1月9日,应用克隆这一移动攻击威胁模型正式对外披露。
腾讯安全玄武实验室与了解创宇404安全实验室,在联合召开的技术研究成就发布会上公布并展示了这一重大研究成就。
工信部互联网安全管理局互联网与数据安全处处长付景广、CNCERT(国家网络应对中心)互联网安全处副处长李佳、腾讯副总裁马斌、腾讯安全玄武实验室负责人于旸(TK教主)、了解创宇首席安全官兼404安全实验室负责人周景平(Heige,人称黑哥)等领导及专家出席了媒体发布会。
据发布会披露,应用克隆是基于移动应用的一些基本设计特征致使的,几乎所有移动应用都适用该攻击模型。
在这个攻击模型的视角下,不少以前觉得威胁不大、厂家不看重的安全问题,都可以轻松克隆用户账户,窃取隐私聊息,盗取账号及资金等。
腾讯安全与了解创宇联手呼吁打造移动安全新思维,互联网+年代的安全形势愈加复杂,只有真的用移动思维来考虑移动安全,才能正确评估安全问题的风险。
据悉,此次披露的应用克隆中涉及的部分技术此前了解创宇404安全实验室负责人、素有漏洞之王称号的黑哥早在2012年底就曾发现,并在2013年公开发表过,同时被海外安全研究员在有关安全研究时作过引用表述,显然这并未引起本应该有些高度看重。
随后,黑哥更是进一步对我们的研究成就进行了系统整理,并过去上报给了GoogleAndroid 团队,但到今天仍未收到过来自官方的任何回复。
黑哥现场解说应用克隆攻击方法的发现过程 据黑哥透露,这种应用克隆是紧急(最高等级)级别的漏洞威胁,被攻击者在遭到攻击之后甚至非常难知道,风险很大,而随移动应用在多年后应用的愈加广泛,其风险性也早已今非昔比。
目前手机操作系统本身对漏洞攻击已有较多防御手段,所以一些安全问题常常被APP厂家和手机厂家忽视。
而只须对这类貌似威胁不大的安全问题进行组合,就能达成应用克隆攻击。
这一漏洞借助方法一旦被不法分子借助,就能轻松克隆获得用户账户权限,盗取用户账号及资金等。
发布会现场以支付宝APP为例展示了应用克隆攻击的成效:在升级到最新Android8.1.0的手机上,借助支付宝APP自己的漏洞,攻击者向用户发送一条包括恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被克隆到攻击者的手机中,然后攻击者就能任意查询用户账户信息,并可进行消费。
但需要强调的是,现在支付宝在最新版本中已修复了该漏洞。
TK教主解说应用克隆原理模型 据介绍,应用克隆对大部分移动应用都有效。
而此次发现的漏洞至少涉及国内Android应用市场十分之一的APP,如支付宝、携程、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有Android用户。
在发现这类漏洞后,腾讯安全玄武实验室根据有关法律法规需要已向有关部门通报了有关信息,并给出了修复策略,防止该漏洞被不法分子借助。
黑哥表示,在不一样的平台,不同场景、环境之下,攻击方法也不尽相同,这考验的是开发职员对全平台、全系统的安全认知,而日常非常难有人面面俱到,或者可能由于开发周期短而忽略了其中的安全问题,或者是整个生态也还无意识的某个环节上的新安全问题出现,了解创宇在国内网站云防御范围独树一帜的同时,现在更面向移动应用推出有关的渗透测试服务,内容包括Android应用、iOS应用与微信服务号、微信小程序等,将以第三方视角全方位帮忙厂家解决移动应用后期的安全性问题。
对于个人用户而言,黑哥表示伴随安全研究成就的不断推进,与此次应用克隆的正式发布,不少厂家已经推出或者正在积极推出应用更新,但不排除个别状况,建议大伙不要随便扫码访问不安全的链接、不点击陌生人发来的网址,同时常见的移动应用要关注厂家公告,准时升级至最新版本,防止个人隐私泄露及财产损失。
