1月9日, 騰訊匯。
下午3點的騰訊安全有一場發佈會, 不到2點, 主要演講人騰訊玄武實驗室負責人 TK(于暘) 已經到位, 知道創宇404Team的老大黑哥(周景平)也現身了。
會前, 據知道創宇一位市場部人士向雷鋒網宅客頻道透露, 黑哥幾年前發現了一個漏洞, 報給了穀歌, 但是穀歌沒搭理他。
“是一點回音都沒有嗎 ?”雷鋒網宅客頻道問。
“是, 好像是說穀歌覺得可能不是它那邊的責任。 ”該人士說。
下午3點25分, 原計劃開始的發佈會還沒開始。
騰訊方面同時傳來了資訊::騰訊玄武實驗室上報了一個重大漏洞, 這屬於一個應用克隆的漏洞,
這也透露了一個資訊, 這個漏洞應該是影響安卓系統的多款應用, 不然工信部領導不會來月臺。
3點半左右, 發佈會開始, 懸念揭曉。
在手機上點擊一個網站連結, 你可以看到一個看上去正常的支付寶搶紅包頁面, 但噩夢從你點選連結就開始——此時你的支付寶的資訊全部可以在攻擊者的機器上呈現, 攻擊者借此完全可以用你的支付寶消費。
你一無所知。
這是當前利用漏洞傳遞惡意程式碼的一種典型方式。 TK稱, 在手機上點擊惡意連結, 有漏洞的應用就會被完全控制。
這是一種“應用克隆”漏洞攻擊。
有意思的是, 整套攻擊中涉及的風險點其實都是已知的。 2013年3月, 黑哥在他的博客裡就提到了這種風險。
TK 稱, 多點耦合產生了可怕漏洞, 所謂多點耦合, 是A點看上去沒問題, B點看上去也沒問題, 但是A和B組合起來, 就組成了一個大問題。
說白了, 是一個系統的設計問題。
移動設備普遍使用了可信計算、漏洞緩解、許可權隔離等安全技術, 但移動技術自身的各種特點又給安全引入了更多的新變數, 新產量可能耦合出新風險。
這種應用克隆漏洞就是這種類型的漏洞。 目前, 支付寶該漏洞已修復。
黑哥一怒之下在博客上進行發佈, 但穀歌方面現在依然沒有完全修復該漏洞。
在發佈會現場, TK 發佈了演示視頻, 實現了克隆帳戶和竊取用戶照片的攻擊效果。
目前, 據騰訊方面的研究, 市面上 200 多款安卓應用中, 27款 App 有此漏洞。 漏洞列表及影響如下,其中18個可被遠端攻擊,9個只能從本機攻擊。2017年12月7日,騰訊將27個漏洞報告給了國家資訊安全性漏洞共用平臺(cnvd) ,截止到2018年1月9日,有11個 App 進行了修復,但其中3個修復存在缺陷。
國家互聯網應急中心(CNCERT)網路安全處副處長李佳介紹,支付寶、百度外賣、國美等已經就該漏洞進行回饋,截止到昨天,還未收到京東到家、虎撲等十家廠商的回饋。
以下為TK 和黑哥的採訪記錄,雷鋒網略有刪減和整理。
1.什麼時候發現的這些漏洞?TK:我們今天看到影響的是若干款 App ,其實整個發現是陸陸續續的一個過程,不是一次性的一個過程。最初發現就是去年年底。
2.廠商怎麼修補?TK:漏洞本身是我們發現的,我們發現後及時通報給了國家相關的主管部門,然後通過主管部門去通知應用廠商修補。
3.針對支付寶,有實際攻擊案例嗎?TK:沒有,至少我們沒有知道的案例。雖然有可能通過這種途徑發起攻擊,但是我們並不知道是否有人真的有發起這種攻擊。
4.普通用戶可以防範嗎?黑哥:普通用戶防範的問題還是比較頭疼的,剛才的視頻演示也只是一個場景,第一個視頻中,攻擊者發了一個短信,讓你去點,還有一種場景是可以掃一個二維碼,也是誘使你訪問一個網頁。其實對於一些普通用戶來說,首先別人發給你的連結,少點,不太確定的二維碼,不要掃一掃。最重要的一點是,關注官方的升級,包括作業系統和 App 的官方升級。
TK:如果用戶今天打開你的手機,然後把這些已經修復的 App 升級到最新版,其實就已經不再受這些漏洞的影響了。
5.這裡的多點耦合到底是什麼意思?TK:多點耦合不是一個漏洞,是一種思路。舉一個例子,你可能想跟蹤一個人,但是你跟蹤這一個人,可能你只掌握他一方面的資訊是比較困難的,如果你只掌握了他鞋子的品牌和尺寸,可能不能精確定位一個人。如果把一個人的各方面特徵放在一起時,可以形成綜合性的準確判定,但整體的判定是由一系列的細節形成的。
剛才講的今天大家看到的展示裡,最終大家看到的我們控制應用產生的效果是克隆這種方式。要用這個漏洞去實現克隆,這個漏洞本身是由多個耦合點形成的漏洞,和克隆結合起來也成了耦合整個鏈條中的環節,成了齒輪中的一個,最終達到了這樣一整套的東西。
6.你第一次是向穀歌提交的,這意味著其實有通過官方版安卓系統修復的可能性嗎?黑哥:我們做漏洞攻防研究的首先是攻,對於個人來說,在發現攻擊方式的時候更多的想到的是攻,至於這個問題到底要誰解決,最起碼那個時候沒有想那麼多。只是說這個東西很普遍,或許在操作平臺系統上面有對應的防禦機制能夠做這種東西。但是這種設計上的,說缺陷或者是個性也好,設計上的問題要在操作層面系統去解決的話,他們(編者注:指穀歌)也很頭痛。
即使你把這個問題解決了,說不定還有其他的問題,需要不停地改架構之類。就算把安全問題解決了,會不會給使用者的性能帶來一些問題?例如,這兩天 CPU 的漏洞。很多人還在思考,作業系統修復漏洞時會降低使用者的 CPU 使用率。它會降低性能,這樣很多人就會去思考,這個漏洞打的補丁到底是打還是不打?很多問題沒有一個明確的答案。
安卓廠商有可能比較積極一點的是,認可這確實是一個大問題,而且是普遍存在的。有可能做得比較好一點的廠商會來一個提示,或者安卓廠商認為在不影響其他使用者使用的功能和性能下,有必要修復,廠商可以做修補,但大平臺考慮的問題更多,不完全是安全性的問題。
漏洞列表及影響如下,其中18個可被遠端攻擊,9個只能從本機攻擊。2017年12月7日,騰訊將27個漏洞報告給了國家資訊安全性漏洞共用平臺(cnvd) ,截止到2018年1月9日,有11個 App 進行了修復,但其中3個修復存在缺陷。國家互聯網應急中心(CNCERT)網路安全處副處長李佳介紹,支付寶、百度外賣、國美等已經就該漏洞進行回饋,截止到昨天,還未收到京東到家、虎撲等十家廠商的回饋。
以下為TK 和黑哥的採訪記錄,雷鋒網略有刪減和整理。
1.什麼時候發現的這些漏洞?TK:我們今天看到影響的是若干款 App ,其實整個發現是陸陸續續的一個過程,不是一次性的一個過程。最初發現就是去年年底。
2.廠商怎麼修補?TK:漏洞本身是我們發現的,我們發現後及時通報給了國家相關的主管部門,然後通過主管部門去通知應用廠商修補。
3.針對支付寶,有實際攻擊案例嗎?TK:沒有,至少我們沒有知道的案例。雖然有可能通過這種途徑發起攻擊,但是我們並不知道是否有人真的有發起這種攻擊。
4.普通用戶可以防範嗎?黑哥:普通用戶防範的問題還是比較頭疼的,剛才的視頻演示也只是一個場景,第一個視頻中,攻擊者發了一個短信,讓你去點,還有一種場景是可以掃一個二維碼,也是誘使你訪問一個網頁。其實對於一些普通用戶來說,首先別人發給你的連結,少點,不太確定的二維碼,不要掃一掃。最重要的一點是,關注官方的升級,包括作業系統和 App 的官方升級。
TK:如果用戶今天打開你的手機,然後把這些已經修復的 App 升級到最新版,其實就已經不再受這些漏洞的影響了。
5.這裡的多點耦合到底是什麼意思?TK:多點耦合不是一個漏洞,是一種思路。舉一個例子,你可能想跟蹤一個人,但是你跟蹤這一個人,可能你只掌握他一方面的資訊是比較困難的,如果你只掌握了他鞋子的品牌和尺寸,可能不能精確定位一個人。如果把一個人的各方面特徵放在一起時,可以形成綜合性的準確判定,但整體的判定是由一系列的細節形成的。
剛才講的今天大家看到的展示裡,最終大家看到的我們控制應用產生的效果是克隆這種方式。要用這個漏洞去實現克隆,這個漏洞本身是由多個耦合點形成的漏洞,和克隆結合起來也成了耦合整個鏈條中的環節,成了齒輪中的一個,最終達到了這樣一整套的東西。
6.你第一次是向穀歌提交的,這意味著其實有通過官方版安卓系統修復的可能性嗎?黑哥:我們做漏洞攻防研究的首先是攻,對於個人來說,在發現攻擊方式的時候更多的想到的是攻,至於這個問題到底要誰解決,最起碼那個時候沒有想那麼多。只是說這個東西很普遍,或許在操作平臺系統上面有對應的防禦機制能夠做這種東西。但是這種設計上的,說缺陷或者是個性也好,設計上的問題要在操作層面系統去解決的話,他們(編者注:指穀歌)也很頭痛。
即使你把這個問題解決了,說不定還有其他的問題,需要不停地改架構之類。就算把安全問題解決了,會不會給使用者的性能帶來一些問題?例如,這兩天 CPU 的漏洞。很多人還在思考,作業系統修復漏洞時會降低使用者的 CPU 使用率。它會降低性能,這樣很多人就會去思考,這個漏洞打的補丁到底是打還是不打?很多問題沒有一個明確的答案。
安卓廠商有可能比較積極一點的是,認可這確實是一個大問題,而且是普遍存在的。有可能做得比較好一點的廠商會來一個提示,或者安卓廠商認為在不影響其他使用者使用的功能和性能下,有必要修復,廠商可以做修補,但大平臺考慮的問題更多,不完全是安全性的問題。