“應(yīng)用克隆”攻擊可竊取用戶賬戶，支付寶、餓了么等都中招了

1

電影《看不見的客人》讓我們領(lǐng)略了，一個細節(jié)的不留神，整個故事會有另外一幅面貌。男主角情人勞拉的手機是悲劇進行下去的發(fā)動機，直到影片快結(jié)局觀眾才知道那條關(guān)鍵短信是定時滯后發(fā)送。一個簡單的時間錯位尚且如此，現(xiàn)實生活中，如果你收到的短信還夾雜著黑客的攻擊，會怎么樣？

最近，騰訊安全玄武實驗室負責(zé)人“TK教主”于旸就用短信為載體，現(xiàn)場披露了”應(yīng)用克隆“這一移動攻擊威脅模型。玄武實驗室以支付寶App為例展示了攻擊效果：在升級到最新安卓8.1.0的手機上，利用支付寶App自身的漏洞，“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信，用戶一旦點擊，其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中，然后“攻擊者”就可以任意查看用戶賬戶信息，并可進行消費。

受此威脅模型影響，支付寶、攜程、餓了么等近十分之一的安卓版應(yīng)用都有信息、賬戶被盜的風(fēng)險。黑客可以克隆出一個你的支付寶（頭像、ID、花唄、芝麻信用等等完全一樣），然后花你的錢。而短信只是一種誘導(dǎo)方式，二維碼、新聞資訊、紅包頁面等都可能被黑客用作為攻擊手段。

基于該模型，玄武實驗室以某個常被廠商忽略的安全問題進行檢查，在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞，比例超過10%。在發(fā)現(xiàn)這些漏洞后，玄武實驗室通過CNCERT向廠商通報了相關(guān)信息，并給出了修復(fù)方案。目前，支付寶等在最新版本中已修復(fù)了該漏洞，還有一些仍存在修復(fù)不完全的情況。而最可怕的是，有很多沒有修復(fù)，還有一些根本還不知道自家安卓App可能因此中招。

TK也坦誠說，玄武實驗室的精力有限，此次只檢測了國內(nèi)主流的200款A(yù)PP。玄武的阿圖因系統(tǒng)可以實現(xiàn)對移動應(yīng)用問題的自動檢測，但因為此次應(yīng)用克隆漏洞利用模型的復(fù)雜性，是難以實現(xiàn)通過自動化程序?qū)崿F(xiàn)徹底檢測。

實際上，“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404實驗室和一些國外研究人員也曾提及過，但并未在業(yè)界引起足夠重視?？梢?，魔鬼的細節(jié)常常被視而不見，黑科技不僅離普通用戶很遠，有時候科技界都沒有正視他們。

所以，一些安全實驗室和白帽子很多時候就充當(dāng)了“醫(yī)生”的角色，發(fā)現(xiàn)廠商系統(tǒng)的病癥并給出治療方案，或者在病發(fā)之前提醒你“君有疾在腠理，不治將恐深”。

2

玄武實驗室的負責(zé)人TK教主就是學(xué)醫(yī)出身，甚至被稱之為婦科圣手。TK大學(xué)畢業(yè)的時候面臨兩個選擇，一個是遵循專業(yè)成為臨床醫(yī)生，另一個是加入綠盟成為職業(yè)安全研究員。TK認(rèn)為計算機科學(xué)非常適合探索，說得直白一些，在計算機上搞實驗所需物質(zhì)條件很低，但醫(yī)生不能在病人身上嘗試自己的實驗。

這個選擇和作家馮唐類似，馮唐在協(xié)和醫(yī)科大學(xué)正經(jīng)學(xué)過八年醫(yī)術(shù)，后來棄醫(yī)從文從商。雖然我們失去了醫(yī)生馮唐，但是作家馮唐也一樣在為大眾開藥方，比如《如何避免成為一個油膩的中年猥瑣男》。從這個角度來說，TK可以說是安全界的馮唐，馮唐是作家界的TK。

作為一個白帽子，天職就是給廠商提漏洞。理想狀態(tài)下，廠商應(yīng)該馬上確認(rèn)并修復(fù)漏洞，并且向白帽子致謝。但現(xiàn)實情況并非如此，剛開始白帽子生涯的TK提交一個漏洞之后，廠商確認(rèn)漏洞的時間半年到兩年不等，有時候廠商還不能對外透露修復(fù)的進展。

隨著安全的價值越來越高，這種情況后來有所好轉(zhuǎn)。在綠盟期間，TK發(fā)現(xiàn)并報告了Microsoft、Cisco等公司產(chǎn)品的多個安全漏洞，并且拿到了當(dāng)時微軟支付的最高額度獎金十萬美元。

還有很多和TK一樣的白帽子在網(wǎng)絡(luò)世界以游俠身份行走。他并不是一個人在戰(zhàn)斗，而TK加入騰訊之后，直接創(chuàng)建了一個門派，也就是被稱為“漏洞挖掘機”的玄武實驗室。作為這個門派的掌門人，TK在2016年，發(fā)現(xiàn)了微軟歷史上影響最廣泛的漏洞，他將此命名為“BadTunnel”。

微軟的這個漏洞，其實和醫(yī)藥學(xué)的情況類似。Windows實現(xiàn)了很多協(xié)議和功能，但這些協(xié)議和功能是由不同的人設(shè)計和實現(xiàn)的。這些協(xié)議單獨看起來都沒什么問題。但操作系統(tǒng)是需要整合這些協(xié)議一起工作的。這時候漏洞就出現(xiàn)了。每種藥品出廠的時候，都確保了危害是可以接受的。但是它們配伍后就可能對人傷害很大，是不能一起用的。

不只是微軟，蘋果也曾就玄武實驗室的漏洞收割貢獻多次公開致謝。玄武實驗室的成果一方面展示出中國白帽子的實力，另外一方面也告訴我們，安卓系統(tǒng)很危險，蘋果也不見得多安全。

3

說到底，這不是哪一個app或者手機廠商的問題，也并不是一個純粹技術(shù)攻防的戰(zhàn)場，而是整個行業(yè)的問題。國內(nèi)來說，BAT和360都需要在安全領(lǐng)域肩負起一定的社會責(zé)任，和相關(guān)部門一起，構(gòu)建一整套有效的安全預(yù)警和修復(fù)的機制。

以騰訊安全聯(lián)合實驗室的矩陣為例，其涵蓋科恩、玄武、湛瀘、云鼎、反病毒、反詐騙、移動安全七大實驗室，實驗室專注安全技術(shù)研究及安全攻防體系搭建，安全防范和保障范圍覆蓋了連接、系統(tǒng)、應(yīng)用、信息、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。

這次應(yīng)用克隆漏洞方面，騰訊安全和國家互聯(lián)網(wǎng)應(yīng)急中心的配合就是一個不錯的案例。CNVD（國家互聯(lián)網(wǎng)應(yīng)急中心旗下的信息安全漏洞共享平臺）在獲取到漏洞的相關(guān)情況之后，第一時間安排了相關(guān)的技術(shù)人員對漏洞進行了驗證，也為漏洞分配了漏洞編號，然后向這次漏洞涉及到的27家App的相關(guān)企業(yè)發(fā)送了點對點的漏洞安全通報。同時，在通報中也向各個企業(yè)提供了漏洞的詳細情況以及建立了修復(fù)方案。

騰訊安全在披露應(yīng)用克隆這一移動攻擊模型的當(dāng)天，CNVD發(fā)布了公告，對漏洞進行了分析，并給出了”高危“的評級，同時也附上了修復(fù)建議。

TK說，此次現(xiàn)場披露威脅的目的，是希望提醒更多的廠商重視安全并做好自檢，再小的安全隱患也需要重視。針對此次“應(yīng)用克隆”問題，騰訊安全玄武實驗室還提出了針對廠商的“玄武援助計劃”，針對需要技術(shù)支持的廠商玄武可以提供必要的支持。

“應(yīng)用克隆”漏洞披露后，不少網(wǎng)友都大戶吃驚，也有很多公司和應(yīng)用市場希望找玄武實驗室?guī)椭鷻z測或提供掃描方案。我看到騰訊玄武實驗室微博是這么回應(yīng)的：

1、由于該問題的復(fù)雜性，不可能通過自動掃描來判斷是否存在該漏洞。否則我們用阿圖因系統(tǒng)就能完成對全網(wǎng)應(yīng)用的檢查，而不只是僅檢查 200 個應(yīng)用。簡單通過函數(shù)掃描得出的結(jié)果，既會出現(xiàn)大量誤報，又會出現(xiàn)大量漏報。唯一能判斷有無漏洞的方式就是人工檢測。

2、對我們幫助檢測的應(yīng)用，根據(jù)和CNVD的溝通，我們也會統(tǒng)一提交給 CNVD，然后由 CNVD 通知廠商。

所以，看過支付寶示例視頻的大家不要以為這是個簡單的工序，實則暗藏諸多技術(shù)細節(jié)。不同于電影中雙方黑客電腦前的對抗情節(jié)，現(xiàn)實中的威脅打擊考驗的是漏洞修復(fù)、安全管理等多方面綜合能力。

不過，電影中的一些腦洞橋段確實又提示了黑客攻防的發(fā)展趨勢。想必看過《速度與激情8》的觀眾，都還記得其中反派遠程操控汽車車隊的景象。這個在現(xiàn)實中，技術(shù)極客“開黑”或許就能實現(xiàn)了。

去年7月，騰訊科恩實驗室就實現(xiàn)了對特斯拉Model X 的遠程攻擊，遠程控制剎車、車門、后備箱，操縱車燈以及廣播 。最早在2016年9月，該實驗室宣布他們以“遠程無物理接觸”的方式首次成功入侵了特斯拉汽車。這一舉動甚至引來特斯拉CEO馬斯克的親筆信致謝。

由此，我們也能看出來，無論是微軟、蘋果還是特斯拉，主流做法都是歡迎公開漏洞。什么時候披露，怎么披露有時候確實需要權(quán)衡，但披露本身的意義就在于讓廠商和應(yīng)用能夠及時自查。

技術(shù)永遠都是把雙刃劍，原本黑客只是黑客，并沒有白帽子和黑帽子的區(qū)分，最早的黑客甚至用默默無聞的行動為當(dāng)今的數(shù)字世界照亮了一條道路。但技術(shù)也總可能會被黑色產(chǎn)業(yè)利用，這時候就需要多維度聯(lián)防聯(lián)控，打破信息孤島。也正如TK所說：“洪水來臨的時候沒有一滴雨滴是無辜的?！?/p>

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。