1
電影《看不見的客人》讓我們領略了,一個細節的不留神,整個故事會有另外一幅面貌。男主角情人蘿拉的手機是悲劇進行下去的發動機,直到影片快結局觀眾才知道那條關鍵簡訊是定時滯後發送。一個簡單的時間錯位尚且如此,現實生活中,如果你收到的簡訊還夾雜著黑客的攻擊,會怎麼樣?
最近,騰訊安全玄武實驗室負責人「TK教主」於暘就用簡訊為載體,現場披露了」應用克隆「這一移動攻擊威脅模型。玄武實驗室以支付寶App為例展示了攻擊效果:在升級到最新安卓8.1.0的手機上,利用支付寶App自身的漏洞,「攻擊者」向用戶發送一條包含惡意連結的手機簡訊,用戶一旦點擊,其支付寶帳戶一秒鐘就被「克隆」到「攻擊者」的手機中,然後「攻擊者」就可以任意查看用戶帳戶信息,並可進行消費。
受此威脅模型影響,支付寶、攜程、餓了麼等近十分之一的安卓版應用都有信息、帳戶被盜的風險。黑客可以克隆出一個你的支付寶(頭像、ID、花唄、芝麻信用等等完全一樣),然後花你的錢。而簡訊只是一種誘導方式,二維碼、新聞資訊、紅包頁面等都可能被黑客用作為攻擊手段。
基於該模型,玄武實驗室以某個常被廠商忽略的安全問題進行檢查,在200個移動應用中發現27個存在漏洞,比例超過10%。在發現這些漏洞後,玄武實驗室通過CNCERT向廠商通報了相關信息,並給出了修複方案。目前,支付寶等在最新版本中已修復了該漏洞,還有一些仍存在修復不完全的情況。而最可怕的是,有很多沒有修復,還有一些根本還不知道自家安卓App可能因此中招。
TK也坦誠說,玄武實驗室的精力有限,此次只檢測了國內主流的200款APP。玄武的阿圖因系統可以實現對移動應用問題的自動檢測,但因為此次應用克隆漏洞利用模型的複雜性,是難以實現通過自動化程序實現徹底檢測。
實際上,「應用克隆」中涉及的部分技術此前知道創宇404實驗室和一些國外研究人員也曾提及過,但並未在業界引起足夠重視。可見,魔鬼的細節常常被視而不見,黑科技不僅離普通用戶很遠,有時候科技界都沒有正視他們。
所以,一些安全實驗室和白帽子很多時候就充當了「醫生」的角色,發現廠商系統的病症並給出治療方案,或者在病發之前提醒你「君有疾在腠理,不治將恐深」。
2
玄武實驗室的負責人TK教主就是學醫出身,甚至被稱之為婦科聖手。TK大學畢業的時候面臨兩個選擇,一個是遵循專業成為臨床醫生,另一個是加入綠盟成為職業安全研究員。TK認為計算機科學非常適合探索,說得直白一些,在計算機上搞實驗所需物質條件很低,但醫生不能在病人身上嘗試自己的實驗。
這個選擇和作家馮唐類似,馮唐在協和醫科大學正經學過八年醫術,後來棄醫從文從商。雖然我們失去了醫生馮唐,但是作家馮唐也一樣在為大眾開藥方,比如《如何避免成為一個油膩的中年猥瑣男》。從這個角度來說,TK可以說是安全界的馮唐,馮唐是作家界的TK。
作為一個白帽子,天職就是給廠商提漏洞。理想狀態下,廠商應該馬上確認並修復漏洞,並且向白帽子致謝。但現實情況並非如此,剛開始白帽子生涯的TK提交一個漏洞之後,廠商確認漏洞的時間半年到兩年不等,有時候廠商還不能對外透露修復的進展。
隨著安全的價值越來越高,這種情況後來有所好轉。在綠盟期間,TK發現並報告了Microsoft、Cisco等公司產品的多個安全漏洞,並且拿到了當時微軟支付的最高額度獎金十萬美元。
還有很多和TK一樣的白帽子在網絡世界以遊俠身份行走。他並不是一個人在戰鬥,而TK加入騰訊之後,直接創建了一個門派,也就是被稱為「漏洞挖掘機」的玄武實驗室。作為這個門派的掌門人,TK在2016年,發現了微軟歷史上影響最廣泛的漏洞,他將此命名為「BadTunnel」。
微軟的這個漏洞,其實和醫藥學的情況類似。Windows實現了很多協議和功能,但這些協議和功能是由不同的人設計和實現的。這些協議單獨看起來都沒什麼問題。但作業系統是需要整合這些協議一起工作的。這時候漏洞就出現了。每種藥品出廠的時候,都確保了危害是可以接受的。但是它們配伍後就可能對人傷害很大,是不能一起用的。
不只是微軟,蘋果也曾就玄武實驗室的漏洞收割貢獻多次公開致謝。玄武實驗室的成果一方面展示出中國白帽子的實力,另外一方面也告訴我們,安卓系統很危險,蘋果也不見得多安全。
3
說到底,這不是哪一個app或者手機廠商的問題,也並不是一個純粹技術攻防的戰場,而是整個行業的問題。國內來說,BAT和360都需要在安全領域肩負起一定的社會責任,和相關部門一起,構建一整套有效的安全預警和修復的機制。
以騰訊安全聯合實驗室的矩陣為例,其涵蓋科恩、玄武、湛瀘、雲鼎、反病毒、反詐騙、移動安全七大實驗室,實驗室專注安全技術研究及安全攻防體系搭建,安全防範和保障範圍覆蓋了連接、系統、應用、信息、設備、雲六大網際網路關鍵領域。
這次應用克隆漏洞方面,騰訊安全和國家網際網路應急中心的配合就是一個不錯的案例。CNVD(國家網際網路應急中心旗下的信息安全漏洞共享平臺)在獲取到漏洞的相關情況之後,第一時間安排了相關的技術人員對漏洞進行了驗證,也為漏洞分配了漏洞編號,然後向這次漏洞涉及到的27家App的相關企業發送了點對點的漏洞安全通報。同時,在通報中也向各個企業提供了漏洞的詳細情況以及建立了修複方案。
騰訊安全在披露應用克隆這一移動攻擊模型的當天,CNVD發布了公告,對漏洞進行了分析,並給出了」高危「的評級,同時也附上了修復建議。
TK說,此次現場披露威脅的目的,是希望提醒更多的廠商重視安全並做好自檢,再小的安全隱患也需要重視。針對此次「應用克隆」問題,騰訊安全玄武實驗室還提出了針對廠商的「玄武援助計劃」,針對需要技術支持的廠商玄武可以提供必要的支持。
「應用克隆」漏洞披露後,不少網友都大戶吃驚,也有很多公司和應用市場希望找玄武實驗室幫助檢測或提供掃描方案。我看到騰訊玄武實驗室微博是這麼回應的:
1、由於該問題的複雜性,不可能通過自動掃描來判斷是否存在該漏洞。否則我們用阿圖因系統就能完成對全網應用的檢查,而不只是僅檢查 200 個應用。簡單通過函數掃描得出的結果,既會出現大量誤報,又會出現大量漏報。唯一能判斷有無漏洞的方式就是人工檢測。
2、對我們幫助檢測的應用,根據和CNVD的溝通,我們也會統一提交給 CNVD,然後由 CNVD 通知廠商。
所以,看過支付寶示例視頻的大家不要以為這是個簡單的工序,實則暗藏諸多技術細節。不同於電影中雙方黑客電腦前的對抗情節,現實中的威脅打擊考驗的是漏洞修復、安全管理等多方面綜合能力。
不過,電影中的一些腦洞橋段確實又提示了黑客攻防的發展趨勢。想必看過《速度與激情8》的觀眾,都還記得其中反派遠程操控汽車車隊的景象。這個在現實中,技術極客「開黑」或許就能實現了。
去年7月,騰訊科恩實驗室就實現了對特斯拉Model X 的遠程攻擊,遠程控制剎車、車門、後備箱,操縱車燈以及廣播 。最早在2016年9月,該實驗室宣布他們以「遠程無物理接觸」的方式首次成功入侵了特斯拉汽車。這一舉動甚至引來特斯拉CEO馬斯克的親筆信致謝。
由此,我們也能看出來,無論是微軟、蘋果還是特斯拉,主流做法都是歡迎公開漏洞。什麼時候披露,怎麼披露有時候確實需要權衡,但披露本身的意義就在於讓廠商和應用能夠及時自查。
技術永遠都是把雙刃劍,原本黑客只是黑客,並沒有白帽子和黑帽子的區分,最早的黑客甚至用默默無聞的行動為當今的數字世界照亮了一條道路。但技術也總可能會被黑色產業利用,這時候就需要多維度聯防聯控,打破信息孤島。也正如TK所說:「洪水來臨的時候沒有一滴雨滴是無辜的。」