騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸介紹漏洞修復(fù)情況
點(diǎn)擊一條手機(jī)短信,自己的手機(jī)應(yīng)用賬戶就被“克隆”到他人的手機(jī)中,對(duì)方還可以任意查看自己的賬戶信息,并可進(jìn)行消費(fèi)——昨天,騰訊玄武安全研究團(tuán)隊(duì)發(fā)布了這一存在在國(guó)內(nèi)許多主流安卓APP中的手機(jī)漏洞,并給出了修復(fù)方案。
點(diǎn)擊一條手機(jī)短信,自己的手機(jī)支付寶賬戶就被“克隆”到他人的手機(jī)中,對(duì)方還可以任意查看自己的賬戶信息,并可進(jìn)行消費(fèi)——昨天,騰訊玄武安全研究團(tuán)隊(duì)發(fā)布了這一存在在國(guó)內(nèi)許多主流安卓APP中的手機(jī)漏洞,并給出了修復(fù)方案。目前,支付寶已在一個(gè)月前對(duì)App進(jìn)行了升級(jí),修復(fù)了這一安卓漏洞。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心表示,已向涉及到的企業(yè)發(fā)送安全通報(bào),目前仍有10家廠商未能反饋修復(fù)情況。
APP被克隆威脅用戶信息安全
在他人的手機(jī)上克隆一份APP,克隆者可以輕松獲取賬戶權(quán)限,盜取用戶賬號(hào)及資金等,這聽上去很可怕,但這樣的“應(yīng)用克隆”攻擊模型已經(jīng)存在,且對(duì)大多數(shù)移動(dòng)應(yīng)用都有效。騰訊安全玄武實(shí)驗(yàn)室表示,其此次發(fā)現(xiàn)的漏洞至少涉及國(guó)內(nèi)安卓應(yīng)用市場(chǎng)十分之一的APP,如支付寶、餓了么等多個(gè)主流APP均存在漏洞,所以該漏洞幾乎影響國(guó)內(nèi)所有安卓用戶。
騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示,該攻擊模型是基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的,所以幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。玄武實(shí)驗(yàn)室以某APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級(jí)到最新安卓8.1.0的手機(jī)上,利用其自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信,用戶一旦點(diǎn)擊,其賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中,然后“攻擊者”就可以任意查看用戶信息,并可直接操作該應(yīng)用,竊取隱私信息,盜取賬號(hào)及資金等。基于該攻擊模型,騰訊安全玄武實(shí)驗(yàn)室以某個(gè)常被廠商忽略的安全問題進(jìn)行檢查,在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞,比例超過10%。不過,于旸表示,本次玄武實(shí)驗(yàn)室發(fā)現(xiàn)的“應(yīng)用克隆”漏洞只針對(duì)安卓系統(tǒng)。
CNVD:仍有10家廠商未能反饋
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長(zhǎng)李佳表示,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)在獲取到漏洞的相關(guān)情況之后:首先,安排了相關(guān)的技術(shù)人員對(duì)漏洞進(jìn)行了驗(yàn)證,并且為漏洞分配了漏洞編號(hào)CNE201736682;同時(shí),CNVD向這次漏洞涉及到的27家APP相關(guān)企業(yè),發(fā)送了點(diǎn)對(duì)點(diǎn)的漏洞安全通報(bào),同時(shí)向各個(gè)企業(yè)提供了漏洞的詳細(xì)情況以及建立了修復(fù)方案。
李佳稱,在發(fā)出通報(bào)后不久,CNVD就收到了包括支付寶、百度外賣、國(guó)美等等大部分APP的主動(dòng)反饋,表示他們已經(jīng)在修復(fù)漏洞進(jìn)程中,目前一些APP已經(jīng)修復(fù)。不過截止到前天,尚有10家廠商仍未反饋漏洞情況,其中包括:餓了么、聚美優(yōu)品、豆瓣、易車、鐵友火車票、微店等。李佳希望,上述廠商切實(shí)加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營(yíng)能力,落實(shí)網(wǎng)絡(luò)安全法規(guī)的主體責(zé)任要求;當(dāng)本公司的產(chǎn)品出現(xiàn)了重大的安全漏洞或者隱患的時(shí)候能夠第一時(shí)間進(jìn)行響應(yīng)和解決修復(fù),能夠切實(shí)地維護(hù)和保障廣大用戶的權(quán)利。
騰訊共享修復(fù)方案提供技術(shù)援助
于旸透露,在發(fā)現(xiàn)這些漏洞后,騰訊安全玄武實(shí)驗(yàn)室在去年12月通過CNCERT(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)向廠商通報(bào)了相關(guān)信息,并給出了修復(fù)方案,避免該漏洞被不法分子利用。另外,玄武實(shí)驗(yàn)室將提供“玄武支援計(jì)劃”協(xié)助處理。
于旸表示,由于對(duì)該漏洞的檢測(cè)無法自動(dòng)化完成,必須人工分析,玄武實(shí)驗(yàn)室無法對(duì)整個(gè)安卓應(yīng)用市場(chǎng)進(jìn)行檢測(cè),所以希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞,并進(jìn)行修復(fù)。對(duì)用戶量大、涉及重要數(shù)據(jù)的APP,玄武實(shí)驗(yàn)室也愿意提供相關(guān)技術(shù)援助。
新聞內(nèi)存
騰訊七大安全實(shí)驗(yàn)室建立安全矩陣
玄武實(shí)驗(yàn)室是騰訊旗下聚焦各類型漏洞的挖掘、利用、檢測(cè)、防御的一支團(tuán)隊(duì),除此之外,騰訊還有六大安全實(shí)驗(yàn)室,分別是科恩實(shí)驗(yàn)室、湛瀘實(shí)驗(yàn)室、云鼎實(shí)驗(yàn)室、反病毒實(shí)驗(yàn)室、反詐騙實(shí)驗(yàn)室和移動(dòng)安全實(shí)驗(yàn)室。每個(gè)實(shí)驗(yàn)室的研究方向都不盡相同,這七大實(shí)驗(yàn)室共同構(gòu)建了騰訊互聯(lián)網(wǎng)安全實(shí)驗(yàn)室矩陣,專注安全技術(shù)研究及安全攻防體系搭建,安全防范和保障范圍覆蓋了連接、系統(tǒng)、應(yīng)用、信息、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。
2016年,騰訊安全聯(lián)合實(shí)驗(yàn)室科恩實(shí)驗(yàn)室憑借“全球首次遠(yuǎn)程無物理接觸方式入侵特斯拉汽車”研究成果獲得特斯拉官方最高獎(jiǎng)勵(lì)及榮譽(yù)。同時(shí),在反詐騙領(lǐng)域,騰訊安全反詐騙實(shí)驗(yàn)室與公安部、運(yùn)營(yíng)商等共同推出了“守護(hù)者計(jì)劃”,利用“反詐騙智慧大腦”等新技術(shù)武器,精準(zhǔn)打擊詐騙黑產(chǎn),保障用戶資金安全。
文/記者 溫婧