寶應(yīng)網(wǎng)絡(luò)電視臺 > 看新聞 > 要聞 > 正文
拿什么守護你,我的手機錢袋!安卓APP存“應(yīng)用克隆”漏洞
2018-01-11 10:34:36來源: 中國經(jīng)濟網(wǎng)-《經(jīng)濟日報》

 

“應(yīng)用克隆”這一移動攻擊威脅模型的對外披露,引發(fā)了不少網(wǎng)民的恐慌情緒。一些一度被認為威脅不大、廠商也不重視的安全漏洞,竟然能“克隆”用戶賬戶、竊取隱私信息、盜取賬號及資金……營造安全移動支付環(huán)境,容不得一絲僥幸。手機廠商、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者應(yīng)攜起手來,共同落實網(wǎng)絡(luò)安全法及其他法律法規(guī)要求,徹底堵死可能的風險與漏洞——

在手機上點擊一個網(wǎng)站鏈接,打開的是一個看似完全正常的搶紅包頁面,但無論你是否點擊紅包,你的支付寶應(yīng)用已經(jīng)在另一臺手機上被“克隆”,甚至包括你的用戶名和密碼,攻擊者可以點開支付寶付款碼消費。

盡管現(xiàn)在支付寶已經(jīng)修復了這一漏洞,但騰訊安全玄武實驗室與知道創(chuàng)宇404實驗室1月9日披露的攻擊威脅模型“應(yīng)用克隆”仍令人十分震驚。騰訊安全玄武實驗室負責人于旸表示:“該攻擊模型是基于移動應(yīng)用的一些基本特點設(shè)計的。所以,幾乎所有移動應(yīng)用都適用該攻擊模型。”研究顯示,市面上200多款常見安卓應(yīng)用中,有27款應(yīng)用可被這種方式攻擊,占比超過10%。

歲末年初,網(wǎng)絡(luò)安全又成為很多人熱議的話題。你的手機被“克隆”了嗎?有什么防范方法?在這個“可怕”的攻擊威脅背后,又折射出怎樣的移動互聯(lián)網(wǎng)時代安全新形勢?經(jīng)濟日報記者采訪了相關(guān)專家。

廠商安全意識薄弱——

應(yīng)用及時升級很重要

“應(yīng)用克隆”的可怕之處在于,與以往的木馬攻擊不同,它實際上并不依靠傳統(tǒng)的木馬病毒,也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用。于旸比喻說:“這就像過去想進入你的酒店房間,需要把鎖弄壞,但現(xiàn)在的方式是復制了一張你的酒店房卡,不僅能隨時進出,還能以你的名義在酒店消費。”

“應(yīng)用克隆”這一漏洞只對安卓系統(tǒng)有效,蘋果手機則不受影響。騰訊表示,目前尚無已知案例利用這種途徑發(fā)起攻擊。

與此同時,這一消息也被及時以各種方式傳遞出去,但反饋的情況卻“參差不齊”。工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長付景廣表示,接到騰訊的通報后,“我們也組織相關(guān)單位和專家開展了認真分析和研判”。

國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長李佳則介紹說,2017年12月7日,騰訊將27個可被攻擊的應(yīng)用報告給了國家信息安全漏洞共享平臺。在經(jīng)過相關(guān)技術(shù)人員驗證后,國家信息安全漏洞共享平臺為這一漏洞分配了編號,并于2017年12月10日向這27個應(yīng)用設(shè)計的企業(yè)發(fā)送了點對點安全通報。

“在發(fā)出通報后不久,就收到了包括支付寶、百度外賣、國美等大部分廠商的主動反饋,表示他們已開始修復漏洞,但截至2018年1月8日,還未收到京東到家、餓了么、聚美優(yōu)品、豆瓣、易車、鐵友火車票、虎撲、微店等10家廠商的相關(guān)反饋。”于旸表示,截至1月9日上午,共有支付寶、餓了么、小米生活、WIFI萬能鑰匙等11個手機應(yīng)用作了修復,但其中亞馬遜(中國版)、卡牛信用管家、一點資訊等3個應(yīng)用修復不全。

在1月9日技術(shù)研究成果發(fā)布會現(xiàn)場演示中,仍然可以用這種方式“克隆”攜程安卓版手機應(yīng)用,在“克隆”后尚能看到用戶的交易記錄。

這從某種意義上顯示出國內(nèi)部分手機應(yīng)用廠商安全意識薄弱。于旸坦言:“我們也看了一部分國外應(yīng)用,受這個漏洞影響的應(yīng)用總體占比較國內(nèi)少很多。從我十幾年的網(wǎng)絡(luò)安全領(lǐng)域從業(yè)經(jīng)驗來看,國內(nèi)廠商和開發(fā)者,在安全意識上與國外同行相比確實有一定差距。”

普通用戶最關(guān)心的則是如何能對這一攻擊方式加以防范。知道創(chuàng)宇404實驗室負責人周景平回答記者提問時表示:“普通用戶的防范比較頭疼,但仍有一些通用的安全措施。一是別人發(fā)給你的鏈接輕易不要點開,不太確定的二維碼不要出于好奇心就去掃,更重要的是要隨時關(guān)注官方的升級,及時升級手機操作系統(tǒng)和應(yīng)用軟件。”

網(wǎng)絡(luò)安全形勢發(fā)生變化——

警惕漏洞“聯(lián)合作戰(zhàn)”

除了巨大危害,另一個令人吃驚的事實是,這一攻擊方式并非一直潛藏在黑暗之中。于旸表示:“查閱以往的技術(shù)資料,攻擊中涉及的每一個風險點,其實都有人提出過。”其中的關(guān)鍵風險,周景平甚至在2013年3月份就在自己的博客中作了安全提示。他表示:“那時我還把這個問題報給了當時的安卓官方,但對方?jīng)]有給我任何信息反饋,甚至連郵件都沒有回復。”

那么,為什么這種危害巨大的攻擊方式此前既未被安全廠商發(fā)覺,也沒有攻擊案例發(fā)生?“這是新的多點耦合產(chǎn)生的漏洞。”于旸打了一個比喻,“這就像是網(wǎng)線插頭上有個凸起,結(jié)果路由器在插口位置上剛好設(shè)計了一個重置按鈕。網(wǎng)線本身沒有問題,路由器也沒有問題,但結(jié)果是你一插上網(wǎng)線,路由器就重啟。多點耦合也是這樣,每一個問題都是已知的,但組合起來卻帶來了額外風險。”他還介紹說,在2016年還發(fā)現(xiàn)過另外一個漏洞,一共利用了9個不同網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的特點,這些特點組合在一起,惡意文檔甚至不用打開,插上U盤看一下目錄就能傳播。

多點耦合的出現(xiàn),其實正意味著網(wǎng)絡(luò)安全形勢的變化。硬幣的一面是漏洞“聯(lián)合作戰(zhàn)”的乘法效應(yīng),另一面則是防守者們形成的合力。在電腦時代,最重要的是系統(tǒng)自身安全,雖然包括手機在內(nèi)的移動設(shè)備系統(tǒng)自身的安全性比電腦要高很多,但在端云一體的移動時代,最重要的其實是用戶賬號體系和數(shù)據(jù)的安全。要做好保護,光搞好系統(tǒng)自身安全遠遠不夠,需要手機廠商、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手。

這也是管理部門的思路。李佳表示,在此次事件中發(fā)揮作用的國家信息安全共享平臺正是基于“建立信息安全漏洞共享的知識庫”目的而生。“目前已聯(lián)合國內(nèi)的重大信息系統(tǒng)單位,基礎(chǔ)電信運營商、安全廠商和軟件廠商以及相關(guān)互聯(lián)網(wǎng)企業(yè)等,一共有60家的技術(shù)組合、用戶組和成員單位,大家共享發(fā)現(xiàn)的漏洞,及時通報消息。截至目前,共收錄了軟硬件產(chǎn)品漏洞超過10萬起,具體事件型漏洞超過了30萬起,黨政機關(guān)和重要信息系統(tǒng)漏洞超過了6.9萬起”。

防范各種形式網(wǎng)絡(luò)風險——

別想拿著舊地圖去航行

“應(yīng)用克隆”是個尚未形成危害就被捕捉到的漏洞。著名安全專家、網(wǎng)絡(luò)安全廠商RSA前總裁阿密特·莫蘭有句名言:“在新的網(wǎng)絡(luò)安全威脅形勢下,防御者如同拿著舊地圖在海上航行。”新硬件、新技術(shù)、新服務(wù)的出現(xiàn)和交叉融合,催生了新面孔,也帶來了新的風險。

比如硬件風險。此前剛剛公布的CPU硬件漏洞就屬于這樣的風險,它其實是設(shè)計漏洞,像是在藍圖的時候就畫錯了,這類風險即使在操作系統(tǒng)端加以防護也于事無補。此外,數(shù)以億計的物聯(lián)網(wǎng)設(shè)備,如智能盒子、安防攝像頭、家用路由器等,其芯片執(zhí)行漏洞、流量劫持漏洞、藍牙蠕蟲漏洞等底層威脅已在2017年暴露無遺,隨著聯(lián)網(wǎng)設(shè)備的指數(shù)級增長,2018年物聯(lián)網(wǎng)設(shè)備的安全威脅將愈演愈烈。

此外,還有針對人工智能的攻擊。美國加州大學伯克利分校教授宋曉冬介紹說,兩張看上去一模一樣的熊貓圖片,一張被神經(jīng)網(wǎng)絡(luò)正確識別為“熊貓”,另外一張卻因為被加上了人眼難以察覺的微小擾動,就被神經(jīng)網(wǎng)絡(luò)以99.3%的置信度識別為“長臂猿”,這就是可以“愚弄”人工智能的對抗樣本。“用對抗樣本攻擊人工智能,其實就是從最核心的算法層面來攻擊它??梢栽O(shè)想,一旦無人駕駛的汽車識別了被對抗樣本改造過的交通標識,將帶來嚴重后果。幸好從目前來看,針對自動駕駛的對抗樣本對抗性很差。”宋曉冬說。

付景廣表示,工信部印發(fā)的《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》提出了及時發(fā)現(xiàn)原則和科學研判的原則,鼓勵安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、技術(shù)應(yīng)用企業(yè)提交研發(fā)成果。同時,鼓勵包括國家互聯(lián)網(wǎng)應(yīng)急中心和其他科研機構(gòu)等有能力的企業(yè),對發(fā)現(xiàn)的問題及時研判,準確識別,并在這一基礎(chǔ)上進一步處置。 (經(jīng)濟日報·中國經(jīng)濟網(wǎng)記者 陳 靜)

專題新聞
  • 唐山廣播電視臺少兒新春喜樂會錄制圓滿成功
  • 心中的寶塔山
  • 說說寶應(yīng)彭城堂劉氏
  • 殘疾人奉獻愛心 重陽節(jié)慰問老人
  • 2017寶應(yīng)青年千人毅行開始啦!一起邂逅這一道最壯觀的風景
  • 寶應(yīng)微電影《歸途》讓“太平洋警察”火起來

信息網(wǎng)絡(luò)傳播視聽節(jié)目許可證:0052421   蘇ICP備15046309號-1

Copyright © 2017 Shenyang Radio and TV All Rights Reserved.