TK:安全的核心仍在于重视 移动安全应更多的考虑耦合风险
作者: 日期:2018年01月10日 阅:9,447

昨日,腾讯安全玄武实验室与知道创宇404实验室联合公布了“应用克隆”——这一针对安卓手机的最新攻击模型。该攻击可通过钓鱼链接实现漏洞利用,获取该手机特定app的登录凭证,窃取账户隐私信息,甚至进行消费。根据玄武实验室对国内200余款安卓市场主流app测试结果,有27款app存在此漏洞,受影响比例超过10%。

漏洞威胁减弱是错觉 警惕多点耦合引入的新风险

不同于部分手机自带的数据迁移(手机克隆)功能,此次玄武实验室公布的“应用克隆”是安全研究员利用漏洞实现的结果。在目标用户完全不知情的情况下,仅仅通过“钓鱼短信->恶意链接->访问特定页面”简单的三步,目标手机的app登录凭证就会被传输到攻击者手中。“两部手机的应用的登录状态几乎是完全同步的,账户的所有隐私信息也是可见的。”而攻击过程中涉及的部分技术点,是404负责人知道创宇CSO黑哥(周景平)曾在2013年公开提及,甚至向谷歌安全团队邮件告知过的。但遗憾的是,无论是谷歌还是业界,当年都未给予足够的重视。

腾讯安全玄武实验室的负责人TK(于旸)介绍,虽然操作系统的安全性近些年在不断提高,但仅是针对实现类漏洞;在app开发甚至硬件设计之初,单点的安全风险是非常隐蔽的,针对多点耦合而成的新安全风险,操作系统可以做的微乎其微。知道创宇的黑哥也向记者表示,移动app安全应有其相对的独立性,不能过分依靠操作系统自身的安全能力。

洪水来临之时,没有一滴雨滴是无辜的。漏洞威胁并没有因为操作系统安全性的提高而减弱,只要有合适的漏洞利用方式,漏洞威胁都是真实存在且不可小觑的。对漏洞的警惕意识仍然是必要的。

之前玄武实验室公开的BadBarcode和BadTunnel攻击方法,包括此次曝出的英特尔CPU漏洞(可通过浏览器javascript脚本嗅探CPU内核受保护数据),均是由耦合不当导致的重大设计缺陷。他们都是基于多个已公开的协议和信息,结合漏洞组合而成的新的攻击方式。

安全的核心仍在于重视 用移动思维看移动安全

TK在研究结果的分享中,着重提及了“移动安全新思维”,即更主动地考虑移动技术自身特点(软/硬件、时空特点)所不断引入的更多的新变量,以及多变量耦合之后所可能的潜在安全风险。

在PC时代,最重要的是系统自身的安全。但在端云一体的移动时代,智能手机已经成为物联网的核心,涉及大量隐私信息用户账号体系和数据安全则显得更为重要。要保护好这些,光搞好系统自身安全是不够的。移动安全问题十分复杂多变,目前移动互联网行业“安全意识不足”的问题是行业普遍存在的,不是一两个厂商的问题。这个现状需要手机生产商、应用开发者、用户和安全厂商的共同努力。

对于手机生产商和应用开发者而言,可行的方法有两个方面:一是在开发和设计之初,遵循安全开发的相应规章和安全测试流程;二是对相关安全漏洞积极和及时的修复。但这两点在中国的现状,都是没有得到足够重视,做得还不够好的。

以此次“应用克隆”为例,据CNCERT网络安全处副处长李佳介绍,该漏洞(CNVD-2017-36682)在经过验证后,已于2017年12月10日向27家具体的App开发企业进行了点对点的漏洞安全通报,同时提供了漏洞的详细情况以及修复方案。但截止到2018年1月9日上午只有8家完成了完全的修复,包括京东到家、饿了么、聚美优品、豆瓣等10家厂商仍未有反馈。

TK在会上表示,由于对该漏洞的检测无法自动化完成,必须人工分析,玄武实验室无法对整个安卓应用市场进行检测,所以也希望通过此次发布,能让更多的App厂商关注并自查产品是否仍存在相应漏洞,并进行修复。对用户量大、涉及重要数据的App,玄武实验室愿意提供相关技术援助。

《腾讯安全前沿技术研究白皮书》发布

会上,腾讯副总裁马斌还发布了《腾讯安全前沿技术研究白皮书》,对目前中国面临的安全形势,以及腾讯安全联合实验室在科技创新、人才建设等方面的成果进行了全面盘点,并首次披露了腾讯安全联合实验室成立以来在反诈骗、人才培养、物联网、云安全、杀毒引擎等十大方面的安全研究成果。

马斌表示,安全生态建设不仅要技术驱动,更需要“开放、合作、共享”的态度,联合政府、安全厂商和企业为用户打造安全的网络环境,进一步推动互联网安全生态的快速发展。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章