查看: 638|回复: 2

一个新的手机漏洞被发现,别人能用他的手机偷你的钱!

[复制链接]

78

主题

228

帖子

329

积分

居民标兵

Rank: 6Rank: 6

积分
329
注册时间
2011-5-5
最后登录
2018-5-2
发表于 2018-1-12 10:42 | 显示全部楼层 |阅读模式
随着新年到来,小伙伴们开始频繁地收发红包,有朋友间的互送,也有商家的推广活动。可你有没有想过,哪天当你点开一个红包链接,自己的支付宝信息瞬间在另一个手机上被“克隆”了?而别人可以像你一样使用该账号,包括扫码支付。这不是小编耸人听闻,你安装的手机应用里,真的可能存在这种漏洞。
1月9日,腾讯安全玄武实验室与知道创宇404实验室披露攻击威胁模型——“应用克隆”。先通过一个演示来了解它,以支付宝为例:

在升级到最新安卓8.1.0的手机上↓
QQ截图20180112103947.jpg

“攻击者”向用户发送一条包含恶意链接的手机短信↓
QQ截图20180112104001.jpg

用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中↓
QQ截图20180112104014.jpg

然后“攻击者”就可以任意查看用户信息,并可直接操作该应用↓
QQ截图20180112104025.jpg
你的手机会被影响吗?有什么防范的方法?在这个“可怕”的攻击威胁背后,又折射出怎样的移动互联网时代安全新形势?
QQ截图20180112104039.jpg
国内10%安卓应用存在“应用克隆”漏洞
QQ截图20180112104052.jpg
腾讯安全玄武实验室负责人于旸表示,该攻击模型基于移动应用的一些基本设计特点导致的,所以几乎所有移动应用都适用该攻击模型。很多以前认为威胁不大、厂商不重视的安全问题,都可以轻松“克隆”用户账户,窃取隐私信息,盗取账号及资金等。

经过测试,“应用克隆”对大多数移动应用都有效,在200个移动应用中发现27个存在漏洞,比例超过10%。玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户。

目前,“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。另外,腾讯表示目前尚未有已知案例利用这种途径发起攻击。

“应用克隆”有多可怕?

“应用克隆”的可怕之处在于:和以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。于旸比喻说:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不但能随时进出,还能以你的名义在酒店消费。”

这一消息已被及时以各种方式传递出去,但反馈的情况却“参差不齐”。工信部网络安全管理局网络与数据安全处处长付景广表示,接到腾讯的通报后,“我们也组织相关的单位和专家进行了认真分析和研判”,国家互联网应急中心网络安全处副处长的李佳则介绍说,2017年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台,在经过相关技术人员验证后,国家信息安全漏洞共享平台为这一漏洞分配了编号CNE201736682,并于10日向这27个应用设计的企业发送了点对点安全通报:”在发出通报后不久就收到了包括支付宝、百度外卖,国美等大部分厂商的主动反馈,表示他们已开始漏洞修复,但截至8日,京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车Pia0、虎扑、微店等10家厂商还未收到相关反馈。”于旸也表示,截至9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用进行了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。而在9日技术研究成果发布会现场演示中,仍然可以用这种方式“克隆”携程安卓版手机应用,在“克隆”后尚能看到用户的交易记录。


↑玄武实验室9日检测结果

这从某种意义上显示出国内部分手机应用厂商安全意识的薄弱。于旸坦言:“我们也看了一部分国外应用,受这个漏洞的影响的应用占总体比例比国内少不少。从我十几年的网络安全领域从业经验来看,国内厂商和开发者,在安全意识上和国外同行相比确实有一定差距。”

用户如何进行防范?

而普通用户最关心的则是如何能对这一攻击方式进行防范。知道创宇404实验室负责人周景平回答本报记者提问时表示,普通用户的防范比较头疼,但仍有一些通用的安全措施:

一是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;

更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。

新的多点耦合产生漏洞

除了巨大的危害,另一个令人吃惊的事实是,这一攻击方式并非一直潜藏在黑暗之中。于旸表示:“查阅以往的技术资料整个攻击当中涉及的每一个风险点,其实都有人提过。”其中的关键风险,周景平甚至在2013年3月就在自己的博客中进行了安全提示,他表示:“那时我还把这个问题报给了当时的安卓官方,但没有给我任何信息反馈,对方甚至连邮件都没有回复我。”

那么为什么这种危害巨大的攻击方式此前却既未被安全厂商发觉,也未有攻击案例发生?“这是新的多点耦合产生的漏洞。”于旸打了一个比喻,“这就像是网线插头上有个凸起,结果路由器在插口位置上正好设计了一个重置按钮。“网线本身没有问题,路由器也没有问题,但结果是你一插上网线,路由器就重启。多点耦合也是这样,每一个问题都是已知的,但组合起来却带来了额外风险。”他还介绍说,在2016年还发现过另外一个漏洞,一共利用了9个不同网络协议和操作系统的特点,这些特点组合在一起,恶意文档甚至不用打开,”插上U盘看一下目录就能传播。”

多点耦合的出现,其实正意味着网络安全形势的变化。硬币的一面是漏洞“联合作战”的“乘法效应”,另一面则是防守者们形成的合力。在电脑时代,最重要的是系统自身的安全,而包括手机在内的移动设备系统自身的安全性比电脑要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。而保护好这些,光搞好系统自身安全远远不够,需要手机厂商、应用开发商、网络安全研究者等多方携手。

这也是管理部门的思路。李佳表示,在此次事件中发挥作用的国家信息安全共享平台正是基于“建立信息安全漏洞共享的知识库”的目的而生,“目前联合了国内的重大信息系统单位,基础的电信运营商和安全厂商和软件厂商以及相关的互联网企业等,一共有60家的技术组合、用户组和成员单位,大家共享发现的漏洞,及时通报消息。截止目前一共收录了软硬件产品的漏洞目前超过10万,针对具体事件型漏洞超过了30万,党政机关和重要信息系统漏洞超过了6.9万起。”

付景广也表示,在去年9月工信部印发的《公共互联网网络安全威胁监测与处置办法》同样体现出这样的原则。“比如我们提出了及时发现的原则,要凝聚各方力量,无论是安全企业还是互联网企业还是技术应用企业,都欢迎大家提交发现的成果,同时还有科学研判的原则,包括国家互联网应急中心和其他科研机构乃至有能力的企业,都要对发现的问题进行研判,确保它的的确是恶意的,在这种基础上进行进一步的处置。”

“新面孔”带来新风险

“应用克隆”是个尚未形成危害就被捕捉到的漏洞,但是然后呢?

著名安全专家、网络安全厂商RSA前总裁阿密特·莫兰有句名言:“新的网络安全威胁形势下,防御者如同拿着旧地图在海上航行。”新硬件、新技术、新服务的出现和交叉融合,催生了“新面孔”,也带来了新的风险。

比如硬件风险。此前刚刚公布的CPU硬件漏洞就属于这样的风险,它其实是设计漏洞,像是在蓝图的时候就画错了,这类风险,即使在操作系统端加以防护也于事无补。此外,数以亿计的物联网设备,如智能盒子、安防摄像头、家用路由器等,其芯片执行漏洞、流量劫持漏洞、蓝牙蠕虫漏洞等底层威胁已在2017年暴露无遗,随着联网设备的指数级增长,2018年物联网设备的安全威胁将愈演愈烈。

此外还有针对人工智能的攻击。美国加州大学伯克利分校教授宋晓冬介绍说,两张人眼看起来一模一样的熊猫图片,一张被神经网络正确识别为“熊猫”,另外一张却因为被加上了人眼难以察觉的微小扰动,就被神经网络以99.3%的置信度识别为“长臂猿”,这就是可以“愚弄”人工智能的对抗样本。“用对抗样本攻击人工智能,其实就是从最核心的算法层面来攻击它。可以设想,一旦无人驾驶的汽车识别了被对抗样本改造过的交通标示,将带来严重的后果。幸好从目前来看,针对自动驾驶的对抗样本对抗性很差。”

经济日报

106

主题

1576

帖子

2817

积分

区房管员

Rank: 10Rank: 10Rank: 10

积分
2817
注册时间
2010-7-7
最后登录
2018-5-25
发表于 2018-1-12 11:30 | 显示全部楼层
不是果粉。但是ios的操作系统是uinx裁剪下来的。安全用户管理权限非常可靠。

安卓就算了,尤其国产组装机。
回复 支持 反对

使用道具 举报

106

主题

1576

帖子

2817

积分

区房管员

Rank: 10Rank: 10Rank: 10

积分
2817
注册时间
2010-7-7
最后登录
2018-5-25
发表于 2018-1-12 11:30 | 显示全部楼层
黑莓也不错,但是在墙内阉割ta的功能。就如whatsapp很好用,但是被墙了。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

发布主题 上个主题 下个主题 快速回复 收藏帖子 返回列表 官方QQ群