2017年勒索病毒的余威還未完全散盡����,2018年伊始�,就又爆發了多起網絡安全事件,繼曝出CPU芯片級漏洞事件之后不久���,騰訊安全玄武實驗室首次發現“應用克隆”攻擊模型,只需用戶點擊一個鏈接�����,攻擊者便可輕松克隆用戶的賬戶權限,盜取用戶賬號及資金等�����。支付寶�����、攜程等國內主流APP均在受影響之列�,波及幾乎全部的安卓手機用戶。
值得關注的是����,本次“應用克隆”攻擊模型的搭建并非基于某一個單獨的漏洞造成的安全隱患,而是由一系列此前已公開卻被大家普遍不重視的漏洞����,耦合在一起產生的風險。這背后不僅反映出在經過十多年漏洞攻防之后����,大家放松了對漏洞的警惕;更折射出當下的移動安全防護工作亟需建立新思維來應對。
十余年網絡攻防陷入“舒適區”漏洞威脅逐漸被低估
1月9日����,“應用克隆”攻擊模型����,在騰訊安全玄武實驗室與知道創宇聯合召開的技術研究成果發布會上�����,以一個三分鐘的演示視頻正式對外披露�����。全新的攻擊思路和意想不到的攻擊效果迅速吸引了在場行業專家及媒體人士的關注�����,CNCERT(國家互聯網應急中心)也在當晚21點左右正式發布安全公告���,將其中涉及的漏洞分配編號���,并評級為“高危”。
與其他攻擊模型不同的是��,“應用克隆”攻擊模型中利用的所有安全風險點��,都是幾年前就公開的�����。利用手機瀏覽器訪問本地文件的風險����,2009年之前業界就有共識;應用內嵌瀏覽器設置不當的風險,2012年7月就有相關漏洞被披露;克隆攻擊的風險��,知道創宇首席安全官周景平在2013年就公開發表過研究����,并提交谷歌,但是“一直沒得到回應”��。
在于旸看來���,這背后隱藏的其實是網絡安全在攻防十余年之后的趨勢���。他在發布會現場指出,最近十幾年來�,操作系統的安全性不斷的提高,可能有一些人會產生一種錯覺�����,覺得漏洞的危險沒有那么大,可能十年前的人會對漏洞更加敏感一些��。
(于旸在發布會現場介紹移動安全趨勢)
一方面是���,安全工作者和攻擊者����,在不斷地攻防交鋒中�,雙方各自發展出了很多的技術。操作系統當中已經增加了大量的安全防御功能�����,傳統的各種漏洞攻擊思路�����,其實在操作系統里面也有相應的對抗模式;另一方面是����,攻擊者利用漏洞發起網絡攻擊的成本變高,“你家里的電腦或者手機��,可能就是幾千塊錢。能夠實現克隆目的的漏洞����,可能這一個漏洞在黑市上要幾十萬美元甚至是上百萬美元�����。”
“一切都在變化���,只有變化本身是不變”��,于旸進一步指出�����,過去十幾年��,網絡攻擊大致經歷了三個階段����,不法黑客初期利用用戶薄弱的安全意識進行欺詐的“誘導執行”�,到中期利用大量軟件漏洞傳播惡意代碼,現在又再次回歸到偽裝欺騙的“誘導執行”�����。
這在2017年爆發的多起勒索病毒事件上也得到了類似印證,起初爆發的WannaCry僅僅是利用漏洞���,但是最近在東歐爆發的Bad Rabbit上�����,不法黑客就加入了水坑攻擊等欺騙性手段�����。
耦合不當導致重大設計漏洞移動安全需要新思維
除了反映出目前行業普遍陷入攻防“舒適區”的錯覺之外�,“應用克隆”攻擊模型應用的攻擊思路更是揭示了當下移動安全遭遇的全新挑戰�。
于旸表示,操作系統在攻防斗爭中所增加的防御措施針對的大多是實現類漏洞��。而對設計類安全問題目前業界仍未能較好解決���。“設計類安全問題���,有很多是多點耦合導致的,相關每一個問題可能都是已知的����,但組合起來所能導致的風險則很少有人意識到”����。
而在“應用克隆”攻擊模型披露之前��,設計類漏洞的威脅其實已經浮出水面�����。騰訊安全玄武實驗室最早在2015年就發現設計類漏洞BadBarcode��,攻擊者通過掃描惡意條碼甚至發射激光�����,即可在連接著條碼閱讀器的電腦上執行任意操作���,影響世界上過去二十年間所有條碼閱讀器廠商生產的大部分產品,該研究獲得WitAwards年度安全研究成果獎;2016年��,騰訊安全玄武實驗室發現另一重大漏洞BadTunnel���,用戶打開一個惡意網址����、任何一種Office文件、PDF文件����,或插上一個U盤,攻擊者就可以劫持用戶的網絡竊取隱私���,甚至植入木馬����,該漏洞影響過去二十年間所有Windows版本�,從Windows 95到 Windows 10。
而就在“應用克隆”攻擊模型正式對外披露之前��,因特爾被曝存在CPU底層漏洞:“幽靈”“崩潰”��,波及全球幾乎所有的手機�、電腦、云計算產品�����。騰訊安全玄武在發布會對此也做了重點分析����,并發布“幽靈”漏洞在線檢測工具��,幫助用戶一鍵檢測自己的設備是否容易遭受漏洞攻擊����。
基于此�����,于旸在發布會現場針對“應用克隆”背后的耦合風險首次提出安全廠商要建立“移動安全新思維”��。他指出��,在端云一體的移動時代�����,最重要的其實是用戶賬號體系和數據的安全�。而要保護好這些��,光搞好系統自身安全是不夠的����。這使得移動時代的安全問題更加復雜多變��,涉及的方面也更多�。需要手機廠商���、應用開發商�����、網絡安全研究者等多方攜手�,共同重視�����。
值得慶幸的是�,“應用克隆”攻擊模型的發現我們領先于不法黑客,占據了攻防主動����,受影響的APP廠商都已完成或正在積極的修復當中,這也進一步堅定了行業內外攜手共建健康網絡安全環境的決心����,畢竟正如TK教主所言“洪水來臨的時候沒有一滴雨滴是無辜的”。
京公網安備 11010502041587號