【環球網科技綜合報導】1月9日, “應用克隆”這一移動攻擊威脅模型正式對外披露。 騰訊安全玄武實驗室與知道創宇404實驗室, 在聯合召開的技術研究成果發佈會上公佈並展示了這一重大研究成果。 工信部網路安全管理局網路與資料安全處處長付景廣、CNCERT(國家互聯網應急中心)網路安全處副處長李佳、騰訊副總裁馬斌、騰訊安全玄武實驗室負責人于暘(TK教主)、知道創宇首席安全官周景平等領導及專家出席了新聞發佈會。
付景廣處長表示:“現在隨著互聯網及數位經濟的發展, 網路安全一方面造福於國家、社會,
於暘則表示, 該攻擊模型是基於移動應用的一些基本設計特點導致的, 所以幾乎所有移動應用都適用該攻擊模型。 在這個攻擊模型的視角下, 很多以前認為威脅不大、廠商不重視的安全問題, 都可以輕鬆“克隆”使用者帳戶, 竊取隱私資訊, 盜取帳號及資金等。
(玄武實驗室以支付寶APP為例展示了“應用克隆”攻擊的效果)
“應用克隆”影響範圍涉及國內主流APP, 騰訊安全公佈“玄武支援計畫”
於暘介紹, 在玄武安全研究團隊研究過程中, 發現由於現在手機作業系統本身對漏洞攻擊已有較多防禦措施, 所以一些安全問題常常被APP廠商和手機廠商忽略。 而只要對這些貌似威脅不大的安全問題進行組合,
在發佈會現場, 玄武實驗室以支付寶APP為例展示了“應用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機上, 利用支付寶APP自身的漏洞, “攻擊者”向用戶發送一條包含惡意連結的手機短信, 用戶一旦點擊, 其支付寶帳戶一秒鐘就被“克隆”到“攻擊者”的手機中, 然後“攻擊者”就可以任意查看使用者帳戶資訊,
據介紹, “應用克隆”對大多數移動應用都有效。 而玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP, 如支付寶、攜程、餓了麼等多個主流APP均存在漏洞, 所以該漏洞幾乎影響國內所有安卓用戶。 在發現這些漏洞後, 騰訊安全玄武實驗室通過CNCERT向廠商通報了相關資訊, 並給出了修復方案, 避免該漏洞被不法分子利用。
發佈會上, 李佳副處長代表CNCERT(國家互聯網應急中心)網路安全處和CNVD對騰訊安全玄武實驗室所做的工作表示感謝。 他表示, 騰訊安全玄武實驗室在第一時間向CNCERT平臺報送了相關的漏洞, 為相關的事件應急回應提前提供了很寶貴的時間。 CNVD在獲取到漏洞的相關情況之後,安排了相關的技術人員對漏洞進行了驗證,並且也為漏洞分配了漏洞編號(CVE201736682),於2017年12月10號向27家具體的APP發送了點對點的漏洞安全通報,同時提供了漏洞的詳細情況以及建立了修復方案。
考慮到該漏洞影響的廣泛性,以及配合“應用克隆”攻擊模型後的巨大威脅,騰訊安全玄武實驗室現場發佈了“玄武支援計畫”。於暘表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以通過此次新聞發佈會,希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對使用者量大、涉及重要資料的APP,玄武實驗室也願意提供相關技術援助。
適應網路安全發展新趨勢 騰訊安全首倡“移動安全新思維”
更值得關注的是,於暘在此次報告中首次提出安全廠商要建立“移動安全新思維”,用移動思維來思考移動安全,來適應新的移動互聯網安全發展趨勢。在他看來,PC時代的安全思維對移動時代來說是不夠的。移動設備有諸多不同於PC的特點,而移動應用也有諸多不同于傳統軟體的特點。在PC時代,最重要的是系統自身的安全。而移動設備系統自身的安全性比PC要高很多,但在端雲一體的移動時代,最重要的其實是使用者帳號體系和資料的安全。而要保護好這些,光搞好系統自身安全是不夠的。這使得移動時代的安全問題更加複雜多變,涉及的方面也更多。需要手機廠商、應用開發商、網路安全研究者等多方攜手,共同重視。
(於暘在此次報告中首次提出安全廠商要建立“移動安全新思維)
“傳統的利用軟體漏洞進行攻擊的思路,一般是先用漏洞獲得控制,再植入後門。好比想長期進出你酒店的房間,就要先悄悄尾隨你進門,再悄悄把鎖弄壞,以後就能隨時進來。現代移動作業系統已經針對這種模式做了防禦,不是說不可能再這樣攻擊,但難度極大。如果我們換一個思路:進門後,找到你的酒店房卡,複製一張,就可以隨時進出了。不但可以隨時進出,還能以你的名義在酒店裡消費。目前,大部分移動應用在設計上都沒有考慮這種攻擊方式。”於暘表示,移動互聯網時代,安全廠商必須意識到各種新技術新設計會帶來更多新問題,要用移動思維來評估每一個安全風險,才能避免最終在安全上積重難返。
作為國際領先的安全攻防研究團隊,騰訊安全玄武實驗室聚集了頂尖的技術人才,在很多安全領域都取得了突破進展。而此次“應用克隆”漏洞利用方式的發現,也得益於玄武實驗室的深厚技術儲備。在不久前結束的2017年烏鎮世界互聯網大會上,騰訊安全玄武實驗室和中國科學院計算所大資料安全組合作的“阿圖因”軟體空間安全測繪系統入選了大會評出的前58大“世界互聯網領先科技成果”。
騰訊安全聯合實驗室技術創新持續賦能六大互聯網關鍵領域
在此次技術研究成果發佈會上,騰訊副總裁馬斌發佈了《騰訊安全前沿技術研究白皮書》,對目前中國面臨的安全形勢,以及騰訊安全聯合實驗室在科技創新、人才建設等方面的成果進行了全面盤點,並首次披露了騰訊安全聯合實驗室成立以來的十大安全研究成果。
作為國內首個互聯網安全實驗室矩陣,騰訊安全聯合實驗室旗下涵蓋科恩、玄武、湛瀘、雲鼎、反病毒、反詐騙、移動安全七大實驗室,實驗室專注安全技術研究及安全攻防體系搭建,安全防範和保障範圍覆蓋了連接、系統、應用、資訊、設備、雲六大互聯網關鍵領域,並在車聯網安全、物聯網安全、人工智慧、雲安全、自研殺毒引擎、安全人才培養、社會責任等諸多方面取得突破進展。
2016年,憑藉“全球首次遠端無物理接觸方式入侵特斯拉汽車”研究成果,騰訊安全聯合實驗室科恩實驗室獲得特斯拉官方最高獎勵及榮譽。同時,在反詐騙領域,騰訊安全反詐騙實驗室攜手公安部、運營商等相關合作夥伴共同推出的“守護者計畫”,利用“反詐騙智慧大腦”等新技術武器,精准打擊詐騙黑產,保障用戶資金安全。另外,在2017年上半年的“WannaCry”、“暗雲Ⅲ”等病毒事件中,騰訊安全反病毒實驗室、騰訊安全雲鼎實驗室共同針對使用者網路安全、雲端安全迅速制定防禦方案,並開發出包括勒索病毒免疫工具、文檔守護者、雲鏡等多款工具,第一時間降低了國內使用者和企業的網路安全風險。
(馬斌表示騰訊安全聯合實驗室將進一步推動互聯網安全生態的快速發展)
而作為騰訊安全七大實驗室矩陣之一,此次發佈“應用克隆”漏洞利用方式的玄武實驗室,在業內素有“漏洞挖掘機”稱號。2016年中,騰訊安全玄武實驗室和騰訊安全聯合實驗室旗下的其他六大實驗室相互配合,累計為微軟、蘋果、穀歌、Adobe四大國際頂尖廠商提交漏洞269個,位居國內首位。2016 年5 月的Adobe Reader 安全公告中更是一次性包含了32 個玄武實驗室報告的漏洞,從而創下了該產品歷史上單個公告中報告漏洞最多的紀錄。在發現應用克隆攻擊技術之前,騰訊安全玄武實驗室還針對條碼閱讀器的“BadBarcode”研究揭示了影響整個行業的存在了近二十年的重大安全隱患,得到國際安全界的廣泛關注和稱譽,並因此榮獲WitAwards“年度最佳研究成果”獎。
馬斌表示,隨著騰訊安全聯合實驗室在反詐騙、反病毒、漏洞安全、雲安全、車聯網、網路安全人才建設、技術研究等領域將持續輸出能力,賦能行業、企業,將進一步推動互聯網安全生態的快速發展。
CNVD在獲取到漏洞的相關情況之後,安排了相關的技術人員對漏洞進行了驗證,並且也為漏洞分配了漏洞編號(CVE201736682),於2017年12月10號向27家具體的APP發送了點對點的漏洞安全通報,同時提供了漏洞的詳細情況以及建立了修復方案。考慮到該漏洞影響的廣泛性,以及配合“應用克隆”攻擊模型後的巨大威脅,騰訊安全玄武實驗室現場發佈了“玄武支援計畫”。於暘表示,由於對該漏洞的檢測無法自動化完成,必須人工分析,玄武實驗室無法對整個安卓應用市場進行檢測,所以通過此次新聞發佈會,希望更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。對使用者量大、涉及重要資料的APP,玄武實驗室也願意提供相關技術援助。
適應網路安全發展新趨勢 騰訊安全首倡“移動安全新思維”
更值得關注的是,於暘在此次報告中首次提出安全廠商要建立“移動安全新思維”,用移動思維來思考移動安全,來適應新的移動互聯網安全發展趨勢。在他看來,PC時代的安全思維對移動時代來說是不夠的。移動設備有諸多不同於PC的特點,而移動應用也有諸多不同于傳統軟體的特點。在PC時代,最重要的是系統自身的安全。而移動設備系統自身的安全性比PC要高很多,但在端雲一體的移動時代,最重要的其實是使用者帳號體系和資料的安全。而要保護好這些,光搞好系統自身安全是不夠的。這使得移動時代的安全問題更加複雜多變,涉及的方面也更多。需要手機廠商、應用開發商、網路安全研究者等多方攜手,共同重視。
(於暘在此次報告中首次提出安全廠商要建立“移動安全新思維)
“傳統的利用軟體漏洞進行攻擊的思路,一般是先用漏洞獲得控制,再植入後門。好比想長期進出你酒店的房間,就要先悄悄尾隨你進門,再悄悄把鎖弄壞,以後就能隨時進來。現代移動作業系統已經針對這種模式做了防禦,不是說不可能再這樣攻擊,但難度極大。如果我們換一個思路:進門後,找到你的酒店房卡,複製一張,就可以隨時進出了。不但可以隨時進出,還能以你的名義在酒店裡消費。目前,大部分移動應用在設計上都沒有考慮這種攻擊方式。”於暘表示,移動互聯網時代,安全廠商必須意識到各種新技術新設計會帶來更多新問題,要用移動思維來評估每一個安全風險,才能避免最終在安全上積重難返。
作為國際領先的安全攻防研究團隊,騰訊安全玄武實驗室聚集了頂尖的技術人才,在很多安全領域都取得了突破進展。而此次“應用克隆”漏洞利用方式的發現,也得益於玄武實驗室的深厚技術儲備。在不久前結束的2017年烏鎮世界互聯網大會上,騰訊安全玄武實驗室和中國科學院計算所大資料安全組合作的“阿圖因”軟體空間安全測繪系統入選了大會評出的前58大“世界互聯網領先科技成果”。
騰訊安全聯合實驗室技術創新持續賦能六大互聯網關鍵領域
在此次技術研究成果發佈會上,騰訊副總裁馬斌發佈了《騰訊安全前沿技術研究白皮書》,對目前中國面臨的安全形勢,以及騰訊安全聯合實驗室在科技創新、人才建設等方面的成果進行了全面盤點,並首次披露了騰訊安全聯合實驗室成立以來的十大安全研究成果。
作為國內首個互聯網安全實驗室矩陣,騰訊安全聯合實驗室旗下涵蓋科恩、玄武、湛瀘、雲鼎、反病毒、反詐騙、移動安全七大實驗室,實驗室專注安全技術研究及安全攻防體系搭建,安全防範和保障範圍覆蓋了連接、系統、應用、資訊、設備、雲六大互聯網關鍵領域,並在車聯網安全、物聯網安全、人工智慧、雲安全、自研殺毒引擎、安全人才培養、社會責任等諸多方面取得突破進展。
2016年,憑藉“全球首次遠端無物理接觸方式入侵特斯拉汽車”研究成果,騰訊安全聯合實驗室科恩實驗室獲得特斯拉官方最高獎勵及榮譽。同時,在反詐騙領域,騰訊安全反詐騙實驗室攜手公安部、運營商等相關合作夥伴共同推出的“守護者計畫”,利用“反詐騙智慧大腦”等新技術武器,精准打擊詐騙黑產,保障用戶資金安全。另外,在2017年上半年的“WannaCry”、“暗雲Ⅲ”等病毒事件中,騰訊安全反病毒實驗室、騰訊安全雲鼎實驗室共同針對使用者網路安全、雲端安全迅速制定防禦方案,並開發出包括勒索病毒免疫工具、文檔守護者、雲鏡等多款工具,第一時間降低了國內使用者和企業的網路安全風險。
(馬斌表示騰訊安全聯合實驗室將進一步推動互聯網安全生態的快速發展)
而作為騰訊安全七大實驗室矩陣之一,此次發佈“應用克隆”漏洞利用方式的玄武實驗室,在業內素有“漏洞挖掘機”稱號。2016年中,騰訊安全玄武實驗室和騰訊安全聯合實驗室旗下的其他六大實驗室相互配合,累計為微軟、蘋果、穀歌、Adobe四大國際頂尖廠商提交漏洞269個,位居國內首位。2016 年5 月的Adobe Reader 安全公告中更是一次性包含了32 個玄武實驗室報告的漏洞,從而創下了該產品歷史上單個公告中報告漏洞最多的紀錄。在發現應用克隆攻擊技術之前,騰訊安全玄武實驗室還針對條碼閱讀器的“BadBarcode”研究揭示了影響整個行業的存在了近二十年的重大安全隱患,得到國際安全界的廣泛關注和稱譽,並因此榮獲WitAwards“年度最佳研究成果”獎。
馬斌表示,隨著騰訊安全聯合實驗室在反詐騙、反病毒、漏洞安全、雲安全、車聯網、網路安全人才建設、技術研究等領域將持續輸出能力,賦能行業、企業,將進一步推動互聯網安全生態的快速發展。