2018 年 1 月 9 日下午,腾讯七大实验室之一的玄武实验室宣布发现了攻击威胁模型“应用克隆”,该漏洞让支付宝、京东到家、饿了么、携程等 27 款 App 的安卓版纷纷中招。黑客可以利用该漏洞远程“克隆”一个跟你账户一模一样的 App,还顺便帮你花钱甚至干各种让你无法想象的勾当。
目前,支付宝等部分 App 已经修复了该漏洞,但还有 10 款 App 尚未修复,另外,部分已经修复的 App 仍然存在修复不完全的情况。
需要强调的是,该漏洞仅存在于上述 App 的安卓版,iPhone 上的这些 App 不受影响。并且,截至目前,还没有发现该漏洞被黑客利用的实际案例。
玄武实验室在现场演示了两款 App 被克隆、攻击的过程,一款是支付宝,一款是携程。
以支付宝为例,黑客向用户发送一条隐藏着攻击信息的短信,并以红包加以引诱,用户在这种情况下点开短信里的链接,他看到的是一个真实的抢红包页面,但攻击者却在另一个手机上复制了该用户完整的支付宝账户信息,包括头像、用户名等完全一样,也可以查看用户的芝麻信用分,还可以用支付宝的付款码进行消费。在演示中,攻击者成功帮助用户消费了 325 元。
“攻击”支付宝和携程的演示视频:https://v.qq.com/iframe/player.html?vid=l0531il7k4p&tiny=0&auto=0
当我问 TK,黑客是否可以连用户的支付密码也“克隆”过去时,他告诉我:“就支付宝而言,密码是拿不到的。”但他又补充了一句:“但有些 App 因为还存在其它漏洞,在克隆后,再配合其它漏洞真的可以拿到密码,完完全全控制账号。”
万幸的是,TK 告诉我,包括支付宝在内的这些存在“应用克隆”漏洞隐患的 App 目前都还是安全的,还没有发现利用该漏洞攻击用户的行为,“至少我们没有知道的案例会通过这种途径发起攻击。”但今天他们公布了之后就说不准了。
支付宝相关负责人告诉我,他们接到通知后立马进行了修复。
短信只是其中一种诱导方式,该漏洞还可以被黑客隐藏在二维码、新闻页面等,只要用户不小心点到了就会中招。
在演示攻击携程 App 的时候,大体操作跟攻击支付宝类似。有意思的是,支付宝和携程这两款 App 背后站着阿里和百度,腾讯的两个劲敌。
据悉,该漏洞发现的时间是在 2017 年年底,应该在 11 月底或 12 月初。因为 12 月初的时候,TK 跟我说他们近期会公布一个影响非常大的发现,但他没有透露任何细节。今晚,TK 承认这个漏洞就是他当初说的“重大发现”。
他向虎嗅透露,这个漏洞的发现最初只是他的一个想法,随后他们团队对 200 款左右的 App 安卓版进行了监测,发现有 27 款 App 可以被该漏洞攻击。12 月 7 日,玄武实验室把该漏洞以及可能被攻击的 App 提交给了国家互联网应急中心。
国家互联网应急中心网络安全处副处长李佳披露了从收到漏洞提交到验证到通知厂商修复的整个过程,以及修复情况——
CNVD 在获取到漏洞的相关情况之后,第一时间安排了相关的技术人员对漏洞进行了验证,也为漏洞分配了漏洞编号,是 CNVD-2017-36682,并且也于 2017 年的 12 月 10 号向这次漏洞涉及到的 27 家 App 的相关企业发送了点对点的漏洞安全通报。同时,在通报中也向各个企业提供了漏洞的详细情况以及建立了修复方案。
在发出通报后不久 CNVD 又收到了包括支付宝、百度外卖还有国美等等大部分 App 的这种主动反馈,表示他们已经在漏洞的修复进程中。可能是由于各个团队的技术能力有差距,刚才看到目前有的 APP 已经有修复了,有的还没有修复。
截止到昨天,目前包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等 10 家厂商还没有收到他们的相关反馈。在这儿也希望这 10 家没有及时反馈的企业切实的加强网络安全运营能力,落实网络安全法规的主体责任要求。当本公司的产品出现了重大的安全漏洞或者隐患的时候能够第一时间的进行响应和解决修复,能够切实的维护和保障广大用户的权利。
在 TK 提供一张 PPT 上,清晰地显示已彻底修复的包括支付宝、饿了么、Wi-Fi 万能钥匙、小米生活、百度旅游、墨迹天气、驴妈妈旅游、咕咚;
修复不完全的 App 包括一点资讯、卡牛信用管家、亚马逊中国版;
尚未修复该漏洞的就多了,包括百度外卖、携程、京东到家、聚美优品、国美、12306 智能火车票、vivo 应用市场、豆瓣、同程旅游等。
这就引申出一个问题,即原本黑客并没有发现这个漏洞,玄武实验室此时公布了这个漏洞,对于那些尚未修复的 App 而言,黑客完全可以立即发起对其攻击,这一定程度上,玄武反而成了帮凶。
腾讯玄武实验室负责人 TK
虎嗅把这个疑惑抛给了 TK,他解释道:“这个话题其实是安全界已经讨论了十几年的话题,关于漏洞披露的问题,这里面是有矛盾的。假使我今天发现了今天就披露,完全没有给厂商留出修复的时间,这个肯定是有问题的。我们报告了之后等厂商修复,一天不修等一天,一年不修等一年,这也是有问题的。”
TK 说,具体到今天公布的“应用克隆”,它影响的不只是一两家厂商,安卓应用市场里有几十万、上百万款应用,他们只是检查了 200 款,也不可能全检查一遍。“通过我们公布了这个漏洞让更多厂商对自家应用自查,这其实就是披露的意义。你知道问题是一回事,然后你整个去实现攻击又是一回事,所以漏洞披露是需要权衡的一个过程。”TK 向我解释道。
我相信这些安全人员都有一种浪漫的情怀来做这样一件事情,但通过我的观察,腾讯对这样一款漏洞的公布举行这样一场发布会,本质上除了警告这些 App 厂商提高安全等级、修复漏洞之外,还可能是为了宣传腾讯在安全领域的技术实力。1 月 14 日腾讯安全还有一场更盛大的峰会“2018 年守护者计划大会”在北京举行,届时马化腾将从深圳跑来北京为该峰会站台。
今天晚上 7 点半,国家互联网应急中心在旗下的 CNVD(国家信息安全漏洞共享平台)对该漏洞(官方称其为“Android WebView 存在跨域访问漏洞”)进行公告,对漏洞进行了分析,并给出了“高危”的安全评级以及修复建议:
在宣布上述 27 款 App 安全漏洞的同时,TK 也强调了手机厂商在其中的责任,“发现所有测试的手机当中都存在几个月之前就已经公开披露的漏洞。”
在其公布的一份名单中,包括三星、华为、小米、OPPO、vivo 等手机厂商都存在修复漏洞滞后的现象,包括它们的最新旗舰机型。
“由于现在移动操作系统的安全设计,让我们可能麻痹了很长时间,觉得漏洞的危险已经没有之前那么大了,但是我们要说‘这是一种错觉’,我们对漏洞的这种警惕意识仍然是必要的。”TK 呼吁手机厂商和应用开发者,“绝对不能够因为在一个时间段或者说过去的五六年里漏洞攻击感觉没有那么多了,而放松对它的警惕,以至于在编程的时候,很多已知的这种安全原则不再去遵循或者说你在做系统的很多已知漏洞,应该修复的时候不修复。从更大的格局上讲其实是不利于移动互联网整个行业的健康发展。”
TK 说:“洪水来临的时候没有一滴雨滴是无辜的。”