1月10日消息��,騰訊安全玄武實驗室昨日與知道創(chuàng)宇404實驗室聯(lián)合召開技術(shù)研究成果發(fā)布會��,正式對外披露“應(yīng)用克隆”這一移動攻擊威脅模型�。
騰訊安全玄武實驗室負(fù)責(zé)人于旸表示�����,該攻擊模型是基于移動應(yīng)用的一些基本設(shè)計特點(diǎn)導(dǎo)致的����,所以幾乎所有移動應(yīng)用都適用該攻擊模型�����。在這個攻擊模型的視角下��,很多以前認(rèn)為威脅不大���、廠商不重視的安全問題��,都可以輕松“克隆”用戶賬戶�,竊取隱私信息,盜取賬號及資金等���?��;谠摴裟P停v訊安全玄武實驗室以某個常被廠商忽略的安全問題進(jìn)行檢查�,在200個移動應(yīng)用中發(fā)現(xiàn)27個存在漏洞,比例超過10%�����。
在發(fā)現(xiàn)這些漏洞之后�����,騰訊安全玄武實驗室通過CNCERT向廠商報告了相關(guān)漏洞��,并提供了修復(fù)方法��。但考慮到相關(guān)問題影響之廣����,難以將相關(guān)信息逐個通知給所有移動應(yīng)用開發(fā)商,所以通過新聞發(fā)布會希望更多移動應(yīng)用開發(fā)商了解該問題并進(jìn)行自查。同時��,玄武實驗室將提供“玄武支援計劃”協(xié)助處理��。同時于旸還指出����,移動互聯(lián)網(wǎng)時代的安全形勢更加復(fù)雜,只有真正用移動思維來思考移動安全�����,才能正確評估安全問題的風(fēng)險�。
于旸介紹,在玄武安全研究團(tuán)隊研究過程中��,發(fā)現(xiàn)由于現(xiàn)在手機(jī)操作系統(tǒng)本身對漏洞攻擊已有較多防御措施���,所以一些安全問題常常被APP廠商和手機(jī)廠商忽略。而只要對這些貌似威脅不大的安全問題進(jìn)行組合��,就可以實現(xiàn)“應(yīng)用克隆”攻擊����。這一漏洞利用方式一旦被不法分子利用,就可以輕松克隆獲取用戶賬戶權(quán)限,盜取用戶賬號及資金等�����。騰訊安全玄武實驗室在研究過程中還發(fā)現(xiàn)�����,“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404實驗室和一些國外研究人員也曾提及過����,但顯然在業(yè)界并未引起足夠重視。
在發(fā)布會現(xiàn)場����,玄武實驗室以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機(jī)上,利用支付寶APP自身的漏洞��,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信����,用戶一旦點(diǎn)擊,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中�,然后“攻擊者”就可以任意查看用戶賬戶信息,并可進(jìn)行消費(fèi)����。目前����,支付寶在最新版本中已修復(fù)了該漏洞�����。
據(jù)介紹�,“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效。而玄武實驗室此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP��,如支付寶�����、攜程���、餓了么等多個主流APP均存在漏洞�,所以該漏洞幾乎影響國內(nèi)所有安卓用戶�。在發(fā)現(xiàn)這些漏洞后��,騰訊安全玄武實驗室通過CNCERT向廠商通報了相關(guān)信息�,并給出了修復(fù)方案,避免該漏洞被不法分子利用。
考慮到該漏洞影響的廣泛性�,以及配合“應(yīng)用克隆”攻擊模型后的巨大威脅,騰訊安全玄武實驗室現(xiàn)場發(fā)布了“玄武支援計劃”�。
于旸表示,由于對該漏洞的檢測無法自動化完成��,必須人工分析�,玄武實驗室無法對整個安卓應(yīng)用市場進(jìn)行檢測,所以通過此次新聞發(fā)布會����,希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞,并進(jìn)行修復(fù)��。對用戶量大��、涉及重要數(shù)據(jù)的APP����,玄武實驗室也愿意提供相關(guān)技術(shù)援助。
更值得關(guān)注的是����,于旸在此次報告中首次提出安全廠商要建立“移動安全新思維”,用移動思維來思考移動安全�,來適應(yīng)新的移動互聯(lián)網(wǎng)安全發(fā)展趨勢����。在他看來����,PC時代的安全思維對移動時代來說是不夠的。移動設(shè)備有諸多不同于PC的特點(diǎn)�����,而移動應(yīng)用也有諸多不同于傳統(tǒng)軟件的特點(diǎn)����。
在此次技術(shù)研究成果發(fā)布會上,騰訊副總裁馬斌發(fā)布了《騰訊安全前沿技術(shù)研究白皮書》����,對目前中國面臨的安全形勢,以及騰訊安全聯(lián)合實驗室在科技創(chuàng)新�����、人才建設(shè)等方面的成果進(jìn)行了全面盤點(diǎn)��,并首次披露了騰訊安全聯(lián)合實驗室成立以來的十大安全研究成果���。
馬斌表示�,隨著騰訊安全聯(lián)合實驗室在反詐騙�、反病毒、漏洞安全����、云安全、車聯(lián)網(wǎng)���、網(wǎng)絡(luò)安全人才建設(shè)�、技術(shù)研究等領(lǐng)域?qū)⒊掷m(xù)輸出能力��,賦能行業(yè)�����、企業(yè)��,將進(jìn)一步推動互聯(lián)網(wǎng)安全生態(tài)的快速發(fā)展����。
中研網(wǎng) 發(fā)現(xiàn)資訊的價值 
研究院 掌握產(chǎn)業(yè)最新情報 
騰訊安全玄武實驗室發(fā)布“玄武支援計劃” 應(yīng)對“應(yīng)用克隆”威脅 
