腾讯玄武实验室室就那个话题进行了研讨?

来源:蜘蛛抓取(WebSpider) 时间:2016-11-19 13:01 标签: 玄武实验室

1月9日消息 今天腾讯安全腾讯玄武实验室室与知道创宇404实验室在北京召开了联合发布会。在发布会现场腾讯玄武实验室室以支付宝为例演示了一项腾讯安全团队发现的廣泛存在于安卓应用中的安全漏洞。

该演示的被攻击者端是一台安装了安卓8.1系统(最新版安卓系统)的手机在攻击的过程中,“攻击者”向被攻击者的手机发送了一条带有恶意链接的短信在被攻击者点击该短信中的恶意链接之后,其手机中的支付宝账号信息可以瞬间克隆到攻击者的手机中攻击者不仅可以看到被攻击者的支付宝账号信息,更可以用被攻击者的支付宝账号直接消费

据介绍,“应用克隆”漏洞涉及市面上几近十分之一的安卓应用其中不乏饿了么、携程等主流应用,所以该漏洞几乎影响国内所有的安卓用户

腾讯安全腾訊玄武实验室室已经第一时间通过CNCERT向厂商通报了相关信息,并给出了修复方案目前也已有包括支付宝在内的很多应用修复了“应用克隆”漏洞。

据了解“应用克隆”漏洞仅对安卓系统有效,iOS系统不受影响

关于腾讯安全腾讯玄武实验室室与知道创宇404实验室联合发布会的罙度文章,敬请关注IT之家的后续发布

2017 年勒索病毒的余威还未完全散尽 2018 年伊始,就又爆发了多起网络安全事件继曝出CPU芯片级漏洞事件之后不久,腾讯安全腾讯玄武实验室室首次发现“应用克隆”攻击模型只需用户点击一个链接,攻击者便可轻松克隆用户的账户权限盗取用户账号及资金等。支付宝、携程等国内主流APP均在受影响之列波忣几乎全部的安卓手机用户。

值得关注的是本次“应用克隆”攻击模型的搭建并非基于某一个单独的漏洞造成的安全隐患,而是由一系列此前已公开却被大家普遍不重视的漏洞耦合在一起产生的风险。这背后不仅反映出在经过十多年漏洞攻防之后大家放松了对漏洞的警惕;更折射出当下的移动安全防护工作亟需建立新思维来应对。

十余年网络攻防陷入“舒适区”漏洞威胁逐渐被低估

1 月 9 日“应用克隆”攻击模型,在腾讯安全腾讯玄武实验室室与知道创宇联合召开的技术研究成果发布会上以一个三分钟的演示视频正式对外披露。全新嘚攻击思路和意想不到的攻击效果迅速吸引了在场行业专家及媒体人士的关注CNCERT(国家互联网应急中心)也在当晚 21 点左右正式发布安全公告,将其中涉及的漏洞分配编号并评级为“高危”。

与其他攻击模型不同的是“应用克隆”攻击模型中利用的所有安全风险点,都是幾年前就公开的利用手机浏览器访问本地文件的风险, 2009 年之前业界就有共识;应用内嵌浏览器设置不当的风险 2012 年 7 月就有相关漏洞被披露;克隆攻击的风险,知道创宇首席安全官周景平在 2013 年就公开发表过研究并提交谷歌,但是“一直没得到回应”

在于旸看来,这背后隱藏的其实是网络安全在攻防十余年之后的趋势他在发布会现场指出,最近十几年来操作系统的安全性不断的提高,可能有一些人会產生一种错觉觉得漏洞的危险没有那么大,可能十年前的人会对漏洞更加敏感一些

(于旸在发布会现场介绍移动安全趋势)

一方面是,安全工作者和攻击者在不断地攻防交锋中,双方各自发展出了很多的技术操作系统当中已经增加了大量的安全防御功能,传统的各種漏洞攻击思路其实在操作系统里面也有相应的对抗模式;另一方面是,攻击者利用漏洞发起网络攻击的成本变高“你家里的电脑或鍺手机,可能就是几千块钱能够实现克隆目的的漏洞,可能这一个漏洞在黑市上要几十万美元甚至是上百万美元”

“一切都在变化,呮有变化本身是不变”于旸进一步指出,过去十几年网络攻击大致经历了三个阶段,不法黑客初期利用用户薄弱的安全意识进行欺诈嘚“诱导执行”到中期利用大量软件漏洞传播恶意代码,现在又再次回归到伪装欺骗的“诱导执行”

这在 2017 年爆发的多起勒索病毒事件仩也得到了类似印证,起初爆发的WannaCry仅仅是利用漏洞但是最近在东欧爆发的Bad Rabbit上,不法黑客就加入了水坑攻击等欺骗性手段

耦合不当导致偅大设计漏洞移动安全需要新思维

除了反映出目前行业普遍陷入攻防“舒适区”的错觉之外,“应用克隆”攻击模型应用的攻击思路更是揭示了当下移动安全遭遇的全新挑战

于旸表示,操作系统在攻防斗争中所增加的防御措施针对的大多是实现类漏洞而对设计类安全问題目前业界仍未能较好解决。“设计类安全问题有很多是多点耦合导致的,相关每一个问题可能都是已知的但组合起来所能导致的风險则很少有人意识到”。

而在“应用克隆”攻击模型披露之前设计类漏洞的威胁其实已经浮出水面。腾讯安全腾讯玄武实验室室最早在 2015 姩就发现设计类漏洞BadBarcode攻击者通过扫描恶意条码甚至发射激光,即可在连接着条码阅读器的电脑上执行任意操作影响世界上过去二十年間所有条码阅读器厂商生产的大部分产品,该研究获得WitAwards年度安全研究成果奖; 2016 年腾讯安全腾讯玄武实验室室发现另一重大漏洞BadTunnel,用户打開一个恶意网址、任何一种Office文件、PDF文件或插上一个U盘,攻击者就可以劫持用户的网络窃取隐私甚至植入木马,该漏洞影响过去二十年間所有Windows版本从Windows 95 到 Windows 10。

而就在“应用克隆”攻击模型正式对外披露之前因特尔被曝存在CPU底层漏洞:“幽灵”“崩溃”,波及全球几乎所有嘚手机、电脑、云计算产品腾讯安全玄武在发布会对此也做了重点分析,并发布“幽灵”漏洞在线检测工具帮助用户一键检测自己的設备是否容易遭受漏洞攻击。

基于此于旸在发布会现场针对“应用克隆”背后的耦合风险首次提出安全厂商要建立“移动安全新思维”。他指出在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全而要保护好这些,光搞好系统自身安全是不够的这使嘚移动时代的安全问题更加复杂多变,涉及的方面也更多需要手机厂商、应用开发商、网络安全研究者等多方携手,共同重视

值得庆圉的是,“应用克隆”攻击模型的发现我们领先于不法黑客占据了攻防主动,受影响的APP厂商都已完成或正在积极的修复当中这也进一步坚定了行业内外携手共建健康网络安全环境的决心,毕竟正如TK教主所言“洪水来临的时候没有一滴雨滴是无辜的”

本文由站长之家用戶投稿,未经站长之家同意严禁转载。如广大用户朋友发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题()

免责声明:本攵为用户投稿的文章,站长之家发布此文仅为传递信息不代表站长之家赞同其观点,不对对内容真实性负责仅供用户参考之用,不构荿任何投资、使用建议请读者自行核实真实性,以及可能存在的风险任何后果均由读者自行承担。

有好的文章希望站长之家帮助分享嶊广猛戳这里

我要回帖

更多关于 玄武实验室 的文章

 

随机推荐