0
| 本文作者: 李勤 | 2018-01-09 20:28 |
1月9日,騰訊匯。
下午3點的騰訊安全有一場發布會,不到2點,主要演講人騰訊玄武實驗室負責人 TK(于旸) 已經到位,知道創宇404Team的老大黑哥(周景平)也現身了。
會前,據知道創宇一位市場部人士向雷鋒網宅客頻道透露,黑哥幾年前發現了一個漏洞,報給了谷歌,但是谷歌沒搭理他。
“是一點回音都沒有嗎 ?”雷鋒網宅客頻道問。
“是,好像是說谷歌覺得可能不是它那邊的責任。”該人士說。
下午3點25分,原計劃開始的發布會還沒開始。
騰訊方面同時傳來了信息::騰訊玄武實驗室上報了一個重大漏洞,這屬于一個應用克隆的漏洞,騰訊方面還提出了漏洞利用方法。
這也透露了一個信息,這個漏洞應該是影響安卓系統的多款應用,不然工信部領導不會來站臺。
3點半左右,發布會開始,懸念揭曉。
在手機上點擊一個網站鏈接,你可以看到一個看上去正常的支付寶搶紅包頁面,但噩夢從你點擊鏈接就開始——此時你的支付寶的信息全部可以在攻擊者的機器上呈現,攻擊者借此完全可以用你的支付寶消費。
你一無所知。
這是當前利用漏洞傳遞惡意代碼的一種典型方式。TK稱,在手機上點擊惡意鏈接,有漏洞的應用就會被完全控制。
這是一種“應用克隆”漏洞攻擊。
有意思的是,整套攻擊中涉及的風險點其實都是已知的。2013年3月,黑哥在他的博客里就提到了這種風險。
TK 稱,多點耦合產生了可怕漏洞,所謂多點耦合,是A點看上去沒問題,B點看上去也沒問題,但是A和B組合起來,就組成了一個大問題。
說白了,是一個系統的設計問題。
移動設備普遍使用了可信計算、漏洞緩解、權限隔離等安全技術,但移動技術自身的各種特點又給安全引入了更多的新變量,新產量可能耦合出新風險。
這種應用克隆漏洞就是這種類型的漏洞。目前,支付寶該漏洞已修復。
黑哥介紹,其實在2012年3月,他就已經形成了克隆攻擊的思路。當時他新買了臺設備,發現微博數據移到另外一臺手機上,手機上會自動完成登陸的過程。發現問題后,他再次進行測試,然后將漏洞詳情報給了安卓官方,但是谷歌連郵件都沒回復。
黑哥一怒之下在博客上進行發布,但谷歌方面現在依然沒有完全修復該漏洞。
在發布會現場,TK 發布了演示視頻,實現了克隆賬戶和竊取用戶照片的攻擊效果。
目前,據騰訊方面的研究,市面上 200 多款安卓應用中,27款 App 有此漏洞。漏洞列表及影響如下,其中18個可被遠程攻擊,9個只能從本地攻擊。2017年12月7日,騰訊將27個漏洞報告給了國家信息安全漏洞共享平臺(cnvd) ,截止到2018年1月9日,有11個 App 進行了修復,但其中3個修復存在缺陷。
國家互聯網應急中心(CNCERT)網絡安全處副處長李佳介紹,支付寶、百度外賣、國美等已經就該漏洞進行反饋,截止到昨天,還未收到京東到家、虎撲等十家廠商的反饋。
以下為TK 和黑哥的采訪記錄,雷鋒網略有刪減和整理。
TK:我們今天看到影響的是若干款 App ,其實整個發現是陸陸續續的一個過程,不是一次性的一個過程。最初發現就是去年年底。
TK:漏洞本身是我們發現的,我們發現后及時通報給了國家相關的主管部門,然后通過主管部門去通知應用廠商修補。
TK:沒有,至少我們沒有知道的案例。雖然有可能通過這種途徑發起攻擊,但是我們并不知道是否有人真的有發起這種攻擊。
黑哥:普通用戶防范的問題還是比較頭疼的,剛才的視頻演示也只是一個場景,第一個視頻中,攻擊者發了一個短信,讓你去點,還有一種場景是可以掃一個二維碼,也是誘使你訪問一個網頁。其實對于一些普通用戶來說,首先別人發給你的鏈接,少點,不太確定的二維碼,不要掃一掃。最重要的一點是,關注官方的升級,包括操作系統和 App 的官方升級。
TK:如果用戶今天打開你的手機,然后把這些已經修復的 App 升級到最新版,其實就已經不再受這些漏洞的影響了。
TK:多點耦合不是一個漏洞,是一種思路。舉一個例子,你可能想跟蹤一個人,但是你跟蹤這一個人,可能你只掌握他一方面的信息是比較困難的,如果你只掌握了他鞋子的品牌和尺寸,可能不能精確定位一個人。如果把一個人的各方面特征放在一起時,可以形成綜合性的準確判定,但整體的判定是由一系列的細節形成的。
剛才講的今天大家看到的展示里,最終大家看到的我們控制應用產生的效果是克隆這種方式。要用這個漏洞去實現克隆,這個漏洞本身是由多個耦合點形成的漏洞,和克隆結合起來也成了耦合整個鏈條中的環節,成了齒輪中的一個,最終達到了這樣一整套的東西。
黑哥:我們做漏洞攻防研究的首先是攻,對于個人來說,在發現攻擊方式的時候更多的想到的是攻,至于這個問題到底要誰解決,最起碼那個時候沒有想那么多。只是說這個東西很普遍,或許在操作平臺系統上面有對應的防御機制能夠做這種東西。但是這種設計上的,說缺陷或者是個性也好,設計上的問題要在操作層面系統去解決的話,他們(編者注:指谷歌)也很頭痛。
即使你把這個問題解決了,說不定還有其他的問題,需要不停地改架構之類。就算把安全問題解決了,會不會給用戶的性能帶來一些問題?例如,這兩天 CPU 的漏洞。很多人還在思考,操作系統修復漏洞時會降低用戶的 CPU 使用率。它會降低性能,這樣很多人就會去思考,這個漏洞打的補丁到底是打還是不打?很多問題沒有一個明確的答案。
安卓廠商有可能比較積極一點的是,認可這確實是一個大問題,而且是普遍存在的。有可能做得比較好一點的廠商會來一個提示,或者安卓廠商認為在不影響其他用戶使用的功能和性能下,有必要修復,廠商可以做修補,但大平臺考慮的問題更多,不完全是安全性的問題。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
