騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)“應(yīng)用克隆”攻擊模型，揭示小漏洞的大隱患

　　2017年勒索病毒的余威還未完全散盡，2018年伊始，就又爆發(fā)了多起網(wǎng)絡(luò)安全事件，繼曝出CPU芯片級(jí)漏洞事件之后不久，騰訊安全玄武實(shí)驗(yàn)室首次發(fā)現(xiàn)“應(yīng)用克隆”攻擊模型，只需用戶點(diǎn)擊一個(gè)鏈接，攻擊者便可輕松克隆用戶的賬戶權(quán)限，盜取用戶賬號(hào)及資金等。支付寶、攜程等國(guó)內(nèi)主流APP均在受影響之列，波及幾乎全部的安卓手機(jī)用戶。

　　值得關(guān)注的是，本次“應(yīng)用克隆”攻擊模型的搭建并非基于某一個(gè)單獨(dú)的漏洞造成的安全隱患，而是由一系列此前已公開(kāi)卻被大家普遍不重視的漏洞，耦合在一起產(chǎn)生的風(fēng)險(xiǎn)。這背后不僅反映出在經(jīng)過(guò)十多年漏洞攻防之后，大家放松了對(duì)漏洞的警惕;更折射出當(dāng)下的移動(dòng)安全防護(hù)工作亟需建立新思維來(lái)應(yīng)對(duì)。

　　十余年網(wǎng)絡(luò)攻防陷入“舒適區(qū)”漏洞威脅逐漸被低估

　　1月9日，“應(yīng)用克隆”攻擊模型，在騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇聯(lián)合召開(kāi)的技術(shù)研究成果發(fā)布會(huì)上，以一個(gè)三分鐘的演示視頻正式對(duì)外披露。全新的攻擊思路和意想不到的攻擊效果迅速吸引了在場(chǎng)行業(yè)專家及媒體人士的關(guān)注，CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)也在當(dāng)晚21點(diǎn)左右正式發(fā)布安全公告，將其中涉及的漏洞分配編號(hào)，并評(píng)級(jí)為“高危”。

　　與其他攻擊模型不同的是，“應(yīng)用克隆”攻擊模型中利用的所有安全風(fēng)險(xiǎn)點(diǎn)，都是幾年前就公開(kāi)的。利用手機(jī)瀏覽器訪問(wèn)本地文件的風(fēng)險(xiǎn)，2009年之前業(yè)界就有共識(shí);應(yīng)用內(nèi)嵌瀏覽器設(shè)置不當(dāng)?shù)娘L(fēng)險(xiǎn)，2012年7月就有相關(guān)漏洞被披露;克隆攻擊的風(fēng)險(xiǎn)，知道創(chuàng)宇首席安全官周景平在2013年就公開(kāi)發(fā)表過(guò)研究，并提交谷歌，但是“一直沒(méi)得到回應(yīng)”。

　　在于旸看來(lái)，這背后隱藏的其實(shí)是網(wǎng)絡(luò)安全在攻防十余年之后的趨勢(shì)。他在發(fā)布會(huì)現(xiàn)場(chǎng)指出，最近十幾年來(lái)，操作系統(tǒng)的安全性不斷的提高，可能有一些人會(huì)產(chǎn)生一種錯(cuò)覺(jué)，覺(jué)得漏洞的危險(xiǎn)沒(méi)有那么大，可能十年前的人會(huì)對(duì)漏洞更加敏感一些。

　　(于旸在發(fā)布會(huì)現(xiàn)場(chǎng)介紹移動(dòng)安全趨勢(shì))

　　一方面是，安全工作者和攻擊者，在不斷地攻防交鋒中，雙方各自發(fā)展出了很多的技術(shù)。操作系統(tǒng)當(dāng)中已經(jīng)增加了大量的安全防御功能，傳統(tǒng)的各種漏洞攻擊思路，其實(shí)在操作系統(tǒng)里面也有相應(yīng)的對(duì)抗模式;另一方面是，攻擊者利用漏洞發(fā)起網(wǎng)絡(luò)攻擊的成本變高，“你家里的電腦或者手機(jī)，可能就是幾千塊錢。能夠?qū)崿F(xiàn)克隆目的的漏洞，可能這一個(gè)漏洞在黑市上要幾十萬(wàn)美元甚至是上百萬(wàn)美元。”

　　“一切都在變化，只有變化本身是不變”，于旸進(jìn)一步指出，過(guò)去十幾年，網(wǎng)絡(luò)攻擊大致經(jīng)歷了三個(gè)階段，不法黑客初期利用用戶薄弱的安全意識(shí)進(jìn)行欺詐的“誘導(dǎo)執(zhí)行”，到中期利用大量軟件漏洞傳播惡意代碼，現(xiàn)在又再次回歸到偽裝欺騙的“誘導(dǎo)執(zhí)行”。

　　這在2017年爆發(fā)的多起勒索病毒事件上也得到了類似印證，起初爆發(fā)的WannaCry僅僅是利用漏洞，但是最近在東歐爆發(fā)的Bad Rabbit上，不法黑客就加入了水坑攻擊等欺騙性手段。

　　耦合不當(dāng)導(dǎo)致重大設(shè)計(jì)漏洞移動(dòng)安全需要新思維

　　除了反映出目前行業(yè)普遍陷入攻防“舒適區(qū)”的錯(cuò)覺(jué)之外，“應(yīng)用克隆”攻擊模型應(yīng)用的攻擊思路更是揭示了當(dāng)下移動(dòng)安全遭遇的全新挑戰(zhàn)。

　　于旸表示，操作系統(tǒng)在攻防斗爭(zhēng)中所增加的防御措施針對(duì)的大多是實(shí)現(xiàn)類漏洞。而對(duì)設(shè)計(jì)類安全問(wèn)題目前業(yè)界仍未能較好解決。“設(shè)計(jì)類安全問(wèn)題，有很多是多點(diǎn)耦合導(dǎo)致的，相關(guān)每一個(gè)問(wèn)題可能都是已知的，但組合起來(lái)所能導(dǎo)致的風(fēng)險(xiǎn)則很少有人意識(shí)到”。

　　而在“應(yīng)用克隆”攻擊模型披露之前，設(shè)計(jì)類漏洞的威脅其實(shí)已經(jīng)浮出水面。騰訊安全玄武實(shí)驗(yàn)室最早在2015年就發(fā)現(xiàn)設(shè)計(jì)類漏洞BadBarcode，攻擊者通過(guò)掃描惡意條碼甚至發(fā)射激光，即可在連接著條碼閱讀器的電腦上執(zhí)行任意操作，影響世界上過(guò)去二十年間所有條碼閱讀器廠商生產(chǎn)的大部分產(chǎn)品，該研究獲得WitAwards年度安全研究成果獎(jiǎng);2016年，騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)另一重大漏洞BadTunnel，用戶打開(kāi)一個(gè)惡意網(wǎng)址、任何一種Office文件、PDF文件，或插上一個(gè)U盤(pán)，攻擊者就可以劫持用戶的網(wǎng)絡(luò)竊取隱私，甚至植入木馬，該漏洞影響過(guò)去二十年間所有Windows版本，從Windows 95到 Windows 10。

　　而就在“應(yīng)用克隆”攻擊模型正式對(duì)外披露之前，因特爾被曝存在CPU底層漏洞：“幽靈”“崩潰”，波及全球幾乎所有的手機(jī)、電腦、云計(jì)算產(chǎn)品。騰訊安全玄武在發(fā)布會(huì)對(duì)此也做了重點(diǎn)分析，并發(fā)布“幽靈”漏洞在線檢測(cè)工具，幫助用戶一鍵檢測(cè)自己的設(shè)備是否容易遭受漏洞攻擊。

　　基于此，于旸在發(fā)布會(huì)現(xiàn)場(chǎng)針對(duì)“應(yīng)用克隆”背后的耦合風(fēng)險(xiǎn)首次提出安全廠商要建立“移動(dòng)安全新思維”。他指出，在端云一體的移動(dòng)時(shí)代，最重要的其實(shí)是用戶賬號(hào)體系和數(shù)據(jù)的安全。而要保護(hù)好這些，光搞好系統(tǒng)自身安全是不夠的。這使得移動(dòng)時(shí)代的安全問(wèn)題更加復(fù)雜多變，涉及的方面也更多。需要手機(jī)廠商、應(yīng)用開(kāi)發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手，共同重視。

　　值得慶幸的是，“應(yīng)用克隆”攻擊模型的發(fā)現(xiàn)我們領(lǐng)先于不法黑客，占據(jù)了攻防主動(dòng)，受影響的APP廠商都已完成或正在積極的修復(fù)當(dāng)中，這也進(jìn)一步堅(jiān)定了行業(yè)內(nèi)外攜手共建健康網(wǎng)絡(luò)安全環(huán)境的決心，畢竟正如TK教主所言“洪水來(lái)臨的時(shí)候沒(méi)有一滴雨滴是無(wú)辜的”。