2017年勒索病毒的余威還未完全散盡,2018年伊始,就又爆發(fā)了多起網(wǎng)絡(luò)安全事件,繼曝出CPU芯片級漏洞事件之后不久,騰訊安全玄武實驗室首次發(fā)現(xiàn)“應(yīng)用克隆”攻擊模型,只需用戶點擊一個鏈接,攻擊者便可輕松克隆用戶的賬戶權(quán)限,盜取用戶賬號及資金等。支付寶、攜程等國內(nèi)主流APP均在受影響之列,波及幾乎全部的安卓手機用戶。
值得關(guān)注的是,本次“應(yīng)用克隆”攻擊模型的搭建并非基于某一個單獨的漏洞造成的安全隱患,而是由一系列此前已公開卻被大家普遍不重視的漏洞,耦合在一起產(chǎn)生的風險。這背后不僅反映出在經(jīng)過十多年漏洞攻防之后,大家放松了對漏洞的警惕;更折射出當下的移動安全防護工作亟需建立新思維來應(yīng)對。
十余年網(wǎng)絡(luò)攻防陷入“舒適區(qū)”漏洞威脅逐漸被低估
1月9日,“應(yīng)用克隆”攻擊模型,在騰訊安全玄武實驗室與知道創(chuàng)宇聯(lián)合召開的技術(shù)研究成果發(fā)布會上,以一個三分鐘的演示視頻正式對外披露。全新的攻擊思路和意想不到的攻擊效果迅速吸引了在場行業(yè)專家及媒體人士的關(guān)注,CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)也在當晚21點左右正式發(fā)布安全公告,將其中涉及的漏洞分配編號,并評級為“高危”。
與其他攻擊模型不同的是,“應(yīng)用克隆”攻擊模型中利用的所有安全風險點,都是幾年前就公開的。利用手機瀏覽器訪問本地文件的風險,2009年之前業(yè)界就有共識;應(yīng)用內(nèi)嵌瀏覽器設(shè)置不當?shù)娘L險,2012年7月就有相關(guān)漏洞被披露;克隆攻擊的風險,知道創(chuàng)宇首席安全官周景平在2013年就公開發(fā)表過研究,并提交谷歌,但是“一直沒得到回應(yīng)”。
在于旸看來,這背后隱藏的其實是網(wǎng)絡(luò)安全在攻防十余年之后的趨勢。他在發(fā)布會現(xiàn)場指出,最近十幾年來,操作系統(tǒng)的安全性不斷的提高,可能有一些人會產(chǎn)生一種錯覺,覺得漏洞的危險沒有那么大,可能十年前的人會對漏洞更加敏感一些。
(于旸在發(fā)布會現(xiàn)場介紹移動安全趨勢)
一方面是,安全工作者和攻擊者,在不斷地攻防交鋒中,雙方各自發(fā)展出了很多的技術(shù)。操作系統(tǒng)當中已經(jīng)增加了大量的安全防御功能,傳統(tǒng)的各種漏洞攻擊思路,其實在操作系統(tǒng)里面也有相應(yīng)的對抗模式;另一方面是,攻擊者利用漏洞發(fā)起網(wǎng)絡(luò)攻擊的成本變高,“你家里的電腦或者手機,可能就是幾千塊錢。能夠?qū)崿F(xiàn)克隆目的的漏洞,可能這一個漏洞在黑市上要幾十萬美元甚至是上百萬美元。”
“一切都在變化,只有變化本身是不變”,于旸進一步指出,過去十幾年,網(wǎng)絡(luò)攻擊大致經(jīng)歷了三個階段,不法黑客初期利用用戶薄弱的安全意識進行欺詐的“誘導執(zhí)行”,到中期利用大量軟件漏洞傳播惡意代碼,現(xiàn)在又再次回歸到偽裝欺騙的“誘導執(zhí)行”。
這在2017年爆發(fā)的多起勒索病毒事件上也得到了類似印證,起初爆發(fā)的WannaCry僅僅是利用漏洞,但是最近在東歐爆發(fā)的Bad Rabbit上,不法黑客就加入了水坑攻擊等欺騙性手段。
耦合不當導致重大設(shè)計漏洞移動安全需要新思維
除了反映出目前行業(yè)普遍陷入攻防“舒適區(qū)”的錯覺之外,“應(yīng)用克隆”攻擊模型應(yīng)用的攻擊思路更是揭示了當下移動安全遭遇的全新挑戰(zhàn)。
于旸表示,操作系統(tǒng)在攻防斗爭中所增加的防御措施針對的大多是實現(xiàn)類漏洞。而對設(shè)計類安全問題目前業(yè)界仍未能較好解決。“設(shè)計類安全問題,有很多是多點耦合導致的,相關(guān)每一個問題可能都是已知的,但組合起來所能導致的風險則很少有人意識到”。
而在“應(yīng)用克隆”攻擊模型披露之前,設(shè)計類漏洞的威脅其實已經(jīng)浮出水面。騰訊安全玄武實驗室最早在2015年就發(fā)現(xiàn)設(shè)計類漏洞BadBarcode,攻擊者通過掃描惡意條碼甚至發(fā)射激光,即可在連接著條碼閱讀器的電腦上執(zhí)行任意操作,影響世界上過去二十年間所有條碼閱讀器廠商生產(chǎn)的大部分產(chǎn)品,該研究獲得WitAwards年度安全研究成果獎;2016年,騰訊安全玄武實驗室發(fā)現(xiàn)另一重大漏洞BadTunnel,用戶打開一個惡意網(wǎng)址、任何一種Office文件、PDF文件,或插上一個U盤,攻擊者就可以劫持用戶的網(wǎng)絡(luò)竊取隱私,甚至植入木馬,該漏洞影響過去二十年間所有Windows版本,從Windows 95到 Windows 10。
而就在“應(yīng)用克隆”攻擊模型正式對外披露之前,因特爾被曝存在CPU底層漏洞:“幽靈”“崩潰”,波及全球幾乎所有的手機、電腦、云計算產(chǎn)品。騰訊安全玄武在發(fā)布會對此也做了重點分析,并發(fā)布“幽靈”漏洞在線檢測工具,幫助用戶一鍵檢測自己的設(shè)備是否容易遭受漏洞攻擊。
基于此,于旸在發(fā)布會現(xiàn)場針對“應(yīng)用克隆”背后的耦合風險首次提出安全廠商要建立“移動安全新思維”。他指出,在端云一體的移動時代,最重要的其實是用戶賬號體系和數(shù)據(jù)的安全。而要保護好這些,光搞好系統(tǒng)自身安全是不夠的。這使得移動時代的安全問題更加復雜多變,涉及的方面也更多。需要手機廠商、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手,共同重視。
值得慶幸的是,“應(yīng)用克隆”攻擊模型的發(fā)現(xiàn)我們領(lǐng)先于不法黑客,占據(jù)了攻防主動,受影響的APP廠商都已完成或正在積極的修復當中,這也進一步堅定了行業(yè)內(nèi)外攜手共建健康網(wǎng)絡(luò)安全環(huán)境的決心,畢竟正如TK教主所言“洪水來臨的時候沒有一滴雨滴是無辜的”。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹慎對待。投資者據(jù)此操作,風險自擔。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產(chǎn)品設(shè)計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導,由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實驗室、上海臨港經(jīng)濟發(fā)展(集團)有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。