應用克隆:黑產的四維攻擊和白帽子的技術涅槃

2021-01-10 唆麻

社會學中有這個一個概念:大多數人對於潛在的威脅最為敏感,但往往對眼前最賴以生存的資源選擇性忽略,比如空氣、水等,大家會對幼兒園虐童事件憤慨,大家會為南極消失的冰川而奔走吶喊,卻從未考慮如果有一天空氣和水消失了會怎麼樣——也許大家都覺得這個假設太過於天方夜譚了,以至於從未考慮和重視過。

《人類簡史》的作者赫拉利說過,人類社會組成依靠的是共同想像體,最典型的比如法幣、社會組織、道德……動物世界沒有這些規則,不會有一隻工蟻法官去審判剛剛戰鬥不力的兵蟻,動物只需要填飽肚子即可,而人類顯然要複雜得多。

基於共同想像體所構築的確定性指導著我們日常生活的行為準則,但這種確定性很有可能被更高維度的攻擊所攻陷,換句話說,如果宇宙只是一場浩大的計算機模擬,物理學家和天文學家耗費一生所研究的科學只是一場遊戲,經典的量子理論、牛頓定律只是計算機隨機設定的參數,不知道有多少人會瘋掉。

而網絡世界的共同想像體正在面臨這種高緯度的攻擊。

在1月9號的騰訊安全發布會上,騰訊安全玄武實驗室的負責人「TK教主」於暘在現場演示了一段視頻,告訴外界,利用克隆技術的應用克隆,所造成的威脅和破壞到底有多大——只見兩支手機擺放在桌子上,A手機向被攻擊的手機B發送了一條簡訊,這條簡訊中包含了一條惡意連結,B手機打開這個連結後,彈出了一個搶紅包的頁面,就像很多營銷推廣中常見的套路那樣。

高潮來了,當B手機關掉這個頁面時,A手機已經完美克隆了B手機上的支付寶應用,從帳戶到資金都一模一樣,接著,A手機打開付款碼掃一掃,消費了300元,與此同時,B手機上的帳戶裡也減少了300元,而B手機幾乎沒有任何察覺。

換句話說,只要A願意,他可以一直使用這個漏洞,從幾十元到幾百元任意消費,直到B手機用戶發現自己資金莫名消費,凍結或者轉移自己的財產。

但誰又會每天查看自己的支付寶消費呢?

一個頂尖的黑客,完全可以通過惡意連結克隆出你的消費和財產的app,然後在神不知鬼不覺地花掉你的錢,從日常的外賣,到預定機票和酒店,再到支付寶……

這是傳統網絡攻防中被忽視的一種漏洞攻擊方式,於暘介紹,傳統的漏洞攻擊是通過木馬連結,實現對用戶手機的長期控制。如果把手機電腦比作是一個房子,那麼用戶要做的就是鎖好每一個門和窗,而黑客是要想盡辦法進入你家,然後再在你家房子裡留一個洞,這樣可以方便進出。

白帽子所做的努力,無非是找到這個洞然後想辦法堵上,杜絕後患。

但如果攻擊者換一個思路,我不去進入用戶的家,而是直接克隆一個用戶的家,放到另外一個空間,在這個空間裡我能自由的進出,自由的拿取我需要的東西,真實的家也會受到影響。

這讓我想起了《三體》中關於四維空間裡的描述,藍色空間號上的關一帆等人遇到四維碎片並多次進出四維空間,三維空間的人看不到四維空間的人,但四維空間裡的人卻可以看到並且穿越三維世界,某種程度上,這像極了克隆應用對傳統防護,高維度對低維度的打擊。

手機已經成為現代人日常生活的數字中心,而電腦正變成工作和遊戲的附庸,在網際網路向移動網際網路遷移的幾年時間裡,人們對於網絡重心的理解也正在發生偏移——手機控制著消費,控制著社交,控制著搜索和財產,甚至控制了你家裡的智能家居,2017年,掃碼支付的市場規模已經達到驚人的5800億,毫不誇張地說,大部分人的手機如果處於無防護的狀態下,那麼個人的方方面面,從財產安全到個人隱私,無異於裸奔狀態。

這就是我文章開頭所提到的那個社會學現象:人們對於空氣和水資源的重視程度遠遠低於對財富、名利的追求,但如果沒有空氣,那麼一切都不復存在。

這裡我們可以順便提一下騰訊在安全領域上的布局:騰訊目前有科恩、玄武、湛瀘、雲鼎、反病毒、反詐騙、移動安全七大實驗室,這七大實驗室的重心和領域也相互交叉:連接、系統、應用、信息、設備以及雲。其中玄武實驗室主要專注於信息安全。

這其中主要包括三個方面的工作,首先是研究與傳統基礎網絡相關的信息,如Windows、Linux等。,其次是圍繞智慧型手機安全而展開的。所以新型的手機,如Android、IOS系統也成立一個重要研究方向。第三個方向是與各種智能硬體相關的研究。所有這些新的智能設備,加上傳統設備共同形成一個新的信息環境,從中產生的數據信息也是研究的主要方向。

作為一個白帽子,天職就是要給廠商提交漏洞。理想狀態下,廠商應該馬上確認並修復漏洞,並且對白帽黑客鄭重致謝,然後再給個三十萬五十萬之類。但其實並不是這樣。

以這次的克隆應用為例,在發現這個漏洞後,玄武實驗室一邊將這個漏洞上報給國家網際網路應急中心旗下信息安全漏洞共享平臺CNVD,一方面對現在市面上主流上的app進行逐個掃描和排斥,大約檢查了200個app,像支付寶這樣的平臺,已經在第一時間進行了處理,目前新版本中已經沒有這個漏洞,但還是有大量的中小app,沒有進行排斥和修補,這也是騰訊為什麼花大力氣開這個發布會的目的所在——將這個信息通過媒體的力量傳達給更多的平臺。

白帽子的工作有點類似清道夫,在迷宮般的網絡世界裡,就像鐵路工人一樣檢查每一段鐵軌,每一塊枕木,發現問題,然後及時修理,但遺憾的是,還是有很多廠商對於網絡攻防的重視程度不夠。

在接受採訪時候於暘也表示,整個行業對安全的重視程度可能是不夠的。這種不夠在以前可能不太了解實際造成的風險之前也就這樣,當今天大家看到了這些演示,你已經知道了它會造成這種後果之後,我覺得是應該要重視起來的。

網絡中的正義是如此脆弱——正如黑產和白帽子往往只是在一念之間,技術對於世界的貢獻是巨大的,但並不意味著技術本身存在對錯,在絕大的利益誘惑面前,除了人性的堅守之外,還需要技術加以杜絕和防範,正如於暘說的那樣「洪水來臨時,沒有一滴雨是無辜的。」

相關焦點

  • 「應用克隆」攻擊可竊取用戶帳戶,支付寶、餓了麼等都中招了
    一個簡單的時間錯位尚且如此,現實生活中,如果你收到的簡訊還夾雜著黑客的攻擊,會怎麼樣?最近,騰訊安全玄武實驗室負責人「TK教主」於暘就用簡訊為載體,現場披露了」應用克隆「這一移動攻擊威脅模型。玄武的阿圖因系統可以實現對移動應用問題的自動檢測,但因為此次應用克隆漏洞利用模型的複雜性,是難以實現通過自動化程序實現徹底檢測。實際上,「應用克隆」中涉及的部分技術此前知道創宇404實驗室和一些國外研究人員也曾提及過,但並未在業界引起足夠重視。可見,魔鬼的細節常常被視而不見,黑科技不僅離普通用戶很遠,有時候科技界都沒有正視他們。
  • 發現應用克隆漏洞 騰訊發現可克隆幾十款App的漏洞
    下午3點的騰訊安全有一場發布會,不到2點,主要演講人騰訊玄武實驗室負責人 TK(於暘) 已經到位,知道創宇404Team的老大黑哥(周景平)也現身了。會前,據知道創宇一位市場部人士向雷鋒網宅客頻道透露,黑哥幾年前發現了一個漏洞,報給了谷歌,但是谷歌沒搭理他。「是一點回音都沒有嗎 ?」雷鋒網(公眾號:雷鋒網)宅客頻道問。
  • 騰訊安全玄武實驗室發現「應用克隆」攻擊模型:幾乎適用所有安卓...
    央廣網北京1月9日消息 今天,騰訊安全玄武實驗室與知道創宇404實驗室共同公布並展示了「應用克隆」這一移動攻擊威脅模型。這一攻擊模型幾乎適用於安卓作業系統下的所有移動應用,iOS系統尚未涉及。  工信部網絡安全管理局網絡與數據安全處處長付景廣表示:「現在隨著網際網路及數字經濟的發展,網絡安全一方面造福於國家、社會,同時帶來的網絡安全問題也越來越突出。
  • 「應用克隆」漏洞被發現 涉及國內10%的安卓應用
    「應用克隆」漏洞被發現 涉及國內10%的安卓應用 2018-01-09 21:07:41來源:中國新聞網作者:${中新記者姓名}責任編輯
  • 涉案6億網絡黑產業曝光:想學古詩詞,卻誤入色情網站
    8月2日,騰訊安全聯合實驗室(TUSL)發布《2018上半年網際網路黑產研究報告》,報告中提及目前社會上存在的7種網際網路黑色產業鏈(簡稱網絡黑產),既有存在已久的「暗扣話費黑產」「App刷量黑產」等傳統網絡黑產,也誕生了「挖礦黑產」「DD0S攻擊黑產」等新型網絡黑產。
  • 豬克隆技術是怎麼樣一種技術?有什麼用處?溫氏種豬石俊松博士這樣說
    說到這裡,大家應該都很好奇,豬克隆技術具體是怎麼樣的一種技術?它在國內外的發展和應用情況是怎麼樣的?接下來將由廣東溫氏種豬科技有限公司高級畜牧師石俊松博士為大家分享《豬克隆技術及克隆種豬應用推廣》。「克隆」是大家既熟悉又陌生的詞彙,熟悉是因為很多人在影視作品中都聽過,陌生則可能對這個詞的含義不完全了解。
  • 360顯危鏡免費提供「應用克隆」漏洞自動化檢測服務
    近期國內多款知名手機APP被曝光存在「應用克隆」漏洞。攻擊者利用該漏洞,可以輕鬆「克隆」用戶帳戶,竊取隱私信息,盜取帳號及資金等,國內約10%的主流APP受到漏洞影響。作為中國領先的網絡安全廠商,360旗下APP從產品開發階段就已對「應用克隆」攻擊威脅進行全面預防,完全不受此次漏洞影響。
  • 安卓APP存"應用克隆"漏洞 可複製支付寶信息消費
    安卓APP存在"應用克隆"漏洞 可複製支付寶信息並消費  「應用克隆」這一移動攻擊威脅模型的對外披露,引發了不少網民的恐慌情緒。一些一度被認為威脅不大、廠商也不重視的安全漏洞,竟然能「克隆」用戶帳戶、竊取隱私信息、盜取帳號及資金……營造安全行動支付環境,容不得一絲僥倖。
  • 騰訊安全披露「應用克隆」漏洞 安卓主流APP中槍
    【環球網科技報導 記者 李文瑤】1月9日,由騰訊安全玄武實驗室發現的「應用克隆」這一移動攻擊威脅模型正式對外披露。據了解,基於該攻擊模型,騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應用中發現27個存在漏洞,比例超過10%。而這一漏洞利用方式一旦被不法分子利用,就可以輕鬆克隆獲取用戶帳戶權限,盜取用戶帳號及資金等個人隱私信息和資產。
  • 安卓APP存在"應用克隆"漏洞 可複製支付寶信息並消費
    儘管現在支付寶已經修復了這一漏洞,但騰訊安全玄武實驗室與知道創宇404實驗室1月9日披露的攻擊威脅模型「應用克隆」仍令人十分震驚。騰訊安全玄武實驗室負責人於暘表示:「該攻擊模型是基於移動應用的一些基本特點設計的。所以,幾乎所有移動應用都適用該攻擊模型。」研究顯示,市面上200多款常見安卓應用中,有27款應用可被這種方式攻擊,佔比超過10%。
  • 白帽子黑客抓包工具排行榜
    網絡安全的白帽子黑客都有一些心水的抓包工具,抓包工具是攔截查看網絡數據包內容的軟體。白帽子黑客用抓包工具來分析報文,針對漏洞做一些滲透測試。下面對白帽子黑客常用的五種網絡抓包工具做了個整理。第五名:TCPDump(網絡類)根據白帽子黑客抓包工具的使用率,將TCPdump排在第五的位置。
  • 安卓App存在「應用克隆」風險,行業如何應對?
    近日,騰訊安全玄武實驗室負責人於暘披露了一移動攻擊威脅模型——「應用克隆」。負責人在現場利用支付寶漏洞展示了攻擊效果:在安卓8.1.0的手機上,「攻擊者」向用戶發送一條包含惡意連結的手機簡訊,用戶只要一點擊,其支付寶帳戶就會被立即「克隆"到對方的手機上,然後「攻擊者」就可以利用偷來的信息進行消費。更可怕的是,不僅僅支付寶會受此威脅,我們常用的餓了麼、美團等將近十分之一的安卓應用都在面臨上號被克隆的威脅。
  • 克隆技術又突破新高度
    (2)細胞水平:由一個細胞經過有絲分裂生成的細胞群叫克隆。但如果培養細胞發生轉化,則很容易引起染色體變異。(3)基因水平:利用基因重組操作技術,使特定的基因與載體結合,在細菌等宿主中進行增殖,有可能得到均勻的基因群。克隆基因在基因功能與精細結構的關係等基礎研究及在有用物質的生產方面,均已得到應用。在上述3種水平上,增殖並分離獲得單一的克隆群稱為克隆化。此時,克隆一詞也可作為動詞理解。
  • 優質的Gateway克隆技術
    基本克隆實驗流程:取得更高效率的三個步驟1.確定入門克隆入門克隆 是您進行實驗的方式和地點,因為它包含你的目的基因或 attL 序列插入的 DNA 片段,然後將其與 attR 序列重組以創建所需的表達克隆。
  • 起底「網絡黑產」套路!
    2迷惑性、隱蔽性強信息技術的發展和應用使得犯罪行為更加具有迷惑性和隱蔽性。傳統或線下涉及黑產的違法犯罪行為,會在實施和完成的過程中,留下諸多可以尋蹤的物理痕跡。就網絡色情產業來講,負責網絡運營的專業技術人員、引流推廣人員,向色情行業出租伺服器的網際網路服務提供商,線下色情主播招募、培訓中介和代理商,以及大量從事色情交易的個體都可以融入到一個團隊。而一個完整的網絡賭博網頁的運行同樣包括搭建網頁、應用等平臺的技術人員,負責推廣、引流的人員,以及後臺操控人員和專業洗錢人員。
  • 「應用克隆」漏洞暫無法自動化檢測 騰訊發布「玄武支援計劃」協助...
    1月9日,騰訊安全玄武實驗室與知道創宇404實驗室,正式針對最新發現的「應用克隆」攻擊模型,聯合召開安全技術研究成果發布會。據騰訊安全玄武實驗室負責人於暘介紹,利用「應用克隆」攻擊模型,在國內包括支付寶、攜程等200款主流APP上測試後發現了27個漏洞,比例超過10%,而受到影響的APP,則存在用戶帳戶信息、數據、資金被克隆竊取的風險。
  • 身邊的「網絡黑產」你需要留意
    網絡黑色產業鏈,是指利用網際網路技術實施網絡攻擊、竊取信息、勒索詐騙、盜竊錢財、推廣黃賭毒等網絡違法行為,以及為這些行為提供工具、資源、平臺等準備和非法獲利變現的渠道與環節。黑產團夥利用這些網絡帳號開展網絡詐騙、搶票屯號、惡意搶券、虛假流量營銷等活動。以針對某大型電商平臺的真實事件為例,該平臺推出「新註冊用戶送40元代金券」活動,結果黑產團夥在5天內集中60多萬個黑卡註冊為新用戶,騙取代金券後通過各種渠道倒賣套現。在線博彩平臺:隨著在線支付和智慧型手機的普及,地下賭場已經迅速完成網際網路「轉型」,變為具備完整技術鏈條的在線博彩平臺。
  • 都2020年了 谷歌還沒有解決山寨和克隆應用遊戲的問題
    山寨和克隆應用一切變得更糟糕山寨應用帶來的威脅和遊戲克隆的單調性,對消費者產生了很大的影響。它會導致出現信任問題,有時還會使Play Store給用戶的感覺更加困惑和惱火。但是其實這不僅僅只是對消費者和用戶的負面影響,對於開發者來說,影響同樣很大。其中有一個有趣的故事。
  • Scratch克隆技術、多線程編程及通訊技術初探
    但另一方面,多線程編程及其同步技術這種「高上限」又無法迴避——這是開發複雜應用程式最實用但又最複雜的技術之一。還是那句話,Scratch絕不是玩具式語言!下面通過實例來說明問題。二、問題需求在本文中,我們想使用Scratch開發一個如圖所示的小程序。
  • Scratch高級編程之克隆技術再研究
    一、引言克隆技術是時下熱門的Scratch少兒編程考試或者競賽必須面對的重點與難點之一。本文試圖從較高的層面探討Scratch編程中克隆技術的本質,並進一步把克隆技術的應用劃分為兩大類型——共享數據克隆體和非共享數據克隆體,最後給出各自的應用舉例。對於初、高中對面向對象編程概念沒有基礎的小朋友,可以略過本注釋的閱讀轉而進行第二小節的閱讀。