1 月 9 日,“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇 404 实验室,在联合召开的技术研究成果发布会上公布并展示了这一重大研究成果。工信部网络安全管理局网络与数据安全处处长付景广、CNCERT(国家互联网应急中心)网络安全处副处长李佳、腾讯副总裁马斌、腾讯安全玄武实验室负责人于旸(TK 教主)、知道创宇首席安全官周景平等领导及专家出席了新闻发布会。
付景广处长表示:“现在随着互联网及数字经济的发展,网络安全一方面造福于国家、社会,同时带来的网络安全问题也越来越突出。腾讯做了大量的工作并把相关的情况公之于众,提醒大家给予高度的重视,并且加以针对性的防范,充分体现了移动安全领域的技术能力,我们有能力去发现没有人发现过的漏洞,体现出非常高的水平。同时,这也体现了腾讯高度的社会责任感,发现了问题及时提醒,及时帮助大家去解决问题、防范风险,这非常值得肯定。”
于旸则表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。基于该攻击模型,腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查,在 200 个移动应用中发现 27 个存在漏洞,比例超过 10%。在发现这些漏洞之后,腾讯安全玄武实验室通过 CNCERT 向厂商报告了相关漏洞,并提供了修复方法。但考虑到相关问题影响之广,难以将相关信息逐个通知给所有移动应用开发商,所以通过新闻发布会希望更多移动应用开发商了解该问题并进行自查。同时,玄武实验室将提供“玄武支援计划”协助处理。同时于旸还指出,移动互联网时代的安全形势更加复杂,只有真正用移动思维来思考移动安全,才能正确评估安全问题的风险。
(玄武实验室以支付宝 APP 为例展示了“应用克隆”攻击的效果)
“应用克隆”影响范围涉及国内主流 APP,腾讯安全公布“玄武支援计划”
于旸介绍,在玄武安全研究团队研究过程中,发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被 APP 厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。这一漏洞利用方式一旦被不法分子利用,就可以轻松克隆获取用户账户权限,盗取用户账号及资金等。腾讯安全玄武实验室在研究过程中还发现,“应用克隆”中涉及的部分技术此前知道创宇 404 实验室和一些国外研究人员也曾提及过,但显然在业界并未引起足够重视。
在发布会现场,玄武实验室以支付宝 APP 为例展示了“应用克隆”攻击的效果:在升级到最新安卓 8.1.0 的手机上,利用支付宝 APP 自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。目前,支付宝在最新版本中已修复了该漏洞。
据介绍,“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的 APP,如支付宝、携程、饿了么等多个主流 APP 均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。在发现这些漏洞后,腾讯安全玄武实验室通过 CNCERT 向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。
发布会上,李佳副处长代表 CNCERT(国家互联网应急中心)网络安全处和 CNVD 对腾讯安全玄武实验室所做的工作表示感谢。他表示,腾讯安全玄武实验室在第一时间向 CNCERT 平台报送了相关的漏洞,为相关的事件应急响应提前提供了很宝贵的时间。CNVD 在获取到漏洞的相关情况之后,安排了相关的技术人员对漏洞进行了验证,并且也为漏洞分配了漏洞编号(CVE201736682),于 2017 年 12 月 10 号向 27 家具体的 APP 发送了点对点的漏洞安全通报,同时提供了漏洞的详细情况以及建立了修复方案。
考虑到该漏洞影响的广泛性,以及配合“应用克隆”攻击模型后的巨大威胁,腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以通过此次新闻发布会,希望更多的 APP 厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的 APP,玄武实验室也愿意提供相关技术援助。
适应网络安全发展新趋势腾讯安全首倡 “移动安全新思维”
更值得关注的是,于旸在此次报告中首次提出安全厂商要建立“移动安全新思维”,用移动思维来思考移动安全,来适应新的移动互联网安全发展趋势。在他看来,PC 时代的安全思维对移动时代来说是不够的。移动设备有诸多不同于 PC 的特点,而移动应用也有诸多不同于传统软件的特点。在 PC 时代,最重要的是系统自身的安全。而移动设备系统自身的安全性比 PC 要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。而要保护好这些,光搞好系统自身安全是不够的。这使得移动时代的安全问题更加复杂多变,涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手,共同重视。
(于旸在此次报告中首次提出安全厂商要建立“移动安全新思维)
“传统的利用软件漏洞进行攻击的思路,一般是先用漏洞获得控制,再植入后门。好比想长期进出你酒店的房间,就要先悄悄尾随你进门,再悄悄把锁弄坏,以后就能随时进来。现代移动操作系统已经针对这种模式做了防御,不是说不可能再这样攻击,但难度极大。如果我们换一个思路:进门后,找到你的酒店房卡,复制一张,就可以随时进出了。不但可以随时进出,还能以你的名义在酒店里消费。目前,大部分移动应用在设计上都没有考虑这种攻击方式。”于旸表示,移动互联网时代,安全厂商必须意识到各种新技术新设计会带来更多新问题,要用移动思维来评估每一个安全风险,才能避免最终在安全上积重难返。
作为国际领先的安全攻防研究团队,腾讯安全玄武实验室聚集了顶尖的技术人才,在很多安全领域都取得了突破进展。而此次“应用克隆”漏洞利用方式的发现,也得益于玄武实验室的深厚技术储备。在不久前结束的 2017 年乌镇世界互联网大会上,腾讯安全玄武实验室和中国科学院计算所大数据安全组合作的“阿图因”软件空间安全测绘系统入选了大会评出的前 58 大“世界互联网领先科技成果”。
腾讯安全联合实验室技术创新持续赋能六大互联网关键领域
在此次技术研究成果发布会上,腾讯副总裁马斌发布了《腾讯安全前沿技术研究白皮书》,对目前中国面临的安全形势,以及腾讯安全联合实验室在科技创新、人才建设等方面的成果进行了全面盘点,并首次披露了腾讯安全联合实验室成立以来的十大安全研究成果。
作为国内首个互联网安全实验室矩阵,腾讯安全联合实验室旗下涵盖科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室,实验室专注安全技术研究及安全攻防体系搭建,安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域,并在车联网安全、物联网安全、人工智能、云安全、自研杀毒引擎、安全人才培养、社会责任等诸多方面取得突破进展。
2016 年,凭借“全球首次远程无物理接触方式入侵特斯拉汽车”研究成果,腾讯安全联合实验室科恩实验室获得特斯拉官方最高奖励及荣誉。同时,在反诈骗领域,腾讯安全反诈骗实验室携手公安部、运营商等相关合作伙伴共同推出的“守护者计划”,利用“反诈骗智慧大脑”等新技术武器,精准打击诈骗黑产,保障用户资金安全。另外,在 2017 年上半年的“WannaCry”、“暗云Ⅲ”等病毒事件中,腾讯安全反病毒实验室、腾讯安全云鼎实验室共同针对用户网络安全、云端安全迅速制定防御方案,并开发出包括勒索病毒免疫工具、文档守护者、云镜等多款工具,第一时间降低了国内用户和企业的网络安全风险。
(马斌表示腾讯安全联合实验室将进一步推动互联网安全生态的快速发展)
而作为腾讯安全七大实验室矩阵之一,此次发布“应用克隆”漏洞利用方式的玄武实验室,在业内素有“漏洞挖掘机”称号。2016 年中,腾讯安全玄武实验室和腾讯安全联合实验室旗下的其他六大实验室相互配合,累计为微软、苹果、谷歌、Adobe 四大国际顶尖厂商提交漏洞 269 个,位居国内首位。2016 年 5 月的 Adobe Reader 安全公告中更是一次性包含了 32 个玄武实验室报告的漏洞,从而创下了该产品历史上单个公告中报告漏洞最多的纪录。在发现应用克隆攻击技术之前,腾讯安全玄武实验室还针对条码阅读器的“BadBarcode”研究揭示了影响整个行业的存在了近二十年的重大安全隐患,得到国际安全界的广泛关注和称誉,并因此荣获 WitAwards“年度最佳研究成果”奖。
马斌表示,随着腾讯安全联合实验室在反诈骗、反病毒、漏洞安全、云安全、车联网、网络安全人才建设、技术研究等领域将持续输出能力,赋能行业、企业,将进一步推动互联网安全生态的快速发展。