精品国产亚洲一区二区三区|亚洲国产精彩中文乱码AV|久久久久亚洲AV综合波多野结衣|漂亮少妇各种调教玩弄在线

<blockquote id="ixlwe"><option id="ixlwe"></option></blockquote>
  • <span id="ixlwe"></span>

  • <abbr id="ixlwe"></abbr>

    “應用克隆”攻擊可竊取用戶賬戶,支付寶、餓了么等都中招了

    “應用克隆”攻擊可竊取用戶賬戶,支付寶、餓了么等都中招了

    1

    電影《看不見的客人》讓我們領(lǐng)略了,一個細節(jié)的不留神,整個故事會有另外一幅面貌。男主角情人勞拉的手機是悲劇進行下去的發(fā)動機,直到影片快結(jié)局觀眾才知道那條關(guān)鍵短信是定時滯后發(fā)送。一個簡單的時間錯位尚且如此,現(xiàn)實生活中,如果你收到的短信還夾雜著黑客的攻擊,會怎么樣?

    最近,騰訊安全玄武實驗室負責人“TK教主”于旸就用短信為載體,現(xiàn)場披露了”應用克隆“這一移動攻擊威脅模型。玄武實驗室以支付寶App為例展示了攻擊效果:在升級到最新安卓8.1.0的手機上,利用支付寶App自身的漏洞,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信,用戶一旦點擊,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然后“攻擊者”就可以任意查看用戶賬戶信息,并可進行消費。

    受此威脅模型影響,支付寶、攜程、餓了么等近十分之一的安卓版應用都有信息、賬戶被盜的風險。黑客可以克隆出一個你的支付寶(頭像、ID、花唄、芝麻信用等等完全一樣),然后花你的錢。而短信只是一種誘導方式,二維碼、新聞資訊、紅包頁面等都可能被黑客用作為攻擊手段。

    基于該模型,玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應用中發(fā)現(xiàn)27個存在漏洞,比例超過10%。在發(fā)現(xiàn)這些漏洞后,玄武實驗室通過CNCERT向廠商通報了相關(guān)信息,并給出了修復方案。目前,支付寶等在最新版本中已修復了該漏洞,還有一些仍存在修復不完全的情況。而最可怕的是,有很多沒有修復,還有一些根本還不知道自家安卓App可能因此中招。

    TK也坦誠說,玄武實驗室的精力有限,此次只檢測了國內(nèi)主流的200款APP。玄武的阿圖因系統(tǒng)可以實現(xiàn)對移動應用問題的自動檢測,但因為此次應用克隆漏洞利用模型的復雜性,是難以實現(xiàn)通過自動化程序?qū)崿F(xiàn)徹底檢測。

    實際上,“應用克隆”中涉及的部分技術(shù)此前知道創(chuàng)宇404實驗室和一些國外研究人員也曾提及過,但并未在業(yè)界引起足夠重視??梢?,魔鬼的細節(jié)常常被視而不見,黑科技不僅離普通用戶很遠,有時候科技界都沒有正視他們。

    所以,一些安全實驗室和白帽子很多時候就充當了“醫(yī)生”的角色,發(fā)現(xiàn)廠商系統(tǒng)的病癥并給出治療方案,或者在病發(fā)之前提醒你“君有疾在腠理,不治將恐深”。

    2

    玄武實驗室的負責人TK教主就是學醫(yī)出身,甚至被稱之為婦科圣手。TK大學畢業(yè)的時候面臨兩個選擇,一個是遵循專業(yè)成為臨床醫(yī)生,另一個是加入綠盟成為職業(yè)安全研究員。TK認為計算機科學非常適合探索,說得直白一些,在計算機上搞實驗所需物質(zhì)條件很低,但醫(yī)生不能在病人身上嘗試自己的實驗。

    這個選擇和作家馮唐類似,馮唐在協(xié)和醫(yī)科大學正經(jīng)學過八年醫(yī)術(shù),后來棄醫(yī)從文從商。雖然我們失去了醫(yī)生馮唐,但是作家馮唐也一樣在為大眾開藥方,比如《如何避免成為一個油膩的中年猥瑣男》。從這個角度來說,TK可以說是安全界的馮唐,馮唐是作家界的TK。

    作為一個白帽子,天職就是給廠商提漏洞。理想狀態(tài)下,廠商應該馬上確認并修復漏洞,并且向白帽子致謝。但現(xiàn)實情況并非如此,剛開始白帽子生涯的TK提交一個漏洞之后,廠商確認漏洞的時間半年到兩年不等,有時候廠商還不能對外透露修復的進展。

    隨著安全的價值越來越高,這種情況后來有所好轉(zhuǎn)。在綠盟期間,TK發(fā)現(xiàn)并報告了Microsoft、Cisco等公司產(chǎn)品的多個安全漏洞,并且拿到了當時微軟支付的最高額度獎金十萬美元。

    還有很多和TK一樣的白帽子在網(wǎng)絡(luò)世界以游俠身份行走。他并不是一個人在戰(zhàn)斗,而TK加入騰訊之后,直接創(chuàng)建了一個門派,也就是被稱為“漏洞挖掘機”的玄武實驗室。作為這個門派的掌門人,TK在2016年,發(fā)現(xiàn)了微軟歷史上影響最廣泛的漏洞,他將此命名為“BadTunnel”。

    微軟的這個漏洞,其實和醫(yī)藥學的情況類似。Windows實現(xiàn)了很多協(xié)議和功能,但這些協(xié)議和功能是由不同的人設(shè)計和實現(xiàn)的。這些協(xié)議單獨看起來都沒什么問題。但操作系統(tǒng)是需要整合這些協(xié)議一起工作的。這時候漏洞就出現(xiàn)了。每種藥品出廠的時候,都確保了危害是可以接受的。但是它們配伍后就可能對人傷害很大,是不能一起用的。

    不只是微軟,蘋果也曾就玄武實驗室的漏洞收割貢獻多次公開致謝。玄武實驗室的成果一方面展示出中國白帽子的實力,另外一方面也告訴我們,安卓系統(tǒng)很危險,蘋果也不見得多安全。

    3

    說到底,這不是哪一個app或者手機廠商的問題,也并不是一個純粹技術(shù)攻防的戰(zhàn)場,而是整個行業(yè)的問題。國內(nèi)來說,BAT和360都需要在安全領(lǐng)域肩負起一定的社會責任,和相關(guān)部門一起,構(gòu)建一整套有效的安全預警和修復的機制。

    以騰訊安全聯(lián)合實驗室的矩陣為例,其涵蓋科恩、玄武、湛瀘、云鼎、反病毒、反詐騙、移動安全七大實驗室,實驗室專注安全技術(shù)研究及安全攻防體系搭建,安全防范和保障范圍覆蓋了連接、系統(tǒng)、應用、信息、設(shè)備、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。

    這次應用克隆漏洞方面,騰訊安全和國家互聯(lián)網(wǎng)應急中心的配合就是一個不錯的案例。CNVD(國家互聯(lián)網(wǎng)應急中心旗下的信息安全漏洞共享平臺)在獲取到漏洞的相關(guān)情況之后,第一時間安排了相關(guān)的技術(shù)人員對漏洞進行了驗證,也為漏洞分配了漏洞編號,然后向這次漏洞涉及到的27家App的相關(guān)企業(yè)發(fā)送了點對點的漏洞安全通報。同時,在通報中也向各個企業(yè)提供了漏洞的詳細情況以及建立了修復方案。

    騰訊安全在披露應用克隆這一移動攻擊模型的當天,CNVD發(fā)布了公告,對漏洞進行了分析,并給出了”高?!暗脑u級,同時也附上了修復建議。

    “應用克隆”攻擊可竊取用戶賬戶,支付寶、餓了么等都中招了

    TK說,此次現(xiàn)場披露威脅的目的,是希望提醒更多的廠商重視安全并做好自檢,再小的安全隱患也需要重視。針對此次“應用克隆”問題,騰訊安全玄武實驗室還提出了針對廠商的“玄武援助計劃”,針對需要技術(shù)支持的廠商玄武可以提供必要的支持。

    “應用克隆”漏洞披露后,不少網(wǎng)友都大戶吃驚,也有很多公司和應用市場希望找玄武實驗室?guī)椭鷻z測或提供掃描方案。我看到騰訊玄武實驗室微博是這么回應的:

    1、由于該問題的復雜性,不可能通過自動掃描來判斷是否存在該漏洞。否則我們用阿圖因系統(tǒng)就能完成對全網(wǎng)應用的檢查,而不只是僅檢查 200 個應用。簡單通過函數(shù)掃描得出的結(jié)果,既會出現(xiàn)大量誤報,又會出現(xiàn)大量漏報。唯一能判斷有無漏洞的方式就是人工檢測。

    2、對我們幫助檢測的應用,根據(jù)和CNVD的溝通,我們也會統(tǒng)一提交給 CNVD,然后由 CNVD 通知廠商。

    所以,看過支付寶示例視頻的大家不要以為這是個簡單的工序,實則暗藏諸多技術(shù)細節(jié)。不同于電影中雙方黑客電腦前的對抗情節(jié),現(xiàn)實中的威脅打擊考驗的是漏洞修復、安全管理等多方面綜合能力。

    不過,電影中的一些腦洞橋段確實又提示了黑客攻防的發(fā)展趨勢。想必看過《速度與激情8》的觀眾,都還記得其中反派遠程操控汽車車隊的景象。這個在現(xiàn)實中,技術(shù)極客“開黑”或許就能實現(xiàn)了。

    去年7月,騰訊科恩實驗室就實現(xiàn)了對特斯拉Model X 的遠程攻擊,遠程控制剎車、車門、后備箱,操縱車燈以及廣播 。最早在2016年9月,該實驗室宣布他們以“遠程無物理接觸”的方式首次成功入侵了特斯拉汽車。這一舉動甚至引來特斯拉CEO馬斯克的親筆信致謝。

    由此,我們也能看出來,無論是微軟、蘋果還是特斯拉,主流做法都是歡迎公開漏洞。什么時候披露,怎么披露有時候確實需要權(quán)衡,但披露本身的意義就在于讓廠商和應用能夠及時自查。

    技術(shù)永遠都是把雙刃劍,原本黑客只是黑客,并沒有白帽子和黑帽子的區(qū)分,最早的黑客甚至用默默無聞的行動為當今的數(shù)字世界照亮了一條道路。但技術(shù)也總可能會被黑色產(chǎn)業(yè)利用,這時候就需要多維度聯(lián)防聯(lián)控,打破信息孤島。也正如TK所說:“洪水來臨的時候沒有一滴雨滴是無辜的。”

    極客網(wǎng)企業(yè)會員

    免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

    2018-01-10
    “應用克隆”攻擊可竊取用戶賬戶,支付寶、餓了么等都中招了
    1電影《看不見的客人》讓我們領(lǐng)略了,一個細節(jié)的不留神,整個故事會有另外一幅面貌。男主角情人勞拉的手機是悲劇進行下去的發(fā)動機,直到影片快結(jié)局觀眾才知道那條關(guān)鍵短信是定時滯后發(fā)送。

    長按掃碼 閱讀全文