“應(yīng)用克隆”這一移動(dòng)攻擊威脅模型的對外披露,引發(fā)了不少網(wǎng)民的恐慌情緒�����。一些一度被認(rèn)為威脅不大��、廠商也不重視的安全漏洞��,竟然能“克隆”用戶賬戶���、竊取隱私信息����、盜取賬號(hào)及資金……營造安全移動(dòng)支付環(huán)境����,容不得一絲僥幸。手機(jī)廠商���、應(yīng)用開發(fā)商��、網(wǎng)絡(luò)安全研究者應(yīng)攜起手來���,共同落實(shí)網(wǎng)絡(luò)安全法及其他法律法規(guī)要求,徹底堵死可能的風(fēng)險(xiǎn)與漏洞——
在手機(jī)上點(diǎn)擊一個(gè)網(wǎng)站鏈接��,打開的是一個(gè)看似完全正常的搶紅包頁面�,但無論你是否點(diǎn)擊紅包,你的支付寶應(yīng)用已經(jīng)在另一臺(tái)手機(jī)上被“克隆”�,甚至包括你的用戶名和密碼,攻擊者可以點(diǎn)開支付寶付款碼消費(fèi)��。
盡管現(xiàn)在支付寶已經(jīng)修復(fù)了這一漏洞����,但騰訊安全玄武實(shí)驗(yàn)室與知道創(chuàng)宇404實(shí)驗(yàn)室1月9日披露的攻擊威脅模型“應(yīng)用克隆”仍令人十分震驚。騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示:“該攻擊模型是基于移動(dòng)應(yīng)用的一些基本特點(diǎn)設(shè)計(jì)的���。所以�,幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。”研究顯示���,市面上200多款常見安卓應(yīng)用中���,有27款應(yīng)用可被這種方式攻擊,占比超過10%�。
歲末年初,網(wǎng)絡(luò)安全又成為很多人熱議的話題���。你的手機(jī)被“克隆”了嗎?有什么防范方法?在這個(gè)“可怕”的攻擊威脅背后�,又折射出怎樣的移動(dòng)互聯(lián)網(wǎng)時(shí)代安全新形勢?經(jīng)濟(jì)日報(bào)記者采訪了相關(guān)專家�����。
廠商安全意識(shí)薄弱——
應(yīng)用及時(shí)升級很重要
“應(yīng)用克隆”的可怕之處在于����,與以往的木馬攻擊不同,它實(shí)際上并不依靠傳統(tǒng)的木馬病毒�����,也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用�。于旸比喻說:“這就像過去想進(jìn)入你的酒店房間��,需要把鎖弄壞,但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡�,不僅能隨時(shí)進(jìn)出,還能以你的名義在酒店消費(fèi)�����。”
“應(yīng)用克隆”這一漏洞只對安卓系統(tǒng)有效����,蘋果手機(jī)則不受影響。騰訊表示���,目前尚無已知案例利用這種途徑發(fā)起攻擊��。
與此同時(shí)����,這一消息也被及時(shí)以各種方式傳遞出去��,但反饋的情況卻“參差不齊”�。工信部網(wǎng)絡(luò)安全管理局網(wǎng)絡(luò)與數(shù)據(jù)安全處處長付景廣表示,接到騰訊的通報(bào)后���,“我們也組織相關(guān)單位和專家開展了認(rèn)真分析和研判”���。
國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長李佳則介紹說��,2017年12月7日����,騰訊將27個(gè)可被攻擊的應(yīng)用報(bào)告給了國家信息安全漏洞共享平臺(tái)�����。在經(jīng)過相關(guān)技術(shù)人員驗(yàn)證后�����,國家信息安全漏洞共享平臺(tái)為這一漏洞分配了編號(hào)���,并于2017年12月10日向這27個(gè)應(yīng)用設(shè)計(jì)的企業(yè)發(fā)送了點(diǎn)對點(diǎn)安全通報(bào)�����。
“在發(fā)出通報(bào)后不久�,就收到了包括支付寶、百度外賣����、國美等大部分廠商的主動(dòng)反饋,表示他們已開始修復(fù)漏洞����,但截至2018年1月8日����,還未收到京東到家、餓了么����、聚美優(yōu)品、豆瓣����、易車、鐵友火車票�����、虎撲��、微店等10家廠商的相關(guān)反饋。”于旸表示��,截至1月9日上午�,共有支付寶、餓了么���、小米生活��、WIFI萬能鑰匙等11個(gè)手機(jī)應(yīng)用作了修復(fù)���,但其中亞馬遜(中國版)、卡牛信用管家��、一點(diǎn)資訊等3個(gè)應(yīng)用修復(fù)不全�����。
在1月9日技術(shù)研究成果發(fā)布會(huì)現(xiàn)場演示中���,仍然可以用這種方式“克隆”攜程安卓版手機(jī)應(yīng)用�,在“克隆”后尚能看到用戶的交易記錄��。
這從某種意義上顯示出國內(nèi)部分手機(jī)應(yīng)用廠商安全意識(shí)薄弱��。于旸坦言:“我們也看了一部分國外應(yīng)用,受這個(gè)漏洞影響的應(yīng)用總體占比較國內(nèi)少很多���。從我十幾年的網(wǎng)絡(luò)安全領(lǐng)域從業(yè)經(jīng)驗(yàn)來看���,國內(nèi)廠商和開發(fā)者,在安全意識(shí)上與國外同行相比確實(shí)有一定差距���。”
普通用戶最關(guān)心的則是如何能對這一攻擊方式加以防范��。知道創(chuàng)宇404實(shí)驗(yàn)室負(fù)責(zé)人周景平回答記者提問時(shí)表示:“普通用戶的防范比較頭疼����,但仍有一些通用的安全措施��。一是別人發(fā)給你的鏈接輕易不要點(diǎn)開�,不太確定的二維碼不要出于好奇心就去掃��,更重要的是要隨時(shí)關(guān)注官方的升級���,及時(shí)升級手機(jī)操作系統(tǒng)和應(yīng)用軟件�。”
網(wǎng)絡(luò)安全形勢發(fā)生變化——
警惕漏洞“聯(lián)合作戰(zhàn)”
除了巨大危害�,另一個(gè)令人吃驚的事實(shí)是,這一攻擊方式并非一直潛藏在黑暗之中。于旸表示:“查閱以往的技術(shù)資料�,攻擊中涉及的每一個(gè)風(fēng)險(xiǎn)點(diǎn),其實(shí)都有人提出過����。”其中的關(guān)鍵風(fēng)險(xiǎn),周景平甚至在2013年3月份就在自己的博客中作了安全提示���。他表示:“那時(shí)我還把這個(gè)問題報(bào)給了當(dāng)時(shí)的安卓官方��,但對方?jīng)]有給我任何信息反饋�,甚至連郵件都沒有回復(fù)�。”
那么,為什么這種危害巨大的攻擊方式此前既未被安全廠商發(fā)覺����,也沒有攻擊案例發(fā)生?“這是新的多點(diǎn)耦合產(chǎn)生的漏洞。”于旸打了一個(gè)比喻���,“這就像是網(wǎng)線插頭上有個(gè)凸起����,結(jié)果路由器在插口位置上剛好設(shè)計(jì)了一個(gè)重置按鈕�����。網(wǎng)線本身沒有問題,路由器也沒有問題�,但結(jié)果是你一插上網(wǎng)線,路由器就重啟����。多點(diǎn)耦合也是這樣,每一個(gè)問題都是已知的��,但組合起來卻帶來了額外風(fēng)險(xiǎn)�。”他還介紹說,在2016年還發(fā)現(xiàn)過另外一個(gè)漏洞��,一共利用了9個(gè)不同網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的特點(diǎn)�����,這些特點(diǎn)組合在一起����,惡意文檔甚至不用打開��,插上U盤看一下目錄就能傳播��。
多點(diǎn)耦合的出現(xiàn),其實(shí)正意味著網(wǎng)絡(luò)安全形勢的變化�。硬幣的一面是漏洞“聯(lián)合作戰(zhàn)”的乘法效應(yīng),另一面則是防守者們形成的合力��。在電腦時(shí)代�,最重要的是系統(tǒng)自身安全,雖然包括手機(jī)在內(nèi)的移動(dòng)設(shè)備系統(tǒng)自身的安全性比電腦要高很多���,但在端云一體的移動(dòng)時(shí)代���,最重要的其實(shí)是用戶賬號(hào)體系和數(shù)據(jù)的安全。要做好保護(hù)�����,光搞好系統(tǒng)自身安全遠(yuǎn)遠(yuǎn)不夠�����,需要手機(jī)廠商���、應(yīng)用開發(fā)商�����、網(wǎng)絡(luò)安全研究者等多方攜手���。
這也是管理部門的思路�。李佳表示�,在此次事件中發(fā)揮作用的國家信息安全共享平臺(tái)正是基于“建立信息安全漏洞共享的知識(shí)庫”目的而生。“目前已聯(lián)合國內(nèi)的重大信息系統(tǒng)單位���,基礎(chǔ)電信運(yùn)營商�����、安全廠商和軟件廠商以及相關(guān)互聯(lián)網(wǎng)企業(yè)等����,一共有60家的技術(shù)組合��、用戶組和成員單位���,大家共享發(fā)現(xiàn)的漏洞,及時(shí)通報(bào)消息����。截至目前���,共收錄了軟硬件產(chǎn)品漏洞超過10萬起,具體事件型漏洞超過了30萬起�,黨政機(jī)關(guān)和重要信息系統(tǒng)漏洞超過了6.9萬起”。
防范各種形式網(wǎng)絡(luò)風(fēng)險(xiǎn)——
別想拿著舊地圖去航行
“應(yīng)用克隆”是個(gè)尚未形成危害就被捕捉到的漏洞�����。著名安全專家���、網(wǎng)絡(luò)安全廠商RSA前總裁阿密特·莫蘭有句名言:“在新的網(wǎng)絡(luò)安全威脅形勢下����,防御者如同拿著舊地圖在海上航行�����。”新硬件�、新技術(shù)、新服務(wù)的出現(xiàn)和交叉融合��,催生了新面孔����,也帶來了新的風(fēng)險(xiǎn)�����。
比如硬件風(fēng)險(xiǎn)����。此前剛剛公布的CPU硬件漏洞就屬于這樣的風(fēng)險(xiǎn)�,它其實(shí)是設(shè)計(jì)漏洞,像是在藍(lán)圖的時(shí)候就畫錯(cuò)了�,這類風(fēng)險(xiǎn)即使在操作系統(tǒng)端加以防護(hù)也于事無補(bǔ)。此外���,數(shù)以億計(jì)的物聯(lián)網(wǎng)設(shè)備�,如智能盒子���、安防攝像頭���、家用路由器等,其芯片執(zhí)行漏洞�����、流量劫持漏洞��、藍(lán)牙蠕蟲漏洞等底層威脅已在2017年暴露無遺����,隨著聯(lián)網(wǎng)設(shè)備的指數(shù)級增長,2018年物聯(lián)網(wǎng)設(shè)備的安全威脅將愈演愈烈���。
此外���,還有針對人工智能的攻擊。美國加州大學(xué)伯克利分校教授宋曉冬介紹說����,兩張看上去一模一樣的熊貓圖片,一張被神經(jīng)網(wǎng)絡(luò)正確識(shí)別為“熊貓”�����,另外一張卻因?yàn)楸患由狭巳搜垭y以察覺的微小擾動(dòng)��,就被神經(jīng)網(wǎng)絡(luò)以99.3%的置信度識(shí)別為“長臂猿”���,這就是可以“愚弄”人工智能的對抗樣本����。“用對抗樣本攻擊人工智能,其實(shí)就是從最核心的算法層面來攻擊它��?�?梢栽O(shè)想�,一旦無人駕駛的汽車識(shí)別了被對抗樣本改造過的交通標(biāo)識(shí),將帶來嚴(yán)重后果�。幸好從目前來看,針對自動(dòng)駕駛的對抗樣本對抗性很差����。”宋曉冬說。
付景廣表示���,工信部印發(fā)的《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》提出了及時(shí)發(fā)現(xiàn)原則和科學(xué)研判的原則����,鼓勵(lì)安全企業(yè)��、互聯(lián)網(wǎng)企業(yè)�����、技術(shù)應(yīng)用企業(yè)提交研發(fā)成果。同時(shí)�����,鼓勵(lì)包括國家互聯(lián)網(wǎng)應(yīng)急中心和其他科研機(jī)構(gòu)等有能力的企業(yè)�����,對發(fā)現(xiàn)的問題及時(shí)研判�����,準(zhǔn)確識(shí)別�,并在這一基礎(chǔ)上進(jìn)一步處置����。 (經(jīng)濟(jì)日報(bào)·中國經(jīng)濟(jì)網(wǎng)記者 陳 靜)
