攜手公安部��、運營商等相關(guān)合作伙伴共同推出的“守護者計劃”����,利用“反詐騙智慧大腦”等新技術(shù)武器��,精準打擊詐騙黑產(chǎn)��,保障用戶資金安全����。另外,在2017年上半年的“WannaCry”����、“暗云Ⅲ”等病毒事件中����,騰訊安全反病毒實驗室���、騰訊安全云鼎實驗室共同針對用戶網(wǎng)絡(luò)安全��、云端安全迅速制定防御方案���,并開發(fā)出包括勒索病毒免疫工具、文檔守護者��、云鏡等多款工具�����,第一時間降低了國內(nèi)用戶和企業(yè)的網(wǎng)絡(luò)安全風險�。
(馬斌表示騰訊安全聯(lián)合實驗室將進一步推動互聯(lián)網(wǎng)安全生態(tài)的快速發(fā)展)
而作為騰訊安全七大實驗室矩陣之一,此次發(fā)布“應(yīng)用克隆”漏洞利用方式的玄武實驗室�,在業(yè)內(nèi)素有“漏洞挖掘機”稱號。2016年中���,騰訊安全玄武實驗室和騰訊安全聯(lián)合實驗室旗下的其他六大實驗室相互配合����,累計為微軟、蘋果�、谷歌、Adobe四大國際頂尖廠商提交漏洞269個���,位居國內(nèi)首位����。2016
年 5 月的 Adobe Reader 安全公告中更是一次性包含了 32
個玄武實驗室報告的漏洞��,從而創(chuàng)下了該產(chǎn)品歷史上單個公告中報告漏洞最多的紀錄���。在發(fā)現(xiàn)應(yīng)用克隆攻擊技術(shù)之前�,騰訊安全玄武實驗室還針對條碼閱讀器的“BadBarcode”研究揭示了影響整個行業(yè)的存在了近二十年的重大安全隱患�,得到國際安全界的廣泛關(guān)注和稱譽���,并因此榮獲
WitAwards“年度最佳研究成果”獎�����。
馬斌表示����,隨著騰訊安全聯(lián)合實驗室在反詐騙、反病毒��、漏洞安全���、云安全�����、車聯(lián)網(wǎng)��、網(wǎng)絡(luò)安全人才建設(shè)��、技術(shù)研究等領(lǐng)域?qū)⒊掷m(xù)輸出能力�,賦能行業(yè)����、企業(yè),將進一步推動互聯(lián)網(wǎng)安全生態(tài)的快速發(fā)展�����。
