首页 > 传媒 > 关键词 > 腾讯安全玄武实验室最新资讯 > 正文

腾讯安全玄武实验室发现“应用克隆”攻击模型,揭示小漏洞的大隐患

2018-01-16 11:45 · 稿源:站长之家用户投稿

2017 年勒索病毒的余威还未完全散尽, 2018 年伊始,就又爆发了多起网络安全事件,继曝出CPU芯片级漏洞事件之后不久,腾讯安全玄武实验室首次发现“应用克隆”攻击模型,只需用户点击一个链接,攻击者便可轻松克隆用户的账户权限,盗取用户账号及资金等。支付宝、携程等国内主流APP均在受影响之列,波及几乎全部的安卓手机用户。

值得关注的是,本次“应用克隆”攻击模型的搭建并非基于某一个单独的漏洞造成的安全隐患,而是由一系列此前已公开却被大家普遍不重视的漏洞,耦合在一起产生的风险。这背后不仅反映出在经过十多年漏洞攻防之后,大家放松了对漏洞的警惕;更折射出当下的移动安全防护工作亟需建立新思维来应对。

十余年网络攻防陷入“舒适区”漏洞威胁逐渐被低估

1 月 9 日,“应用克隆”攻击模型,在腾讯安全玄武实验室与知道创宇联合召开的技术研究成果发布会上,以一个三分钟的演示视频正式对外披露。全新的攻击思路和意想不到的攻击效果迅速吸引了在场行业专家及媒体人士的关注,CNCERT(国家互联网应急中心)也在当晚 21 点左右正式发布安全公告,将其中涉及的漏洞分配编号,并评级为“高危”。

与其他攻击模型不同的是,“应用克隆”攻击模型中利用的所有安全风险点,都是几年前就公开的。利用手机浏览器访问本地文件的风险, 2009 年之前业界就有共识;应用内嵌浏览器设置不当的风险, 2012 年 7 月就有相关漏洞被披露;克隆攻击的风险,知道创宇首席安全官周景平在 2013 年就公开发表过研究,并提交谷歌,但是“一直没得到回应”。

在于旸看来,这背后隐藏的其实是网络安全在攻防十余年之后的趋势。他在发布会现场指出,最近十几年来,操作系统的安全性不断的提高,可能有一些人会产生一种错觉,觉得漏洞的危险没有那么大,可能十年前的人会对漏洞更加敏感一些。

(于旸在发布会现场介绍移动安全趋势)

一方面是,安全工作者和攻击者,在不断地攻防交锋中,双方各自发展出了很多的技术。操作系统当中已经增加了大量的安全防御功能,传统的各种漏洞攻击思路,其实在操作系统里面也有相应的对抗模式;另一方面是,攻击者利用漏洞发起网络攻击的成本变高,“你家里的电脑或者手机,可能就是几千块钱。能够实现克隆目的的漏洞,可能这一个漏洞在黑市上要几十万美元甚至是上百万美元。”

“一切都在变化,只有变化本身是不变”,于旸进一步指出,过去十几年,网络攻击大致经历了三个阶段,不法黑客初期利用用户薄弱的安全意识进行欺诈的“诱导执行”,到中期利用大量软件漏洞传播恶意代码,现在又再次回归到伪装欺骗的“诱导执行”。

这在 2017 年爆发的多起勒索病毒事件上也得到了类似印证,起初爆发的WannaCry仅仅是利用漏洞,但是最近在东欧爆发的Bad Rabbit上,不法黑客就加入了水坑攻击等欺骗性手段。

耦合不当导致重大设计漏洞移动安全需要新思维

除了反映出目前行业普遍陷入攻防“舒适区”的错觉之外,“应用克隆”攻击模型应用的攻击思路更是揭示了当下移动安全遭遇的全新挑战。

于旸表示,操作系统在攻防斗争中所增加的防御措施针对的大多是实现类漏洞。而对设计类安全问题目前业界仍未能较好解决。“设计类安全问题,有很多是多点耦合导致的,相关每一个问题可能都是已知的,但组合起来所能导致的风险则很少有人意识到”。

而在“应用克隆”攻击模型披露之前,设计类漏洞的威胁其实已经浮出水面。腾讯安全玄武实验室最早在 2015 年就发现设计类漏洞BadBarcode,攻击者通过扫描恶意条码甚至发射激光,即可在连接着条码阅读器的电脑上执行任意操作,影响世界上过去二十年间所有条码阅读器厂商生产的大部分产品,该研究获得WitAwards年度安全研究成果奖; 2016 年,腾讯安全玄武实验室发现另一重大漏洞BadTunnel,用户打开一个恶意网址、任何一种Office文件、PDF文件,或插上一个U盘,攻击者就可以劫持用户的网络窃取隐私,甚至植入木马,该漏洞影响过去二十年间所有Windows版本,从Windows 95 到 Windows 10。

而就在“应用克隆”攻击模型正式对外披露之前,因特尔被曝存在CPU底层漏洞:“幽灵”“崩溃”,波及全球几乎所有的手机、电脑、云计算产品。腾讯安全玄武在发布会对此也做了重点分析,并发布“幽灵”漏洞在线检测工具,帮助用户一键检测自己的设备是否容易遭受漏洞攻击。

基于此,于旸在发布会现场针对“应用克隆”背后的耦合风险首次提出安全厂商要建立“移动安全新思维”。他指出,在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。而要保护好这些,光搞好系统自身安全是不够的。这使得移动时代的安全问题更加复杂多变,涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手,共同重视。

值得庆幸的是,“应用克隆”攻击模型的发现我们领先于不法黑客,占据了攻防主动,受影响的APP厂商都已完成或正在积极的修复当中,这也进一步坚定了行业内外携手共建健康网络安全环境的决心,毕竟正如TK教主所言“洪水来临的时候没有一滴雨滴是无辜的”。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 华为成立数通自动驾驶网络联合实验室

    今日,华为宣布,在 2020 华为自动驾驶网络技术峰会期间,成立数通自动驾驶网络联合实验室,以“像改变汽车一样改变网络”为愿景,致力于打造“产-学-研”技术合作平台,促进网络自动驾驶技术科研成果转化。

  • 华为正式成立数通自动驾驶网络联合实验室:像改变汽车一样改变网络

    从华为官方获悉,近日,华为在苏州成功举办华为自动驾驶网络技术峰会,与来自复旦大学、浙江大学、西安交通大学、东北大学、苏州大学等多所高校的教授共同探讨自动驾驶网络产业的

  • 火币宣布成立DeFi实验室,联合全球社区构建DeFi生态

    8 月 3 日,全球知名的数字经济领军企业,火币集团宣布成立火币DeFi实验室。 火币DeFi实验室专注于DeFi(去中心化金融)的研究、投资、孵化、以及生态的建设。计划在未来通过与全球加密领域和DeFi社区合作,构建更好的金融系统。 火币集团创始人兼CEO李林表示:“作为全球知名的数字经济领军企业,我们的使命是让财富更自由,让全球至少一亿家庭拥有数字资产,无论是DeFi还是CeFi。加入全球DeFi生态是一件激动人心的事,同时,也很?

  • 字节跳动AI实验室李磊:如何用算法帮助内容在不同语言里互通

    在 2020 世界人工智能大会WAIC“《新一代中国人工智能》全景论文背后的故事及AI产业在中国的发展和世界的领导力”圆桌论坛中,参与撰写论文的七位作者讨论了论文的意义和背后的故事。

  • 肯德基宣布与3D生物打印公司合作 尝试制作实验室生产更环保鸡块

    对于肯德基来说,他们正试图打造世界上第一款实验室生产的鸡块,这是其 "未来餐厅"概念的一部分。这家主打鸡肉的连锁餐厅将与俄罗斯公司3D Bioprinting Solutions合作开发生物打印技术

  • chem17独家对话上海德卡实验室中国地区销售经理王云峰

    随着中国经济的迅速发展,实验室行业已经从市场情况、行业服务、市场规模等进入到了中国市场的方方面面。据相关数据显示:预计2020年全球实验室分析仪器市场规模约为637.5亿美元,2016-2020年复合增长率超过4%,亚洲在未来会成为在此市场中增速最快的地区,而我国预计增速将高于其他国家/地区至少1.2个百分点。在当今市场发展下,实验室用户要求更加多样,上海德卡实验室正是这样一家拥有专业的态度和技术的值得信赖的供应商。慕尼

  • 中国科学院深圳先进院联合速眠成立数字睡眠与脑科学实验室

    2020 年 7 月 24 日,首届中国国际智慧睡眠发展高峰论坛暨数字睡眠与脑科学联合实验室成立仪式在中国科学院深圳先进技术研究院举办,以线下峰会,线上直播两者联动的方式进行。本次高峰论坛由中国科学院深圳先进技术研究院与柏斯速眠科技(深圳)有限公司共同发起,以“乘·新数之慧,启·智睡纪元”为主题,从宏观局势和顶层规划的视角,瞻望中国睡眠产业的发展趋势与创新路径。 中国科学院深圳先进技术研究院副院长许建国,中国科

  • ​当IPFS遇见云管理服务|云MSP新钛云服与冰河分布式实验室达成战略协议

    7月18日,冰河分布式存储实验室发布会在“天府之国”四川成都国际金融中心(IFS)隆重召开,本次发布会以“正本清源,探寻更佳”为主题。在此次大会上,新钛云服CEO冯祯旺受邀出席,并与冰河分布式实验室成功达成战略协议。冰河分布式存储实验室致力于向行业输出IPFS分布式存储专业知识科普、最新技术公开测评、最优算法开源最佳矿机矿池配置方案、生态应用实测等成果,正本清源地向行业传递务实、透明、开源的信息,探寻最佳的解决方案。新

  • i云保入围分子实验室“2020中国保险科技100强”榜单

    7月10日,分子实验室《2020中国保险科技全景发展报告》(下称简称“报告”)和《2020中国保险科技100强》榜单发布,专注于赋能保险代理人的保险科技服务平台——i云保,与蚂蚁金服保险、众安保险、美团金服等知名互联网保险科技公司同时入围百强榜单。据悉,分子实验室从“行业价值、发展韧性、用户体验、运营管理、未来成长、社会价值”六个方面考量,甄选出100家优秀公司,并将其融于《报告》。作为传统行业模式创新的探索者,i?

  • 腾讯安全专家直播分享:云原生水面下的安全航线

    上云初期,大部分应用程序是从本地环境直接移植到云上的,这些应用程序在设计开发时并没有考虑云环境的特殊问题,很容易出现“水土不服”的情况。为了让应用程序更好地适应云环境,以云作为最终部署环境,按照云环境的要求所开发的应用程序——云原生应用被相继开发出来,为加速企业数字化转型进程提供重要助力。除了应用程序适配性的问题外,云原生应用的普及在为企业带来高效、便捷的使用体验的同时,也带来了传统安全手段无法应

  • 2020 网民网络安全感满意度调查活动卷

    欢迎您参与本年度网民网络安全感满意度调查活动。调查活动的目的是了解网民上网的安全感和满意度评价,以及对网络安全有关问题的认知和态度。您的回答将作为改善网络安全相关各方面工作的重要参考,您填写的信息将得到充分保护。“安全”才心安,满意才幸福,感射您的支持和参与!

  • 潘玮柏工作室律师声明 要求网络用户停止和删除侵权内容

    【潘玮柏工作室律师声明】据媒体报道,日前,潘玮柏在微博平台官宣结婚,并且晒出了与妻子和父母的合影照,一家四口非常幸福。同时,潘玮柏还圈出了老婆的微博,正是此前遇潘玮柏传恋情绯闻的空姐luna宣云。

  • 罗志祥工作室律师声明谴责网络不实消息 附声明全文一览

    【罗志祥工作室律师声明】今天中午,微博@罗志祥工作室发表律师声明,称近期不断有人恶意捏造并大肆散步有关罗志祥先生及其他人士的虚假信息,已造成严重负面影响,要求造谣者立即删除不实信息,停止一切侵权行为,并将保留法律追究的权利。

  • 2020年世界智能大会圆满落幕,腾讯安全重保护航

    6 月 24 日下午,第四届世界智能大会云闭幕式在津举行,本届世界智能大会成果丰硕,通过“云签约”方式,签约项目 148 个,其中内资项目 131 个,总投资约 809 亿元人民币;外资项目 17 个,总投资约 16 亿美元。同时本次大会也持续开放了“云智能科技展” ,荟聚 100 余家知名企业及科研机构,实现云逛展、云展览、云洽谈,打造“云会展”又一样板。在世界智能大会期间,腾讯安全用优异的安全“重保”成绩单,成功助力 2020 年世?

  • 奇安信公告:子公司设合资公司,拓宽健康医疗领域网络安全市场

    奇安信发布公告称,公司全资子公司奇安信网络科技拟与海南信合长盈企业管理有限合伙企业以及关联方中电数据服务有限公司,共同出资设立中电奇安科技有限公司,注册资本 5000 万元,其中奇安信网络科技出资 1750 万元。合资公司以承接卫生与医疗健康领域咨询规划、信息系统安全评估,建设卫生行业网络安全运营中心、医疗健康大数据平台安全为核心业务。

  • 上万台MSSQL服务器沦为门罗币矿机,腾讯安全专家提醒要这样做!

    新型挖矿木马来了!近日,腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MSSQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。据腾讯安全评估,截止目前已有上万台服务器沦为门罗币矿机。对此,腾讯安全专家提醒企业应避免使用弱口令。同时,腾讯安全终端安全管理系统已可拦截查杀该挖矿木马。据腾讯安全专家介绍,该黑产团伙对MSSQL服务器进行爆破成功后,会下载执行HFS服务器

  • 网络视频下半场,腾讯视频如何加码

    2020 年,视频行业面临着诸多变局。外界的关注、担忧与质疑声渐长,视频网站将如何接招?作为行业领先在线视频平台的腾讯视频,用今天这场“腾讯视频 2020 年度发布”给出了自己的答案。

  • 腾讯安全发布《2020上半年勒索病毒报告》 政企机构仍是勒索“头号目标”

    近日,腾讯安全正式对外发布《 2020 上半年勒索病毒报告》(以下简称“报告”)。《报告》显示,上半年全球大型企业遭受勒索病毒打击的事件依然高频发生。其中,最活跃的勒索病毒家族发起针对性极强的大型“狩猎”活动,对企业开出天价解密赎金;新型勒索病毒层出不穷,技术上不断进化。而勒索手段也从单纯的赎金换密钥,升级到不给赎金就公开机密数据。腾讯安全也提供从威胁情报到安全产品的整体防护解决方案,协助企业抵御勒索病

  • 准备好了吗?2020中国电信“天翼杯”网络安全攻防大赛,等你来战!

    伴随5G新兴技术发展而催生的网络安全新威胁,网络安全已经成为数字化发展的生命线,网络安全和信息化是事关国家经济社会可持续发展、事关国家长治久安、事关人民群众福祉的重大战略问题。主题为“安全无界·攻防有道”的2020中国电信“天翼杯”网络安全攻防大赛,旨在服务国家网络安全战略和网络强国建设,贯彻落实《网络安全法》,展现网络安全人才水平,提供竞技比拼和交流互动的舞台。本次大赛的报名时间为7月21日至28日。初赛?

  • 腾讯斥资142亿进行巨额股权激励;杜海涛工作室声明;SKP回应拒绝外卖员进入

    7月10日,腾讯在港交所公告了最新的股权激励计划,拟授予不少于2.97万人2664万的股份。以腾讯最新收盘价计算,人均获奖励股份市值49万港元左右。以532.81港元/股的认购标准计算,腾讯本次股权激励计划或将斥资142亿港元。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签