“應用克隆”這一移動攻擊威脅模型的對外披露, 引發了不少線民的恐慌情緒。 一些一度被認為威脅不大、廠商也不重視的安全性漏洞,
在手機上點擊一個網站連結, 打開的是一個看似完全正常的搶紅包頁面, 但無論你是否點擊紅包, 你的支付寶應用已經在另一台手機上被“克隆”, 甚至包括你的用戶名和密碼, 攻擊者可以點開支付寶付款碼消費。
儘管現在支付寶已經修復了這一漏洞, 但騰訊安全玄武實驗室與知道創宇404實驗室1月9日披露的攻擊威脅模型“應用克隆”仍令人十分震驚。 騰訊安全玄武實驗室負責人于暘表示:“該攻擊模型是基於移動應用的一些基本特點設計的。
歲末年初, 網路安全又成為很多人熱議的話題。 你的手機被“克隆”了嗎?有什麼防範方法?在這個“可怕”的攻擊威脅背後, 又折射出怎樣的移動互聯網時代安全新形勢?經濟日報記者採訪了相關專家。
廠商安全意識薄弱——
應用及時升級很重要
“應用克隆”的可怕之處在於, 與以往的木馬攻擊不同, 它實際上並不依靠傳統的木馬病毒, 也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。 於暘比喻說:“這就像過去想進入你的酒店房間, 需要把鎖弄壞,
“應用克隆”這一漏洞只對安卓系統有效, 蘋果手機則不受影響。 騰訊表示, 目前尚無已知案例利用這種途徑發起攻擊。
與此同時, 這一消息也被及時以各種方式傳遞出去, 但回饋的情況卻“參差不齊”。 工信部網路安全管理局網路與資料安全處處長付景廣表示, 接到騰訊的通報後, “我們也組織相關單位和專家開展了認真分析和研判”。
國家互聯網應急中心網路安全處副處長李佳則介紹說, 2017年12月7日, 騰訊將27個可被攻擊的應用報告給了國家資訊安全性漏洞共用平臺。 在經過相關技術人員驗證後, 國家資訊安全性漏洞共用平臺為這一漏洞分配了編號,
“在發出通報後不久, 就收到了包括支付寶、百度外賣、國美等大部分廠商的主動回饋, 表示他們已開始修復漏洞, 但截至2018年1月8日, 還未收到京東到家、餓了麼、聚美優品、豆瓣、易車、鐵友火車票、虎撲、微店等10家廠商的相關回饋。 ”於暘表示, 截至1月9日上午, 共有支付寶、餓了麼、小米生活、WIFI萬能鑰匙等11個手機應用作了修復, 但其中亞馬遜(中國版)、卡牛信用管家、一點資訊等3個應用修復不全。
在1月9日技術研究成果發佈會現場演示中, 仍然可以用這種方式“克隆”攜程安卓版手機應用, 在“克隆”後尚能看到使用者的交易記錄。
這從某種意義上顯示出國內部分手機應用廠商安全意識薄弱。
普通用戶最關心的則是如何能對這一攻擊方式加以防範。 知道創宇404實驗室負責人周景平回答記者提問時表示:“普通用戶的防範比較頭疼, 但仍有一些通用的安全措施。 一是別人發給你的連結輕易不要點開, 不太確定的二維碼不要出於好奇心就去掃, 更重要的是要隨時關注官方的升級, 及時升級手機作業系統和應用軟體。 ”
網路安全形勢發生變化——
警惕漏洞“聯合作戰”
除了巨大危害,另一個令人吃驚的事實是,這一攻擊方式並非一直潛藏在黑暗之中。於暘表示:“查閱以往的技術資料,攻擊中涉及的每一個風險點,其實都有人提出過。”其中的關鍵風險,周景平甚至在2013年3月份就在自己的博客中作了安全提示。他表示:“那時我還把這個問題報給了當時的安卓官方,但對方沒有給我任何資訊回饋,甚至連郵件都沒有回復。”
那麼,為什麼這種危害巨大的攻擊方式此前既未被安全廠商發覺,也沒有攻擊案例發生?“這是新的多點耦合產生的漏洞。”於暘打了一個比喻,“這就像是網線插頭上有個凸起,結果路由器在插口位置上剛好設計了一個重新開機按鈕。網線本身沒有問題,路由器也沒有問題,但結果是你一插上網線,路由器就重啟。多點耦合也是這樣,每一個問題都是已知的,但組合起來卻帶來了額外風險。”他還介紹說,在2016年還發現過另外一個漏洞,一共利用了9個不同網路通訊協定和作業系統的特點,這些特點組合在一起,惡意文檔甚至不用打開,插上U盤看一下目錄就能傳播。
多點耦合的出現,其實正意味著網路安全形勢的變化。硬幣的一面是漏洞“聯合作戰”的乘法效應,另一面則是防守者們形成的合力。在電腦時代,最重要的是系統自身安全,雖然包括手機在內的移動設備系統自身的安全性比電腦要高很多,但在端雲一體的移動時代,最重要的其實是使用者帳號體系和資料的安全。要做好保護,光搞好系統自身安全遠遠不夠,需要手機廠商、應用開發商、網路安全研究者等多方攜手。
這也是管理部門的思路。李佳表示,在此次事件中發揮作用的國家資訊安全共用平臺正是基於“建立資訊安全性漏洞共用的知識庫”目的而生。“目前已聯合國內的重大資訊系統單位,基礎電信運營商、安全廠商和軟體廠商以及相關互聯網企業等,一共有60家的技術組合、使用者組和成員單位,大家共用發現的漏洞,及時通報消息。截至目前,共收錄了軟硬體產品漏洞超過10萬起,具體事件型漏洞超過了30萬起,黨政機關和重要資訊系統漏洞超過了6.9萬起”。
防範各種形式網路風險——
別想拿著舊地圖去航行
“應用克隆”是個尚未形成危害就被捕捉到的漏洞。著名安全專家、網路安全廠商RSA前總裁阿密特·莫蘭有句名言:“在新的網路安全威脅形勢下,防禦者如同拿著舊地圖在海上航行。”新硬體、新技術、新服務的出現和交叉融合,催生了新面孔,也帶來了新的風險。
比如硬體風險。此前剛剛公佈的CPU硬體漏洞就屬於這樣的風險,它其實是設計漏洞,像是在藍圖的時候就畫錯了,這類風險即使在作業系統端加以防護也於事無補。此外,數以億計的物聯網設備,如智慧盒子、安防攝像頭、家用路由器等,其晶片執行漏洞、流量劫持漏洞、藍牙蠕蟲漏洞等底層威脅已在2017年暴露無遺,隨著聯網設備的指數級增長,2018年物聯網設備的安全威脅將愈演愈烈。
此外,還有針對人工智慧的攻擊。美國加州大學伯克利分校教授宋曉冬介紹說,兩張看上去一模一樣的熊貓圖片,一張被神經網路正確識別為“熊貓”,另外一張卻因為被加上了人眼難以察覺的微小擾動,就被神經網路以99.3%的置信度識別為“長臂猿”,這就是可以“愚弄”人工智慧的對抗樣本。“用對抗樣本攻擊人工智慧,其實就是從最核心的演算法層面來攻擊它。可以設想,一旦無人駕駛的汽車識別了被對抗樣本改造過的交通標識,將帶來嚴重後果。幸好從目前來看,針對自動駕駛的對抗樣本對抗性很差。”宋曉冬說。
付景廣表示,工信部印發的《公共互聯網網路安全威脅監測與處置辦法》提出了及時發現原則和科學研判的原則,鼓勵安全企業、互聯網企業、技術應用企業提交研發成果。同時,鼓勵包括國家互聯網應急中心和其他科研機構等有能力的企業,對發現的問題及時研判,準確識別,並在這一基礎上進一步處置。
除了巨大危害,另一個令人吃驚的事實是,這一攻擊方式並非一直潛藏在黑暗之中。於暘表示:“查閱以往的技術資料,攻擊中涉及的每一個風險點,其實都有人提出過。”其中的關鍵風險,周景平甚至在2013年3月份就在自己的博客中作了安全提示。他表示:“那時我還把這個問題報給了當時的安卓官方,但對方沒有給我任何資訊回饋,甚至連郵件都沒有回復。”
那麼,為什麼這種危害巨大的攻擊方式此前既未被安全廠商發覺,也沒有攻擊案例發生?“這是新的多點耦合產生的漏洞。”於暘打了一個比喻,“這就像是網線插頭上有個凸起,結果路由器在插口位置上剛好設計了一個重新開機按鈕。網線本身沒有問題,路由器也沒有問題,但結果是你一插上網線,路由器就重啟。多點耦合也是這樣,每一個問題都是已知的,但組合起來卻帶來了額外風險。”他還介紹說,在2016年還發現過另外一個漏洞,一共利用了9個不同網路通訊協定和作業系統的特點,這些特點組合在一起,惡意文檔甚至不用打開,插上U盤看一下目錄就能傳播。
多點耦合的出現,其實正意味著網路安全形勢的變化。硬幣的一面是漏洞“聯合作戰”的乘法效應,另一面則是防守者們形成的合力。在電腦時代,最重要的是系統自身安全,雖然包括手機在內的移動設備系統自身的安全性比電腦要高很多,但在端雲一體的移動時代,最重要的其實是使用者帳號體系和資料的安全。要做好保護,光搞好系統自身安全遠遠不夠,需要手機廠商、應用開發商、網路安全研究者等多方攜手。
這也是管理部門的思路。李佳表示,在此次事件中發揮作用的國家資訊安全共用平臺正是基於“建立資訊安全性漏洞共用的知識庫”目的而生。“目前已聯合國內的重大資訊系統單位,基礎電信運營商、安全廠商和軟體廠商以及相關互聯網企業等,一共有60家的技術組合、使用者組和成員單位,大家共用發現的漏洞,及時通報消息。截至目前,共收錄了軟硬體產品漏洞超過10萬起,具體事件型漏洞超過了30萬起,黨政機關和重要資訊系統漏洞超過了6.9萬起”。
防範各種形式網路風險——
別想拿著舊地圖去航行
“應用克隆”是個尚未形成危害就被捕捉到的漏洞。著名安全專家、網路安全廠商RSA前總裁阿密特·莫蘭有句名言:“在新的網路安全威脅形勢下,防禦者如同拿著舊地圖在海上航行。”新硬體、新技術、新服務的出現和交叉融合,催生了新面孔,也帶來了新的風險。
比如硬體風險。此前剛剛公佈的CPU硬體漏洞就屬於這樣的風險,它其實是設計漏洞,像是在藍圖的時候就畫錯了,這類風險即使在作業系統端加以防護也於事無補。此外,數以億計的物聯網設備,如智慧盒子、安防攝像頭、家用路由器等,其晶片執行漏洞、流量劫持漏洞、藍牙蠕蟲漏洞等底層威脅已在2017年暴露無遺,隨著聯網設備的指數級增長,2018年物聯網設備的安全威脅將愈演愈烈。
此外,還有針對人工智慧的攻擊。美國加州大學伯克利分校教授宋曉冬介紹說,兩張看上去一模一樣的熊貓圖片,一張被神經網路正確識別為“熊貓”,另外一張卻因為被加上了人眼難以察覺的微小擾動,就被神經網路以99.3%的置信度識別為“長臂猿”,這就是可以“愚弄”人工智慧的對抗樣本。“用對抗樣本攻擊人工智慧,其實就是從最核心的演算法層面來攻擊它。可以設想,一旦無人駕駛的汽車識別了被對抗樣本改造過的交通標識,將帶來嚴重後果。幸好從目前來看,針對自動駕駛的對抗樣本對抗性很差。”宋曉冬說。
付景廣表示,工信部印發的《公共互聯網網路安全威脅監測與處置辦法》提出了及時發現原則和科學研判的原則,鼓勵安全企業、互聯網企業、技術應用企業提交研發成果。同時,鼓勵包括國家互聯網應急中心和其他科研機構等有能力的企業,對發現的問題及時研判,準確識別,並在這一基礎上進一步處置。