于旸介紹��,在玄武安全研究團(tuán)隊(duì)研究過程中�,發(fā)現(xiàn)由于現(xiàn)在手機(jī)操作系統(tǒng)本身對漏洞攻擊已有較多防御措施,所以一些安全問題常常被APP廠商和手機(jī)廠商忽略����。而只要對這些貌似威脅不大的安全問題進(jìn)行組合,就可以實(shí)現(xiàn)“應(yīng)用克隆”攻擊���。這一漏洞利用方式一旦被不法分子利用�����,就可以輕松克隆獲取用戶賬戶權(quán)限��,盜取用戶賬號及資金等���。騰訊安全玄武實(shí)驗(yàn)室在研究過程中還發(fā)現(xiàn)���,“應(yīng)用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404實(shí)驗(yàn)室和一些國外研究人員也曾提及過,但顯然在業(yè)界并未引起足夠重視��。
在發(fā)布會現(xiàn)場�����,玄武實(shí)驗(yàn)室以支付寶APP為例展示了“應(yīng)用克隆”攻擊的效果:在升級到最新安卓8.1.0的手機(jī)上����,利用支付寶APP自身的漏洞���,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信����,用戶一旦點(diǎn)擊��,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中,然后“攻擊者”就可以任意查看用戶賬戶信息��,并可進(jìn)行消費(fèi)��。目前�,支付寶在最新版本中已修復(fù)了該漏洞。
據(jù)介紹�,“應(yīng)用克隆”對大多數(shù)移動應(yīng)用都有效。而玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP����,如支付寶、攜程����、餓了么等多個(gè)主流APP均存在漏洞,所以該漏洞幾乎影響國內(nèi)所有安卓用戶����。在發(fā)現(xiàn)這些漏洞后,騰訊安全玄武實(shí)驗(yàn)室通過CNCERT向廠商通報(bào)了相關(guān)信息�����,并給出了修復(fù)方案���,避免該漏洞被不法分子利用�。
發(fā)布會上,李佳副處長代表CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)網(wǎng)絡(luò)安全處和CNVD對騰訊安全玄武實(shí)驗(yàn)室所做的工作表示感謝���。他表示����,騰訊安全玄武實(shí)驗(yàn)室在第一時(shí)間向CNCERT平臺報(bào)送了相關(guān)的漏洞�,為相關(guān)的事件應(yīng)急響應(yīng)提前提供了很寶貴的時(shí)間。CNVD在獲取到漏洞的相關(guān)情況之后���,安排了相關(guān)的技術(shù)人員對漏洞進(jìn)行了驗(yàn)證���,并且也為漏洞分配了漏洞編號(CVE201736682),于2017年12月10號向27家具體的APP發(fā)送了點(diǎn)對點(diǎn)的漏洞安全通報(bào)��,同時(shí)提供了漏洞的詳細(xì)情況以及建立了修復(fù)方案����。
考慮到該漏洞影響的廣泛性�����,以及配合“應(yīng)用克隆”攻擊模型后的巨大威脅,騰訊安全玄武實(shí)驗(yàn)室現(xiàn)場發(fā)布了“玄武支援計(jì)劃”��。于旸表示�,由于對該漏洞的檢測無法自動化完成,必須人工分析�,玄武實(shí)驗(yàn)室無法對整個(gè)安卓應(yīng)用市場進(jìn)行檢測,所以通過此次新聞發(fā)布會�,希望更多的APP廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞,并進(jìn)行修復(fù)���。對用戶量大��、涉及重要數(shù)據(jù)的APP���,玄武實(shí)驗(yàn)室也愿意提供相關(guān)技術(shù)援助。
|
