2017年勒索病毒的余威還未完全散盡�,2018年伊始��,就又爆發(fā)了多起網(wǎng)絡(luò)安全事件��,繼曝出CPU芯片級漏洞事件之后不久����,騰訊安全玄武實驗室首次發(fā)現(xiàn)“應(yīng)用克隆”攻擊模型,只需用戶點擊一個鏈接���,攻擊者便可輕松克隆用戶的賬戶權(quán)限,盜取用戶賬號及資金等����。支付寶��、攜程等國內(nèi)主流APP均在受影響之列����,波及幾乎全部的安卓手機用戶����。
值得關(guān)注的是,本次“應(yīng)用克隆”攻擊模型的搭建并非基于某一個單獨的漏洞造成的安全隱患�,而是由一系列此前已公開卻被大家普遍不重視的漏洞,耦合在一起產(chǎn)生的風險�。這背后不僅反映出在經(jīng)過十多年漏洞攻防之后,大家放松了對漏洞的警惕;更折射出當下的移動安全防護工作亟需建立新思維來應(yīng)對�。
十余年網(wǎng)絡(luò)攻防陷入“舒適區(qū)”漏洞威脅逐漸被低估
1月9日,“應(yīng)用克隆”攻擊模型����,在騰訊安全玄武實驗室與知道創(chuàng)宇聯(lián)合召開的技術(shù)研究成果發(fā)布會上,以一個三分鐘的演示視頻正式對外披露��。全新的攻擊思路和意想不到的攻擊效果迅速吸引了在場行業(yè)專家及媒體人士的關(guān)注�,CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)也在當晚21點左右正式發(fā)布安全公告,將其中涉及的漏洞分配編號����,并評級為“高危”�����。
與其他攻擊模型不同的是�,“應(yīng)用克隆”攻擊模型中利用的所有安全風險點�����,都是幾年前就公開的����。利用手機瀏覽器訪問本地文件的風險,2009年之前業(yè)界就有共識;應(yīng)用內(nèi)嵌瀏覽器設(shè)置不當?shù)娘L險����,2012年7月就有相關(guān)漏洞被披露;克隆攻擊的風險,知道創(chuàng)宇首席安全官周景平在2013年就公開發(fā)表過研究����,并提交谷歌,但是“一直沒得到回應(yīng)”��。
在于旸看來�����,這背后隱藏的其實是網(wǎng)絡(luò)安全在攻防十余年之后的趨勢�。他在發(fā)布會現(xiàn)場指出,最近十幾年來�,操作系統(tǒng)的安全性不斷的提高,可能有一些人會產(chǎn)生一種錯覺�,覺得漏洞的危險沒有那么大,可能十年前的人會對漏洞更加敏感一些����。
(于旸在發(fā)布會現(xiàn)場介紹移動安全趨勢)
一方面是,安全工作者和攻擊者��,在不斷地攻防交鋒中�,雙方各自發(fā)展出了很多的技術(shù)。操作系統(tǒng)當中已經(jīng)增加了大量的安全防御功能���,傳統(tǒng)的各種漏洞攻擊思路��,其實在操作系統(tǒng)里面也有相應(yīng)的對抗模式;另一方面是���,攻擊者利用漏洞發(fā)起網(wǎng)絡(luò)攻擊的成本變高,“你家里的電腦或者手機�����,可能就是幾千塊錢。能夠?qū)崿F(xiàn)克隆目的的漏洞���,可能這一個漏洞在黑市上要幾十萬美元甚至是上百萬美元����。”
“一切都在變化�,只有變化本身是不變”,于旸進一步指出����,過去十幾年,網(wǎng)絡(luò)攻擊大致經(jīng)歷了三個階段����,不法黑客初期利用用戶薄弱的安全意識進行欺詐的“誘導執(zhí)行”,到中期利用大量軟件漏洞傳播惡意代碼�����,現(xiàn)在又再次回歸到偽裝欺騙的“誘導執(zhí)行”�����。
這在2017年爆發(fā)的多起勒索病毒事件上也得到了類似印證,起初爆發(fā)的WannaCry僅僅是利用漏洞�,但是最近在東歐爆發(fā)的Bad Rabbit上,不法黑客就加入了水坑攻擊等欺騙性手段���。
耦合不當導致重大設(shè)計漏洞移動安全需要新思維
除了反映出目前行業(yè)普遍陷入攻防“舒適區(qū)”的錯覺之外,“應(yīng)用克隆”攻擊模型應(yīng)用的攻擊思路更是揭示了當下移動安全遭遇的全新挑戰(zhàn)���。
于旸表示��,操作系統(tǒng)在攻防斗爭中所增加的防御措施針對的大多是實現(xiàn)類漏洞���。而對設(shè)計類安全問題目前業(yè)界仍未能較好解決。“設(shè)計類安全問題�,有很多是多點耦合導致的,相關(guān)每一個問題可能都是已知的�,但組合起來所能導致的風險則很少有人意識到”。
而在“應(yīng)用克隆”攻擊模型披露之前�����,設(shè)計類漏洞的威脅其實已經(jīng)浮出水面�。騰訊安全玄武實驗室最早在2015年就發(fā)現(xiàn)設(shè)計類漏洞BadBarcode,攻擊者通過掃描惡意條碼甚至發(fā)射激光�����,即可在連接著條碼閱讀器的電腦上執(zhí)行任意操作,影響世界上過去二十年間所有條碼閱讀器廠商生產(chǎn)的大部分產(chǎn)品����,該研究獲得WitAwards年度安全研究成果獎;2016年,騰訊安全玄武實驗室發(fā)現(xiàn)另一重大漏洞BadTunnel�����,用戶打開一個惡意網(wǎng)址����、任何一種Office文件、PDF文件����,或插上一個U盤,攻擊者就可以劫持用戶的網(wǎng)絡(luò)竊取隱私���,甚至植入木馬����,該漏洞影響過去二十年間所有Windows版本����,從Windows 95到 Windows 10���。
而就在“應(yīng)用克隆”攻擊模型正式對外披露之前,因特爾被曝存在CPU底層漏洞:“幽靈”“崩潰”��,波及全球幾乎所有的手機�、電腦、云計算產(chǎn)品���。騰訊安全玄武在發(fā)布會對此也做了重點分析,并發(fā)布“幽靈”漏洞在線檢測工具�,幫助用戶一鍵檢測自己的設(shè)備是否容易遭受漏洞攻擊。
基于此���,于旸在發(fā)布會現(xiàn)場針對“應(yīng)用克隆”背后的耦合風險首次提出安全廠商要建立“移動安全新思維”�。他指出��,在端云一體的移動時代��,最重要的其實是用戶賬號體系和數(shù)據(jù)的安全��。而要保護好這些����,光搞好系統(tǒng)自身安全是不夠的����。這使得移動時代的安全問題更加復雜多變�����,涉及的方面也更多���。需要手機廠商��、應(yīng)用開發(fā)商��、網(wǎng)絡(luò)安全研究者等多方攜手�����,共同重視�。
值得慶幸的是�,“應(yīng)用克隆”攻擊模型的發(fā)現(xiàn)我們領(lǐng)先于不法黑客,占據(jù)了攻防主動���,受影響的APP廠商都已完成或正在積極的修復當中��,這也進一步堅定了行業(yè)內(nèi)外攜手共建健康網(wǎng)絡(luò)安全環(huán)境的決心��,畢竟正如TK教主所言“洪水來臨的時候沒有一滴雨滴是無辜的”���。
京公網(wǎng)安備 11010502041587號