腾讯安全&知道创宇发布“克隆”攻击安卓用户受影响

时间:2018-01-11 作者:zhankehua 评论:0 点击:2234 次

1月9日，“应用克隆”这一移动攻击威胁模型正式对外披露。腾讯安全玄武实验室与知道创宇404安全实验室，在联合召开的技术研究成果发布会上公布并展示了这一重大研究成果。工信部网络安全管理局网络与数据安全处处长付景广、CNCERT（国家互联网应急中心）网络安全处副处长李佳、腾讯副总裁马斌、腾讯安全玄武实验室负责人于旸(TK教主)、知道创宇首席安全官兼404安全实验室负责人周景平(Heige,人称黑哥)等领导及专家出席了新闻发布会。

据发布会披露，“应用克隆”是基于移动应用的一些基本设计特点导致的，几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。腾讯安全与知道创宇联手呼吁建立“移动安全新思维”，移动互联网时代的安全形势更加复杂，只有真正用移动思维来思考移动安全，才能正确评估安全问题的风险。
据了解，此次披露的“应用克隆”中涉及的部分技术此前知道创宇404安全实验室负责人、素有“漏洞之王”称号的黑哥早在2012年底就曾发现，并在2013年公开发表过，同时被国外安全研究员在相关安全研究时作过引用表述，显然这并未引起本应该有的高度重视。随后，黑哥更是进一步对自己的研究成果进行了系统整理，并曾经上报给了谷歌Android 团队，但至今仍未收到过来自官方的任何回复。

据黑哥透露，这种“应用克隆”属于紧急(最高等级)级别的漏洞威胁，被攻击者在受到攻击之后甚至很难察觉，危害极大，而随移动应用在多年后应用的更加广泛，其危害性也早已今非昔比。现在手机操作系统本身对漏洞攻击已有较多防御措施，所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合，就可以实现“应用克隆”攻击。这一漏洞利用方式一旦被不法分子利用，就可以轻松克隆获取用户账户权限，盗取用户账号及资金等。

发布会现场以支付宝APP为例展示了“应用克隆”攻击的效果：在升级到最新安卓8.1.0的手机上，利用支付宝APP自身的漏洞，“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中，然后“攻击者”就可以任意查看用户账户信息，并可进行消费。但必须强调的是，目前支付宝在最新版本中已修复了该“漏洞”。