“應(yīng)用克隆”攻擊可竊取用戶賬戶，支付寶、餓了么等都中招了

1

電影《看不見的客人》讓我們領(lǐng)略了，一個(gè)細(xì)節(jié)的不留神，整個(gè)故事會(huì)有另外一幅面貌。男主角情人勞拉的手機(jī)是悲劇進(jìn)行下去的發(fā)動(dòng)機(jī)，直到影片快結(jié)局觀眾才知道那條關(guān)鍵短信是定時(shí)滯后發(fā)送。一個(gè)簡單的時(shí)間錯(cuò)位尚且如此，現(xiàn)實(shí)生活中，如果你收到的短信還夾雜著黑客的攻擊，會(huì)怎么樣？

最近，騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人“TK教主”于旸就用短信為載體，現(xiàn)場(chǎng)披露了”應(yīng)用克隆“這一移動(dòng)攻擊威脅模型。玄武實(shí)驗(yàn)室以支付寶App為例展示了攻擊效果：在升級(jí)到最新安卓8.1.0的手機(jī)上，利用支付寶App自身的漏洞，“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信，用戶一旦點(diǎn)擊，其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中，然后“攻擊者”就可以任意查看用戶賬戶信息，并可進(jìn)行消費(fèi)。

受此威脅模型影響，支付寶、攜程、餓了么等近十分之一的安卓版應(yīng)用都有信息、賬戶被盜的風(fēng)險(xiǎn)。黑客可以克隆出一個(gè)你的支付寶（頭像、ID、花唄、芝麻信用等等完全一樣），然后花你的錢。而短信只是一種誘導(dǎo)方式，二維碼、新聞資訊、紅包頁面等都可能被黑客用作為攻擊手段。

基于該模型，玄武實(shí)驗(yàn)室以某個(gè)常被廠商忽略的安全問題進(jìn)行檢查，在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞，比例超過10%。在發(fā)現(xiàn)這些漏洞后，玄武實(shí)驗(yàn)室通過CNCERT向廠商通報(bào)了相關(guān)信息，并給出了修復(fù)方案。目前，支付寶等在最新版本中已修復(fù)了該漏洞，還有一些仍存在修復(fù)不完全的情況。而最可怕的是，有很多沒有修復(fù)，還有一些根本還不知道自家安卓App可能因此中招。

TK也坦誠說，玄武實(shí)驗(yàn)室的精力有限，此次只檢測(cè)了國內(nèi)主流的200款A(yù)PP。玄武的阿圖因系統(tǒng)可以實(shí)現(xiàn)對(duì)移動(dòng)應(yīng)用問題的自動(dòng)檢測(cè)，但因?yàn)榇舜螒?yīng)用克隆漏洞利用模型的復(fù)雜性，是難以實(shí)現(xiàn)通過自動(dòng)化程序?qū)崿F(xiàn)徹底檢測(cè)。

實(shí)際上，“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404實(shí)驗(yàn)室和一些國外研究人員也曾提及過，但并未在業(yè)界引起足夠重視?？梢?，魔鬼的細(xì)節(jié)常常被視而不見，黑科技不僅離普通用戶很遠(yuǎn)，有時(shí)候科技界都沒有正視他們。

所以，一些安全實(shí)驗(yàn)室和白帽子很多時(shí)候就充當(dāng)了“醫(yī)生”的角色，發(fā)現(xiàn)廠商系統(tǒng)的病癥并給出治療方案，或者在病發(fā)之前提醒你“君有疾在腠理，不治將恐深”。

2

玄武實(shí)驗(yàn)室的負(fù)責(zé)人TK教主就是學(xué)醫(yī)出身，甚至被稱之為婦科圣手。TK大學(xué)畢業(yè)的時(shí)候面臨兩個(gè)選擇，一個(gè)是遵循專業(yè)成為臨床醫(yī)生，另一個(gè)是加入綠盟成為職業(yè)安全研究員。TK認(rèn)為計(jì)算機(jī)科學(xué)非常適合探索，說得直白一些，在計(jì)算機(jī)上搞實(shí)驗(yàn)所需物質(zhì)條件很低，但醫(yī)生不能在病人身上嘗試自己的實(shí)驗(yàn)。

這個(gè)選擇和作家馮唐類似，馮唐在協(xié)和醫(yī)科大學(xué)正經(jīng)學(xué)過八年醫(yī)術(shù)，后來?xiàng)夅t(yī)從文從商。雖然我們失去了醫(yī)生馮唐，但是作家馮唐也一樣在為大眾開藥方，比如《如何避免成為一個(gè)油膩的中年猥瑣男》。從這個(gè)角度來說，TK可以說是安全界的馮唐，馮唐是作家界的TK。

作為一個(gè)白帽子，天職就是給廠商提漏洞。理想狀態(tài)下，廠商應(yīng)該馬上確認(rèn)并修復(fù)漏洞，并且向白帽子致謝。但現(xiàn)實(shí)情況并非如此，剛開始白帽子生涯的TK提交一個(gè)漏洞之后，廠商確認(rèn)漏洞的時(shí)間半年到兩年不等，有時(shí)候廠商還不能對(duì)外透露修復(fù)的進(jìn)展。

隨著安全的價(jià)值越來越高，這種情況后來有所好轉(zhuǎn)。在綠盟期間，TK發(fā)現(xiàn)并報(bào)告了Microsoft、Cisco等公司產(chǎn)品的多個(gè)安全漏洞，并且拿到了當(dāng)時(shí)微軟支付的最高額度獎(jiǎng)金十萬美元。

還有很多和TK一樣的白帽子在網(wǎng)絡(luò)世界以游俠身份行走。他并不是一個(gè)人在戰(zhàn)斗，而TK加入騰訊之后，直接創(chuàng)建了一個(gè)門派，也就是被稱為“漏洞挖掘機(jī)”的玄武實(shí)驗(yàn)室。作為這個(gè)門派的掌門人，TK在2016年，發(fā)現(xiàn)了微軟歷史上影響最廣泛的漏洞，他將此命名為“BadTunnel”。

微軟的這個(gè)漏洞，其實(shí)和醫(yī)藥學(xué)的情況類似。Windows實(shí)現(xiàn)了很多協(xié)議和功能，但這些協(xié)議和功能是由不同的人設(shè)計(jì)和實(shí)現(xiàn)的。這些協(xié)議單獨(dú)看起來都沒什么問題。但操作系統(tǒng)是需要整合這些協(xié)議一起工作的。這時(shí)候漏洞就出現(xiàn)了。每種藥品出廠的時(shí)候，都確保了危害是可以接受的。但是它們配伍后就可能對(duì)人傷害很大，是不能一起用的。

不只是微軟，蘋果也曾就玄武實(shí)驗(yàn)室的漏洞收割貢獻(xiàn)多次公開致謝。玄武實(shí)驗(yàn)室的成果一方面展示出中國白帽子的實(shí)力，另外一方面也告訴我們，安卓系統(tǒng)很危險(xiǎn)，蘋果也不見得多安全。

3

說到底，這不是哪一個(gè)app或者手機(jī)廠商的問題，也并不是一個(gè)純粹技術(shù)攻防的戰(zhàn)場(chǎng)，而是整個(gè)行業(yè)的問題。國內(nèi)來說，BAT和360都需要在安全領(lǐng)域肩負(fù)起一定的社會(huì)責(zé)任，和相關(guān)部門一起，構(gòu)建一整套有效的安全預(yù)警和修復(fù)的機(jī)制。

以騰訊安全聯(lián)合實(shí)驗(yàn)室的矩陣為例，其涵蓋科恩、玄武、湛瀘、云鼎、反病毒、反詐騙、移動(dòng)安全七大實(shí)驗(yàn)室，實(shí)驗(yàn)室專注安全技術(shù)研究及安全攻防體系搭建，安全防范和保障范圍覆蓋了連接、系統(tǒng)、應(yīng)用、信息、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。

這次應(yīng)用克隆漏洞方面，騰訊安全和國家互聯(lián)網(wǎng)應(yīng)急中心的配合就是一個(gè)不錯(cuò)的案例。CNVD（國家互聯(lián)網(wǎng)應(yīng)急中心旗下的信息安全漏洞共享平臺(tái)）在獲取到漏洞的相關(guān)情況之后，第一時(shí)間安排了相關(guān)的技術(shù)人員對(duì)漏洞進(jìn)行了驗(yàn)證，也為漏洞分配了漏洞編號(hào)，然后向這次漏洞涉及到的27家App的相關(guān)企業(yè)發(fā)送了點(diǎn)對(duì)點(diǎn)的漏洞安全通報(bào)。同時(shí)，在通報(bào)中也向各個(gè)企業(yè)提供了漏洞的詳細(xì)情況以及建立了修復(fù)方案。

騰訊安全在披露應(yīng)用克隆這一移動(dòng)攻擊模型的當(dāng)天，CNVD發(fā)布了公告，對(duì)漏洞進(jìn)行了分析，并給出了”高?！暗脑u(píng)級(jí)，同時(shí)也附上了修復(fù)建議。

TK說，此次現(xiàn)場(chǎng)披露威脅的目的，是希望提醒更多的廠商重視安全并做好自檢，再小的安全隱患也需要重視。針對(duì)此次“應(yīng)用克隆”問題，騰訊安全玄武實(shí)驗(yàn)室還提出了針對(duì)廠商的“玄武援助計(jì)劃”，針對(duì)需要技術(shù)支持的廠商玄武可以提供必要的支持。

“應(yīng)用克隆”漏洞披露后，不少網(wǎng)友都大戶吃驚，也有很多公司和應(yīng)用市場(chǎng)希望找玄武實(shí)驗(yàn)室?guī)椭鷻z測(cè)或提供掃描方案。我看到騰訊玄武實(shí)驗(yàn)室微博是這么回應(yīng)的：

1、由于該問題的復(fù)雜性，不可能通過自動(dòng)掃描來判斷是否存在該漏洞。否則我們用阿圖因系統(tǒng)就能完成對(duì)全網(wǎng)應(yīng)用的檢查，而不只是僅檢查 200 個(gè)應(yīng)用。簡單通過函數(shù)掃描得出的結(jié)果，既會(huì)出現(xiàn)大量誤報(bào)，又會(huì)出現(xiàn)大量漏報(bào)。唯一能判斷有無漏洞的方式就是人工檢測(cè)。

2、對(duì)我們幫助檢測(cè)的應(yīng)用，根據(jù)和CNVD的溝通，我們也會(huì)統(tǒng)一提交給 CNVD，然后由 CNVD 通知廠商。

所以，看過支付寶示例視頻的大家不要以為這是個(gè)簡單的工序，實(shí)則暗藏諸多技術(shù)細(xì)節(jié)。不同于電影中雙方黑客電腦前的對(duì)抗情節(jié)，現(xiàn)實(shí)中的威脅打擊考驗(yàn)的是漏洞修復(fù)、安全管理等多方面綜合能力。

不過，電影中的一些腦洞橋段確實(shí)又提示了黑客攻防的發(fā)展趨勢(shì)。想必看過《速度與激情8》的觀眾，都還記得其中反派遠(yuǎn)程操控汽車車隊(duì)的景象。這個(gè)在現(xiàn)實(shí)中，技術(shù)極客“開黑”或許就能實(shí)現(xiàn)了。

去年7月，騰訊科恩實(shí)驗(yàn)室就實(shí)現(xiàn)了對(duì)特斯拉Model X 的遠(yuǎn)程攻擊，遠(yuǎn)程控制剎車、車門、后備箱，操縱車燈以及廣播 。最早在2016年9月，該實(shí)驗(yàn)室宣布他們以“遠(yuǎn)程無物理接觸”的方式首次成功入侵了特斯拉汽車。這一舉動(dòng)甚至引來特斯拉CEO馬斯克的親筆信致謝。

由此，我們也能看出來，無論是微軟、蘋果還是特斯拉，主流做法都是歡迎公開漏洞。什么時(shí)候披露，怎么披露有時(shí)候確實(shí)需要權(quán)衡，但披露本身的意義就在于讓廠商和應(yīng)用能夠及時(shí)自查。

技術(shù)永遠(yuǎn)都是把雙刃劍，原本黑客只是黑客，并沒有白帽子和黑帽子的區(qū)分，最早的黑客甚至用默默無聞的行動(dòng)為當(dāng)今的數(shù)字世界照亮了一條道路。但技術(shù)也總可能會(huì)被黑色產(chǎn)業(yè)利用，這時(shí)候就需要多維度聯(lián)防聯(lián)控，打破信息孤島。也正如TK所說：“洪水來臨的時(shí)候沒有一滴雨滴是無辜的。”

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。