“應用克隆”這一移動攻擊威脅模型的對外披露,引發了不少網民的恐慌情緒��。一些一度被認為威脅不大����、廠商也不重視的安全漏洞,竟然能“克隆”用戶賬戶�����、竊取隱私信息�����、盜取賬號及資金……營造安全移動支付環境���,容不得一絲僥幸���。手機廠商�、應用開發商�、網絡安全研究者應攜起手來,共同落實網絡安全法及其他法律法規要求���,徹底堵死可能的風險與漏洞——
在手機上點擊一個網站鏈接,打開的是一個看似完全正常的搶紅包頁面����,但無論你是否點擊紅包���,你的支付寶應用已經在另一臺手機上被“克隆”�,甚至包括你的用戶名和密碼��,攻擊者可以點開支付寶付款碼消費�����。
盡管現在支付寶已經修復了這一漏洞,但騰訊安全玄武實驗室與知道創宇404實驗室1月9日披露的攻擊威脅模型“應用克隆”仍令人十分震驚��。騰訊安全玄武實驗室負責人于旸表示:“該攻擊模型是基于移動應用的一些基本特點設計的�。所以,幾乎所有移動應用都適用該攻擊模型����。”研究顯示�,市面上200多款常見安卓應用中����,有27款應用可被這種方式攻擊,占比超過10%�����。
歲末年初�,網絡安全又成為很多人熱議的話題。你的手機被“克隆”了嗎?有什么防范方法?在這個“可怕”的攻擊威脅背后�,又折射出怎樣的移動互聯網時代安全新形勢?經濟日報記者采訪了相關專家。
廠商安全意識薄弱——
應用及時升級很重要
“應用克隆”的可怕之處在于,與以往的木馬攻擊不同��,它實際上并不依靠傳統的木馬病毒���,也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用���。于旸比喻說:“這就像過去想進入你的酒店房間�����,需要把鎖弄壞���,但現在的方式是復制了一張你的酒店房卡�,不僅能隨時進出����,還能以你的名義在酒店消費。”
“應用克隆”這一漏洞只對安卓系統有效,蘋果手機則不受影響�。騰訊表示����,目前尚無已知案例利用這種途徑發起攻擊��。
與此同時��,這一消息也被及時以各種方式傳遞出去,但反饋的情況卻“參差不齊”。工信部網絡安全管理局網絡與數據安全處處長付景廣表示�����,接到騰訊的通報后��,“我們也組織相關單位和專家開展了認真分析和研判”�。
國家互聯網應急中心網絡安全處副處長李佳則介紹說,2017年12月7日,騰訊將27個可被攻擊的應用報告給了國家信息安全漏洞共享平臺�。在經過相關技術人員驗證后,國家信息安全漏洞共享平臺為這一漏洞分配了編號,并于2017年12月10日向這27個應用設計的企業發送了點對點安全通報����。
“在發出通報后不久�����,就收到了包括支付寶、百度外賣、國美等大部分廠商的主動反饋,表示他們已開始修復漏洞���,但截至2018年1月8日,還未收到京東到家、餓了么�、聚美優品����、豆瓣�����、易車����、鐵友火車票����、虎撲、微店等10家廠商的相關反饋���。”于旸表示,截至1月9日上午����,共有支付寶����、餓了么�、小米生活���、WIFI萬能鑰匙等11個手機應用作了修復���,但其中亞馬遜(中國版)��、卡牛信用管家���、一點資訊等3個應用修復不全�。
在1月9日技術研究成果發布會現場演示中���,仍然可以用這種方式“克隆”攜程安卓版手機應用�����,在“克隆”后尚能看到用戶的交易記錄�。
這從某種意義上顯示出國內部分手機應用廠商安全意識薄弱����。于旸坦言:“我們也看了一部分國外應用,受這個漏洞影響的應用總體占比較國內少很多�����。從我十幾年的網絡安全領域從業經驗來看���,國內廠商和開發者��,在安全意識上與國外同行相比確實有一定差距��。”
普通用戶最關心的則是如何能對這一攻擊方式加以防范�����。知道創宇404實驗室負責人周景平回答記者提問時表示:“普通用戶的防范比較頭疼�����,但仍有一些通用的安全措施�。一是別人發給你的鏈接輕易不要點開�,不太確定的二維碼不要出于好奇心就去掃�����,更重要的是要隨時關注官方的升級����,及時升級手機操作系統和應用軟件���。”
網絡安全形勢發生變化——
警惕漏洞“聯合作戰”
除了巨大危害��,另一個令人吃驚的事實是��,這一攻擊方式并非一直潛藏在黑暗之中。于旸表示:“查閱以往的技術資料�,攻擊中涉及的每一個風險點����,其實都有人提出過��。”其中的關鍵風險���,周景平甚至在2013年3月份就在自己的博客中作了安全提示�。他表示:“那時我還把這個問題報給了當時的安卓官方�,但對方沒有給我任何信息反饋�,甚至連郵件都沒有回復。”
那么,為什么這種危害巨大的攻擊方式此前既未被安全廠商發覺,也沒有攻擊案例發生?“這是新的多點耦合產生的漏洞。”于旸打了一個比喻,“這就像是網線插頭上有個凸起�,結果路由器在插口位置上剛好設計了一個重置按鈕�。網線本身沒有問題��,路由器也沒有問題����,但結果是你一插上網線���,路由器就重啟��。多點耦合也是這樣���,每一個問題都是已知的�����,但組合起來卻帶來了額外風險。”他還介紹說����,在2016年還發現過另外一個漏洞���,一共利用了9個不同網絡協議和操作系統的特點����,這些特點組合在一起���,惡意文檔甚至不用打開�,插上U盤看一下目錄就能傳播。
多點耦合的出現,其實正意味著網絡安全形勢的變化�。硬幣的一面是漏洞“聯合作戰”的乘法效應����,另一面則是防守者們形成的合力����。在電腦時代��,最重要的是系統自身安全��,雖然包括手機在內的移動設備系統自身的安全性比電腦要高很多,但在端云一體的移動時代�,最重要的其實是用戶賬號體系和數據的安全�����。要做好保護���,光搞好系統自身安全遠遠不夠�,需要手機廠商�����、應用開發商���、網絡安全研究者等多方攜手�。
這也是管理部門的思路���。李佳表示�,在此次事件中發揮作用的國家信息安全共享平臺正是基于“建立信息安全漏洞共享的知識庫”目的而生。“目前已聯合國內的重大信息系統單位,基礎電信運營商、安全廠商和軟件廠商以及相關互聯網企業等�,一共有60家的技術組合��、用戶組和成員單位,大家共享發現的漏洞,及時通報消息����。截至目前,共收錄了軟硬件產品漏洞超過10萬起���,具體事件型漏洞超過了30萬起,黨政機關和重要信息系統漏洞超過了6.9萬起”�����。
防范各種形式網絡風險——
別想拿著舊地圖去航行
“應用克隆”是個尚未形成危害就被捕捉到的漏洞�。著名安全專家、網絡安全廠商RSA前總裁阿密特·莫蘭有句名言:“在新的網絡安全威脅形勢下�����,防御者如同拿著舊地圖在海上航行�。”新硬件、新技術��、新服務的出現和交叉融合����,催生了新面孔,也帶來了新的風險�����。
比如硬件風險���。此前剛剛公布的CPU硬件漏洞就屬于這樣的風險��,它其實是設計漏洞�����,像是在藍圖的時候就畫錯了,這類風險即使在操作系統端加以防護也于事無補��。此外��,數以億計的物聯網設備,如智能盒子、安防攝像頭����、家用路由器等�����,其芯片執行漏洞、流量劫持漏洞、藍牙蠕蟲漏洞等底層威脅已在2017年暴露無遺,隨著聯網設備的指數級增長,2018年物聯網設備的安全威脅將愈演愈烈��。
此外���,還有針對人工智能的攻擊����。美國加州大學伯克利分校教授宋曉冬介紹說����,兩張看上去一模一樣的熊貓圖片�����,一張被神經網絡正確識別為“熊貓”��,另外一張卻因為被加上了人眼難以察覺的微小擾動,就被神經網絡以99.3%的置信度識別為“長臂猿”��,這就是可以“愚弄”人工智能的對抗樣本����。“用對抗樣本攻擊人工智能,其實就是從最核心的算法層面來攻擊它����。可以設想,一旦無人駕駛的汽車識別了被對抗樣本改造過的交通標識�,將帶來嚴重后果����。幸好從目前來看�,針對自動駕駛的對抗樣本對抗性很差。”宋曉冬說��。
付景廣表示�����,工信部印發的《公共互聯網網絡安全威脅監測與處置辦法》提出了及時發現原則和科學研判的原則��,鼓勵安全企業、互聯網企業、技術應用企業提交研發成果�。同時����,鼓勵包括國家互聯網應急中心和其他科研機構等有能力的企業�,對發現的問題及時研判,準確識別,并在這一基礎上進一步處置。
(新媒體責編:wb001)
京公網安備 11010602130064號
