世界顶级白帽黑客TK教主:洪水来临的时候没有一滴雨滴是无辜的

1评论 2018-01-17 17:09:51 来源:快科技 纪实:捕获银星能源九连板

  2017年勒索病毒的余威还未完全散尽,2018年伊始,就又爆发了多起网络安全事件,继曝出CPU芯片级漏洞事件之后不久,腾讯安全玄武实验室首次发现“应用克隆”攻击模型,只需用户点击一个链接,攻击者便可轻松克隆用户的账户权限,盗取用户账号及资金等。支付宝、携程等国内主流APP均在受影响之列,波及几乎全部的安卓手机用户。

  值得关注的是,本次“应用克隆”攻击模型的搭建并非基于某一个单独的漏洞造成的安全隐患,而是由一系列此前已公开却被大家普遍不重视的漏洞,耦合在一起产生的风险。这背后不仅反映出在经过十多年漏洞攻防之后,大家放松了对漏洞的警惕;更折射出当下的移动安全防护工作亟需建立新思维来应对。

  十余年网络攻防陷入“舒适区” 漏洞威胁逐渐被低估

  1月9日,“应用克隆”攻击模型,在腾讯安全玄武实验室与知道创宇联合召开的技术研究成果发布会上,以一个三分钟的演示视频正式对外披露。全新的攻击思路和意想不到的攻击效果迅速吸引了在场行业专家及媒体人士的关注,CNCERT(国家互联网应急中心)也在当晚21点左右正式发布安全公告,将其中涉及的漏洞分配编号,并评级为“高危”。

  与其他攻击模型不同的是,“应用克隆”攻击模型中利用的所有安全风险点,都是几年前就公开的。利用手机浏览器访问本地文件的风险,2009年之前业界就有共识;应用内嵌浏览器设置不当的风险,2012年7月就有相关漏洞被披露;克隆攻击的风险,知道创宇首席安全官周景平在2013年就公开发表过研究,并提交谷歌,但是“一直没得到回应”。

  在于旸看来,这背后隐藏的其实是网络安全在攻防十余年之后的趋势。他在发布会现场指出,最近十几年来,操作系统的安全性不断的提高,可能有一些人会产生一种错觉,觉得漏洞的危险没有那么大,可能十年前的人会对漏洞更加敏感一些。

  (于旸在发布会现场介绍移动安全趋势)

  一方面是,安全工作者和攻击者,在不断地攻防交锋中,双方各自发展出了很多的技术。操作系统当中已经增加了大量的安全防御功能,传统的各种漏洞攻击思路,其实在操作系统里面也有相应的对抗模式;另一方面是,攻击者利用漏洞发起网络攻击的成本变高,“你家里的电脑或者手机,可能就是几千块钱。能够实现克隆目的的漏洞,可能这一个漏洞在黑市上要几十万美元甚至是上百万美元。”

  “一切都在变化,只有变化本身是不变”,于旸进一步指出,过去十几年,网络攻击大致经历了三个阶段,不法黑客初期利用用户薄弱的安全意识进行欺诈的“诱导执行”,到中期利用大量软件漏洞传播恶意代码,现在又再次回归到伪装欺骗的“诱导执行”。

  这在2017年爆发的多起勒索病毒事件上也得到了类似印证,起初爆发的WannaCry仅仅是利用漏洞,但是最近在东欧爆发的Bad Rabbit上,不法黑客就加入了水坑攻击等欺骗性手段。

  耦合不当导致重大设计漏洞 移动安全需要新思维

  除了反映出目前行业普遍陷入攻防“舒适区”的错觉之外,“应用克隆”攻击模型应用的攻击思路更是揭示了当下移动安全遭遇的全新挑战。

  于旸表示,操作系统在攻防斗争中所增加的防御措施针对的大多是实现类漏洞。而对设计类安全问题目前业界仍未能较好解决。“设计类安全问题,有很多是多点耦合导致的,相关每一个问题可能都是已知的,但组合起来所能导致的风险则很少有人意识到”。

  而在“应用克隆”攻击模型披露之前,设计类漏洞的威胁其实已经浮出水面。腾讯安全玄武实验室最早在2015年就发现设计类漏洞BadBarcode,攻击者通过扫描恶意条码甚至发射激光,即可在连接着条码阅读器的电脑上执行任意操作,影响世界上过去二十年间所有条码阅读器厂商生产的大部分产品,该研究获得WitAwards 年度安全研究成果奖;2016年,腾讯安全玄武实验室发现另一重大漏洞BadTunnel,用户打开一个恶意网址、任何一种Office文件、PDF 文件,或插上一个U 盘,攻击者就可以劫持用户的网络窃取隐私,甚至植入木马,该漏洞影响过去二十年间所有Windows版本,从Windows 95到 Windows 10。

  而就在“应用克隆”攻击模型正式对外披露之前,因特尔被曝存在CPU底层漏洞:“幽灵”“崩溃”,波及全球几乎所有的手机、电脑、云计算产品。腾讯安全玄武在发布会对此也做了重点分析,并发布“幽灵”漏洞在线检测工具,帮助用户一键检测自己的设备是否容易遭受漏洞攻击。

  基于此,于旸在发布会现场针对“应用克隆”背后的耦合风险首次提出安全厂商要建立“移动安全新思维”。他指出,在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。而要保护好这些,光搞好系统自身安全是不够的。这使得移动时代的安全问题更加复杂多变,涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手,共同重视。

  值得庆幸的是,“应用克隆”攻击模型的发现我们领先于不法黑客,占据了攻防主动,受影响的APP厂商都已完成或正在积极的修复当中,这也进一步坚定了行业内外携手共建健康网络安全环境的决心,毕竟正如TK教主所言“洪水来临的时候没有一滴雨滴是无辜的”。

关键词阅读:谷歌 支付宝 WannaCry 模型应用 TK

责任编辑:Robot RF13015
快来分享:
评论 已有 0 条评论
精彩推荐
习近平刚刚对金融业发表讲话!定调发展三大方向

2019-02-23 15:09:50来源:券商中国

习近平:深化金融供给侧改革 增强金融服务实体能力

2019-02-23 12:59:19来源:新华网

易会满调研科创板注册制:把好事办好(6大要点)

2019-02-23 17:34:26来源:中国基金报

美国总统特朗普会见刘鹤 本轮经贸磋商延长两天

2019-02-23 08:08:41来源:新华社

巴菲特致股东公开信:2018伯克希尔每股价值增幅0.4%

2019-02-23 21:10:01来源:金融界网站

习近平:要更加注意尊重市场规律、坚持精准支持

2019-02-23 13:23:56来源:新华社

中美经贸磋商五方面有积极进展 这一关键表述有了变化

2019-02-23 09:24:20来源:券商中国

月薪万元还招不到人 年轻人宁愿送外卖也不去工厂

2019-02-23 07:57:19来源:每日经济新闻

习近平:完善资本市场基础性制度 加强对交易全程监管

2019-02-23 13:21:15来源:新华社

人才朝广东、上海跑!南昌急了:中专生凭通知书落户

2019-02-22 07:26:15来源:每日经济新闻

住宅拟按套内面积交易 将推高房价?专家解读来了

2019-02-23 13:43:46来源:每日经济新闻

戴森近200亿元造车进程加快 2方面成关键技术

2019-02-19 00:50:51来源:证券日报

猪年投资攻略之楼市风向

2019-02-11 01:19:41来源:证券时报

巴菲特短期内不会进行大型收购:绝不会冒缺钱花的险

2019-02-23 21:53:24来源:金融界网站

习近平:要解决资本市场违法违规成本过低问题

2019-02-23 13:23:25来源:新华社

“宽信用”外溢至房地产领域 房贷利率下行趋势或延续

2019-02-23 03:53:32来源:证券日报

最高法"卷宗丢失"案件结果公布 案卷丢失因王林清窃取

2019-02-22 21:44:10来源:券商中国

视频网站的“坑”:即使充了会员 还会被广告骚扰

2019-02-19 16:05:37来源:北京青年报

伯克希尔2018年获利40亿美元并减记卡夫亨氏资产

2019-02-23 21:13:59来源:金融界网站

香飘飘旗下网红奶茶的“授权”迷雾

2019-02-23 14:14:31来源:经济观察网

加载更多

更多>> 以下为您的最近访问股
实时热点