世界頂級白帽黑客TK教主：洪水來臨的時(shí)候沒有一滴雨滴是無辜的

2017年勒索病毒的余威還未完全散盡，2018年伊始，就又爆發(fā)了多起網(wǎng)絡(luò)安全事件，繼曝出CPU芯片級漏洞事件之后不久，騰訊安全玄武實(shí)驗(yàn)室首次發(fā)現(xiàn)“應(yīng)用克隆”攻擊模型，只需用戶點(diǎn)擊一個(gè)鏈接，攻擊者便可輕松克隆用戶的賬戶權(quán)限，盜取用戶賬號及資金等。支付寶、攜程等國內(nèi)主流APP均在受影響之列，波及幾乎全部的安卓手機(jī)用戶。

值得關(guān)注的是，本次“應(yīng)用克隆”攻擊模型的搭建并非基于某一個(gè)單獨(dú)的漏洞造成的安全隱患，而是由一系列此前已公開卻被大家普遍不重視的漏洞，耦合在一起產(chǎn)生的風(fēng)險(xiǎn)。這背后不僅反映出在經(jīng)過十多年漏洞攻防之后，大家放松了對漏洞的警惕；更折射出當(dāng)下的移動(dòng)安全防護(hù)工作亟需建立新思維來應(yīng)對。

十余年網(wǎng)絡(luò)攻防陷入“舒適區(qū)”  漏洞威脅逐漸被低估

1月9日，“應(yīng)用克隆”攻擊模型，在騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇聯(lián)合召開的技術(shù)研究成果發(fā)布會(huì)上，以一個(gè)三分鐘的演示視頻正式對外披露。全新的攻擊思路和意想不到的攻擊效果迅速吸引了在場行業(yè)專家及媒體人士的關(guān)注，CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）也在當(dāng)晚21點(diǎn)左右正式發(fā)布安全公告，將其中涉及的漏洞分配編號，并評級為“高?！?。

與其他攻擊模型不同的是，“應(yīng)用克隆”攻擊模型中利用的所有安全風(fēng)險(xiǎn)點(diǎn)，都是幾年前就公開的。利用手機(jī)瀏覽器訪問本地文件的風(fēng)險(xiǎn)，2009年之前業(yè)界就有共識；應(yīng)用內(nèi)嵌瀏覽器設(shè)置不當(dāng)?shù)娘L(fēng)險(xiǎn)，2012年7月就有相關(guān)漏洞被披露；克隆攻擊的風(fēng)險(xiǎn)，知道創(chuàng)宇首席安全官周景平在2013年就公開發(fā)表過研究，并提交谷歌，但是“一直沒得到回應(yīng)”。

在于旸看來，這背后隱藏的其實(shí)是網(wǎng)絡(luò)安全在攻防十余年之后的趨勢。他在發(fā)布會(huì)現(xiàn)場指出，最近十幾年來，操作系統(tǒng)的安全性不斷的提高，可能有一些人會(huì)產(chǎn)生一種錯(cuò)覺，覺得漏洞的危險(xiǎn)沒有那么大，可能十年前的人會(huì)對漏洞更加敏感一些。

（于旸在發(fā)布會(huì)現(xiàn)場介紹移動(dòng)安全趨勢）

一方面是，安全工作者和攻擊者，在不斷地攻防交鋒中，雙方各自發(fā)展出了很多的技術(shù)。操作系統(tǒng)當(dāng)中已經(jīng)增加了大量的安全防御功能，傳統(tǒng)的各種漏洞攻擊思路，其實(shí)在操作系統(tǒng)里面也有相應(yīng)的對抗模式；另一方面是，攻擊者利用漏洞發(fā)起網(wǎng)絡(luò)攻擊的成本變高，“你家里的電腦或者手機(jī)，可能就是幾千塊錢。能夠?qū)崿F(xiàn)克隆目的的漏洞，可能這一個(gè)漏洞在黑市上要幾十萬美元甚至是上百萬美元?！?/p>

“一切都在變化，只有變化本身是不變”，于旸進(jìn)一步指出，過去十幾年，網(wǎng)絡(luò)攻擊大致經(jīng)歷了三個(gè)階段，不法黑客初期利用用戶薄弱的安全意識進(jìn)行欺詐的“誘導(dǎo)執(zhí)行”，到中期利用大量軟件漏洞傳播惡意代碼，現(xiàn)在又再次回歸到偽裝欺騙的“誘導(dǎo)執(zhí)行”。

這在2017年爆發(fā)的多起勒索病毒事件上也得到了類似印證，起初爆發(fā)的WannaCry僅僅是利用漏洞，但是最近在東歐爆發(fā)的Bad Rabbit上，不法黑客就加入了水坑攻擊等欺騙性手段。

耦合不當(dāng)導(dǎo)致重大設(shè)計(jì)漏洞  移動(dòng)安全需要新思維

除了反映出目前行業(yè)普遍陷入攻防“舒適區(qū)”的錯(cuò)覺之外，“應(yīng)用克隆”攻擊模型應(yīng)用的攻擊思路更是揭示了當(dāng)下移動(dòng)安全遭遇的全新挑戰(zhàn)。

于旸表示，操作系統(tǒng)在攻防斗爭中所增加的防御措施針對的大多是實(shí)現(xiàn)類漏洞。而對設(shè)計(jì)類安全問題目前業(yè)界仍未能較好解決?！霸O(shè)計(jì)類安全問題，有很多是多點(diǎn)耦合導(dǎo)致的，相關(guān)每一個(gè)問題可能都是已知的，但組合起來所能導(dǎo)致的風(fēng)險(xiǎn)則很少有人意識到”。

而在“應(yīng)用克隆”攻擊模型披露之前，設(shè)計(jì)類漏洞的威脅其實(shí)已經(jīng)浮出水面。騰訊安全玄武實(shí)驗(yàn)室最早在2015年就發(fā)現(xiàn)設(shè)計(jì)類漏洞BadBarcode，攻擊者通過掃描惡意條碼甚至發(fā)射激光，即可在連接著條碼閱讀器的電腦上執(zhí)行任意操作，影響世界上過去二十年間所有條碼閱讀器廠商生產(chǎn)的大部分產(chǎn)品，該研究獲得WitAwards 年度安全研究成果獎(jiǎng)；2016年，騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)另一重大漏洞BadTunnel，用戶打開一個(gè)惡意網(wǎng)址、任何一種Office文件、PDF 文件，或插上一個(gè)U 盤，攻擊者就可以劫持用戶的網(wǎng)絡(luò)竊取隱私，甚至植入木馬，該漏洞影響過去二十年間所有Windows版本，從Windows 95到 Windows 10。

而就在“應(yīng)用克隆”攻擊模型正式對外披露之前，因特爾被曝存在CPU底層漏洞：“幽靈”“崩潰”，波及全球幾乎所有的手機(jī)、電腦、云計(jì)算產(chǎn)品。騰訊安全玄武在發(fā)布會(huì)對此也做了重點(diǎn)分析，并發(fā)布“幽靈”漏洞在線檢測工具，幫助用戶一鍵檢測自己的設(shè)備是否容易遭受漏洞攻擊。

 基于此，于旸在發(fā)布會(huì)現(xiàn)場針對“應(yīng)用克隆”背后的耦合風(fēng)險(xiǎn)首次提出安全廠商要建立“移動(dòng)安全新思維”。他指出，在端云一體的移動(dòng)時(shí)代，最重要的其實(shí)是用戶賬號體系和數(shù)據(jù)的安全。而要保護(hù)好這些，光搞好系統(tǒng)自身安全是不夠的。這使得移動(dòng)時(shí)代的安全問題更加復(fù)雜多變，涉及的方面也更多。需要手機(jī)廠商、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手，共同重視。

值得慶幸的是，“應(yīng)用克隆”攻擊模型的發(fā)現(xiàn)我們領(lǐng)先于不法黑客，占據(jù)了攻防主動(dòng)，受影響的APP廠商都已完成或正在積極的修復(fù)當(dāng)中，這也進(jìn)一步堅(jiān)定了行業(yè)內(nèi)外攜手共建健康網(wǎng)絡(luò)安全環(huán)境的決心，畢竟正如TK教主所言“洪水來臨的時(shí)候沒有一滴雨滴是無辜的”。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。