1
电影《看不见的客人》让我们领略了,一个细节的不留神,整个故事会有另外一幅面貌。男主角情人劳拉的手机是悲剧进行下去的发动机,直到影片快结局观众才知道那条关键短信是定时滞后发送。一个简单的时间错位尚且如此,现实生活中,如果你收到的短信还夹杂着黑客的攻击,会怎么样?
最近,腾讯安全玄武实验室负责人“TK教主”于D就用短信为载体,现场披露了”应用克隆“这一移动攻击威胁模型。玄武实验室以支付宝App为例展示了攻击效果:在升级到最新安卓8.1.0的手机上,利用支付宝App自身的漏洞,“攻击者”向用户发送一条包含恶意链接的手机短信,用户一旦点击,其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中,然后“攻击者”就可以任意查看用户账户信息,并可进行消费。
受此威胁模型影响,支付宝、携程、饿了么等近十分之一的安卓版应用都有信息、账户被盗的风险。黑客可以克隆出一个你的支付宝(头像、ID、花呗、芝麻信用等等完全一样),然后花你的钱。而短信只是一种诱导方式,二维码、新闻资讯、红包页面等都可能被黑客用作为攻击手段。
基于该模型,玄武实验室以某个常被厂商忽略的安全问题进行检查,在200个移动应用中发现27个存在漏洞,比例超过10%。在发现这些漏洞后,玄武实验室通过CNCERT向厂商通报了相关信息,并给出了修复方案。目前,支付宝等在最新版本中已修复了该漏洞,还有一些仍存在修复不完全的情况。而最可怕的是,有很多没有修复,还有一些根本还不知道自家安卓App可能因此中招。
TK也坦诚说,玄武实验室的精力有限,此次只检测了国内主流的200款APP。玄武的阿图因系统可以实现对移动应用问题的自动检测,但因为此次应用克隆漏洞利用模型的复杂性,是难以实现通过自动化程序实现彻底检测。
实际上,“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过,但并未在业界引起足够重视。可见,魔鬼的细节常常被视而不见,黑科技不仅离普通用户很远,有时候科技界都没有正视他们。
所以,一些安全实验室和白帽子很多时候就充当了“医生”的角色,发现厂商系统的病症并给出治疗方案,或者在病发之前提醒你“君有疾在腠理,不治将恐深”。
2
玄武实验室的负责人TK教主就是学医出身,甚至被称之为妇科圣手。TK大学毕业的时候面临两个选择,一个是遵循专业成为临床医生,另一个是加入绿盟成为职业安全研究员。TK认为计算机科学非常适合探索,说得直白一些,在计算机上搞实验所需物质条件很低,但医生不能在病人身上尝试自己的实验。
这个选择和作家冯唐类似,冯唐在协和医科大学正经学过八年医术,后来弃医从文从商。虽然我们失去了医生冯唐,但是作家冯唐也一样在为大众开药方,比如《如何避免成为一个油腻的中年猥琐男》。从这个角度来说,TK可以说是安全界的冯唐,冯唐是作家界的TK。
作为一个白帽子,天职就是给厂商提漏洞。理想状态下,厂商应该马上确认并修复漏洞,并且向白帽子致谢。但现实情况并非如此,刚开始白帽子生涯的TK提交一个漏洞之后,厂商确认漏洞的时间半年到两年不等,有时候厂商还不能对外透露修复的进展。
随着安全的价值越来越高,这种情况后来有所好转。在绿盟期间,TK发现并报告了Microsoft、Cisco等公司产品的多个安全漏洞,并且拿到了当时微软支付的最高额度奖金十万美元。
还有很多和TK一样的白帽子在网络世界以游侠身份行走。他并不是一个人在战斗,而TK加入腾讯之后,直接创建了一个门派,也就是被称为“漏洞挖掘机”的玄武实验室。作为这个门派的掌门人,TK在2016年,发现了微软历史上影响最广泛的漏洞,他将此命名为“BadTunnel”。
微软的这个漏洞,其实和医药学的情况类似。Windows实现了很多协议和功能,但这些协议和功能是由不同的人设计和实现的。这些协议单独看起来都没什么问题。但操作系统是需要整合这些协议一起工作的。这时候漏洞就出现了。每种药品出厂的时候,都确保了危害是可以接受的。但是它们配伍后就可能对人伤害很大,是不能一起用的。
不只是微软,苹果也曾就玄武实验室的漏洞收割贡献多次公开致谢。玄武实验室的成果一方面展示出中国白帽子的实力,另外一方面也告诉我们,安卓系统很危险,苹果也不见得多安全。
3
说到底,这不是哪一个app或者手机厂商的问题,也并不是一个纯粹技术攻防的战场,而是整个行业的问题。国内来说,BAT和360都需要在安全领域肩负起一定的社会责任,和相关部门一起,构建一整套有效的安全预警和修复的机制。
以腾讯安全联合实验室的矩阵为例,其涵盖科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室,实验室专注安全技术研究及安全攻防体系搭建,安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域。
这次应用克隆漏洞方面,腾讯安全和国家互联网应急中心的配合就是一个不错的案例。CNVD(国家互联网应急中心旗下的信息安全漏洞共享平台)在获取到漏洞的相关情况之后,第一时间安排了相关的技术人员对漏洞进行了验证,也为漏洞分配了漏洞编号,然后向这次漏洞涉及到的27家App的相关企业发送了点对点的漏洞安全通报。同时,在通报中也向各个企业提供了漏洞的详细情况以及建立了修复方案。
腾讯安全在披露应用克隆这一移动攻击模型的当天,CNVD发布了公告,对漏洞进行了分析,并给出了”高危“的评级,同时也附上了修复建议。
TK说,此次现场披露威胁的目的,是希望提醒更多的厂商重视安全并做好自检,再小的安全隐患也需要重视。针对此次“应用克隆”问题,腾讯安全玄武实验室还提出了针对厂商的“玄武援助计划”,针对需要技术支持的厂商玄武可以提供必要的支持。
“应用克隆”漏洞披露后,不少网友都大户吃惊,也有很多公司和应用市场希望找玄武实验室帮助检测或提供扫描方案。
我看到腾讯玄武实验室微博是这么回应的:
1、由于该问题的复杂性,不可能通过自动扫描来判断是否存在该漏洞。否则我们用阿图因系统就能完成对全网应用的检查,而不只是仅检查 200 个应用。简单通过函数扫描得出的结果,既会出现大量误报,又会出现大量漏报。唯一能判断有无漏洞的方式就是人工检测。
2、对我们帮助检测的应用,根据和CNVD的沟通,我们也会统一提交给 CNVD,然后由 CNVD 通知厂商。
所以,看过支付宝示例视频的大家不要以为这是个简单的工序,实则暗藏诸多技术细节。不同于电影中双方黑客电脑前的对抗情节,现实中的威胁打击考验的是漏洞修复、安全管理等多方面综合能力。
不过,电影中的一些脑洞桥段确实又提示了黑客攻防的发展趋势。想必看过《速度与激情8》的观众,都还记得其中反派远程操控汽车车队的景象。这个在现实中,技术极客“开黑”或许就能实现了。
去年7月,腾讯科恩实验室就实现了对特斯拉Model X 的远程攻击,远程控制刹车、车门、后备箱,操纵车灯以及广播 。最早在2016年9月,该实验室宣布他们以“远程无物理接触”的方式首次成功入侵了特斯拉汽车。这一举动甚至引来特斯拉CEO马斯克的亲笔信致谢。
由此,我们也能看出来,无论是微软、苹果还是特斯拉,主流做法都是欢迎公开漏洞。什么时候披露,怎么披露有时候确实需要权衡,但披露本身的意义就在于让厂商和应用能够及时自查。
技术永远都是把双刃剑,原本黑客只是黑客,并没有白帽子和黑帽子的区分,最早的黑客甚至用默默无闻的行动为当今的数字世界照亮了一条道路。但技术也总可能会被黑色产业利用,这时候就需要多维度联防联控,打破信息孤岛。也正如TK所说:“洪水来临的时候没有一滴雨滴是无辜的。”
爱盈利-运营小咖秀(www.aiyingli.com) 始终坚持研究分享移动互联网App运营推广经验、策略、全案、渠道等纯干货知识内容;是广大App运营从业者的知识启蒙、成长指导、进阶学习的集聚平台;
想了解更多移动互联网干货知识,请关注微信公众号运营小咖秀(ID: yunyingshow)