【990.am】黑客帮你花钱,们与厂商系统里

这次应用克隆漏洞方面,腾讯安全和国家互联网应急中心的配合就是一个不错的案例。CNVD(国家互联网应急中心旗下的信息安全漏洞共享平台)在获取到漏洞的相关情况之后,第一时间安排了相关的技术人员对漏洞进行了验证,也为漏洞分配了漏洞编号,然后向这次漏洞涉及到的27家App的相关企业发送了点对点的漏洞安全通报。同时,在通报中也向各个企业提供了漏洞的详细情况以及建立了修复方案。

尚未修复该漏洞的就多了,包括百度外卖、携程、京东到家、聚美优品、国美、12306智能火车票、vivo应用市场、豆瓣、同程旅游等。

国家互联网应急中心网络安全处副处长李佳表示:“今天,我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢。玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞。这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式,可以说影响范围特别大,危害也是巨大的,刚才通过相关的演示也看到了。玄武实验室在第一时间向我们平台报送了相关的漏洞,可以说为我们对相关的事件应急响应提供了宝贵的时间”。

随着安全的价值越来越高,这种情况后来有所好转。在绿盟期间,TK发现并报告了Microsoft、Cisco等公司产品的多个安全漏洞,并且拿到了当时微软支付的最高额度奖金十万美元。

在其公布的一份名单中,包括三星、华为、小米、OPPO、vivo等手机厂商都存在修复漏洞滞后的现象,包括它们的最新旗舰机型。

尽管CNVD已于12月10日对27家APP进行了点对点的通报,不过,截至发布会召开时,时隔1个月,还有不少APP未修复漏洞或未予反馈。“发出通报后不久,CNVD就收到了支付宝、百度外卖、国美等大部分APP的反馈,表示他们已经在修复漏洞”,李佳表示,“由于各个团队的技术能力有差距,目前有的APP已经修复漏洞了,有的APP还没有修复。截至到1月8日,还没有收到反馈的APP包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。在此,也希望这10家没有及时反馈的企业切实加强网络安全运营能力,落实网络安全法规的主体责任要求”。

实际上,“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过,但并未在业界引起足够重视。可见,魔鬼的细节常常被视而不见,黑科技不仅离普通用户很远,有时候科技界都没有正视他们。

在演示中,攻击者成功帮助用户消费了325元。

不过,令人费解的是,此番被点名的10家APP中,多家APP在接受记者采访时表示,并未获得来自CNVD有关该漏洞的通知。同时亦表示,如果获得了通知,肯定会积极反馈和修复。

去年7月,腾讯科恩实验室就实现了对特斯拉Model X
的远程攻击,远程控制刹车、车门、后备箱,操纵车灯以及广播
。最早在2016年9月,该实验室宣布他们以“远程无物理接触”的方式首次成功入侵了特斯拉汽车。这一举动甚至引来特斯拉CEO马斯克的亲笔信致谢。

990.am 1

网络安全领域暗藏大量“黑天鹅” 逾13%手机APP应用存重大漏洞

3

短信只是其中一种诱导方式,该漏洞还可以被黑客隐藏在二维码、新闻页面等,只要用户不小心点到了就会中招。

作为被举例演示的APP,记者从支付宝相关负责人处了解到,支付宝已在一个月前对APP进行了升级,修复了这一安卓漏洞,支付宝用户的账户安全不会受到影响。

玄武实验室的负责人TK教主就是学医出身,甚至被称之为妇科圣手。TK大学毕业的时候面临两个选择,一个是遵循专业成为临床医生,另一个是加入绿盟成为职业安全研究员。TK认为计算机科学非常适合探索,说得直白一些,在计算机上搞实验所需物质条件很低,但医生不能在病人身上尝试自己的实验。

我相信这些安全人员都有一种浪漫的情怀来做这样一件事情,但通过我的观察,腾讯对这样一款漏洞的公布举行这样一场发布会,本质上除了警告这些App厂商提高安全等级、修复漏洞之外,还可能是为了宣传腾讯在安全领域的技术实力。1月14日腾讯安全还有一场更盛大的峰会“2018年守护者计划大会”在北京举行,届时马化腾将从深圳跑来北京为该峰会站台。

1月9日,腾讯安全玄武实验室宣布,新近发现了一种新型的移动攻击威胁模型,并将其命名为“应用克隆”。发布会上,玄武实验室以支付宝APP为例展示了“应用克隆”攻击的“效果”:在升级到最新安卓8.1.0的手机上,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户瞬间就被“克隆”到“攻击者”的手机中,然后“攻击者”在自己手机上可以任意查看用户账户信息,并可进行消费。

1

在宣布上述27款App安全漏洞的同时,TK也强调了手机厂商在其中的责任,“发现所有测试的手机当中都存在几个月之前就已经公开披露的漏洞。”

值得一提的是,存在“应用克隆”漏洞的并非支付宝APP一家,玄武实验室负责人于旸指出,大量主流APP都存在该漏洞,玄武实验室检测了国内安卓系统中的200个知名APP,其中27家存在该漏洞,占比超过13%,其中包括聚美优品、国美、墨迹天气、一点资讯、携程、百度外卖、京东到家、饿了么、WiFi万能钥匙、小米生活、同程旅游、百度旅游、豆瓣、驴妈妈、赶集网、易车、咕咚、虎扑等。

TK也坦诚说,玄武实验室的精力有限,此次只检测了国内主流的200款APP。玄武的阿图因系统可以实现对移动应用问题的自动检测,但因为此次应用克隆漏洞利用模型的复杂性,是难以实现通过自动化程序实现彻底检测。

需要强调的是,该漏洞仅存在于上述App的安卓版,iPhone上的这些App不受影响,并且截至目前,还没有发现该漏洞被黑客利用的实际案例。

由于并非个例且事关重大,玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台。CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号(CNE201736682)。12月10日,CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况及建立了修复方案。

2

黑客可以利用该漏洞远程“克隆”一个跟你账户一模一样的App,还顺便帮你花钱甚至干各种让你无法想象的勾当。

需要提及的是,此前勒索病毒之所以能在短时间内波及全球,其中一个重要原因就是警示信息沟通不及时。

【990.am】黑客帮你花钱,们与厂商系统里。最近,腾讯安全玄武实验室负责人“TK教主”于旸就用短信为载体,现场披露了”应用克隆“这一移动攻击威胁模型。玄武实验室以支付宝App为例展示了攻击效果:在升级到最新安卓8.1.0的手机上,利用支付宝App自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。

这就引申出一个问题,即原本黑客并没有发现这个漏洞,玄武实验室此时公布了这个漏洞,对于那些尚未修复的App而言,黑客完全可以立即发起对其攻击,这一定程度上,玄武反而成了帮凶。

对此,有业界人士指出,这些知名APP的技术团队实力都较强,况且如此,数量更为庞大非一线APP,存在漏洞的比例应该只高不低,如果不采取紧急措施,在网络领域发生“黑天鹅”的比例,甚至要远高于资本市场。

“应用克隆”漏洞披露后,不少网友都大户吃惊,也有很多公司和应用市场希望找玄武实验室帮助检测或提供扫描方案。我看到腾讯玄武实验室微博是这么回应的:

TK说,具体到今天公布的“应用克隆”,它影响的不只是一两家厂商,安卓应用市场里有几十万、上百万款应用,他们只是检查了200款,也不可能全检查一遍。“通过我们公布了这个漏洞让更多厂商对自家应用自查,这其实就是披露的意义。你知道问题是一回事,然后你整个去实现攻击又是一回事,所以漏洞披露是需要权衡的一个过程。”TK向我解释道。

受精力所限,此次玄武试验室只是选取了较为知名的200个APP进行了测试,且13%存在“应用克隆”漏洞。不难想见,还有大量存在漏洞的APP在“裸奔”,使用这些APP的用户的手机随时可能遭到攻击。“还有很多APP,他们有问题,但是他们自己不知道,没有任何一个人有精力把全中国的APP都检查一遍,更多的是需要厂商自查,这才是我们此次披露的意义”,于旸表示。

【990.am】黑客帮你花钱,们与厂商系统里。所以,看过支付宝示例视频的大家不要以为这是个简单的工序,实则暗藏诸多技术细节。不同于电影中双方黑客电脑前的对抗情节,现实中的威胁打击考验的是漏洞修复、安全管理等多方面综合能力。

【990.am】黑客帮你花钱,们与厂商系统里。目前,支付宝等部分App已经修复了该漏洞,但还有10款App尚未修复,另外,部分已经修复的App仍然存在修复不完全的情况。

【990.am】黑客帮你花钱,们与厂商系统里。2017年5月份始发并肆虐全球的“勒索病毒”,至今还让人们心有余悸。不过,绝大多数手机用户或许并不清楚,2017年底,他们刚刚又躲过了一场潜在的“洗劫”。

【990.am】黑客帮你花钱,们与厂商系统里。【990.am】黑客帮你花钱,们与厂商系统里。说到底,这不是哪一个app或者手机厂商的问题,也并不是一个纯粹技术攻防的战场,而是整个行业的问题。国内来说,BAT和360都需要在安全领域肩负起一定的社会责任,和相关部门一起,构建一整套有效的安全预警和修复的机制。

目前国家互联网应急中心在旗下的CNVD(国家信息安全漏洞共享平台)对该漏洞(官方称其为“Android
WebView存在跨域访问漏洞”)进行公告,对漏洞进行了分析,并给出了“高危”的安全评级以及修复建议:

相关文章