腾讯发现「应用克隆」漏洞, 中国主流安卓App悉数中枪, 隐私何时才能不“裸奔”

安在信息安全新媒体 2018-01-12

新年伊始,网络安全问题再次成为人们关注的焦点。整个IT产业陷入芯片“熔断”和“幽灵”两大漏洞事件;今日头条被用户指控存在“麦克风监听”的问题......

互联网世界一日一更,网络产生的个人数据呈指数级增长,而用户也越来越重视信息泄漏的问题,开始拒绝隐私网上“裸奔”。提早发现漏洞,防患于未然才是解决问题之道。

中国主流安卓APP被曝存在「应用克隆」风险

昨日,腾讯安全玄武实验室与知道创宇404实验室,在联合召开的发布会上,正式对外披露攻击威胁模型「应用克隆」。

腾讯安全玄武实验室负责人于旸(TK教主)表示,该攻击模型是基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。

在这个攻击模型的视角下,很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。

现场,以支付宝为例展示了「应用克隆」攻击的效果:

你在手机上点击一个网站链接,可以看到一个看上去正常的支付宝抢红包页面,但你一旦点击,噩梦就此开始。账户一秒钟就被“克隆”到“攻击者”的手机中,攻击者借此完全可以任意查看用户信息,并用你的支付宝消费。

这是当前利用漏洞传递恶意代码的一种典型方式。TK教主称,在手机上点击恶意链接,有漏洞的应用就会被完全控制。TK教主在回答记者提问时表示,这种攻击短信它本身用户应该是无从分辨的,看起来跟其他的短信应该没有什么区别。有可能攻击者不在你的好友通讯录名单里面,可能你拿到的是一个未知号码,由此引起警惕。

这让人想到觉得毛骨悚然。

腾讯表示,经过测试,「应用克隆」对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,该漏洞几乎影响国内所有安卓用户。

在发现这些漏洞后,腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息,并给出了修复方案,避免该漏洞被不法分子利用。

发现漏洞不难,真正思考防御问题却令人非常头疼

TK教主说,“漏洞问题其实已经很清晰了,至少我们已经清楚了该怎么修复,也可以告知一些厂商。但是从更长远的范围来讲,真正要想解决安全问题,其实就是我刚才讲的,它绝对不能说依靠某一环节和用户多注意一点。它是需要整个链条上的每一个环节,大家都能够把事情做好,当然是最美好的状态了。”

知道创宇404实验室首席安全官周景平(黑哥)表示,「应用克隆」漏洞攻击,整套攻击中涉及的风险点其实都是已知的。2012年就发现了这个漏洞,2013年3月,黑哥在他的博客里就提到了这种风险。

当时他购买了第一台HTC,想研究一下安卓系统的风险。移动APP上,比如说你现在用手机登录微博,当你退出微博的进程或者关闭手机的时候,你重新开机再重新打开微博的时候,发现它还是在登录状态。

那如果把这台手机上相关的应用数据,或者是移到另外一台手机上会有什么效果?当把微博的账号数据在移到另外一台手机上的时候,当然里面还涉及到跟手机相关的一些数据,它就会在另外一台手机上去完成登录的过程。

他向谷歌反映了相关问题,但是并没有得到回应。周景平说到,真正思考防御问题会让很多人和公司非常头疼,即使你把这个问题解决了,说不定还有其他的另外问题。需要不停的调架构,不停的去改设计框架之类的。还要考虑到把你的安全问题解决了,会不会给用户的性能带来一些问题。

网络安全隐患是经常存在且不难被发现的,而对于安全的重视以及真正解决问题还是任重道远。

这里还涉及到一个攻击成本的问题。要掌握相关攻击技术,有的攻击成本是非常高的,而为什么作为漏洞研究者会花大的精力和成本去研究?

周景平称,我们希望走在攻击者的前面。对于这种做黑产的也好,做恶意的也好,在他们发现这个之前,我们报告给有些厂商和监管机构去把问题解决掉,给大家带来安全性。

相关推荐