騰訊發(fā)現(xiàn)一個可克隆幾十款App的漏洞，多款應用受影響

1月9日，騰訊匯。

下午3點的騰訊安全有一場發(fā)布會，不到2點，主要演講人騰訊玄武實驗室負責人 TK（于旸） 已經(jīng)到位，知道創(chuàng)宇404Team的老大黑哥(周景平)也現(xiàn)身了。

會前，據(jù)知道創(chuàng)宇一位市場部人士向雷鋒網(wǎng)宅客頻道透露，黑哥幾年前發(fā)現(xiàn)了一個漏洞，報給了谷歌，但是谷歌沒搭理他。

“是一點回音都沒有嗎 ？”雷鋒網(wǎng)宅客頻道問。

“是，好像是說谷歌覺得可能不是它那邊的責任?！痹撊耸空f。

下午3點25分，原計劃開始的發(fā)布會還沒開始。

騰訊方面同時傳來了信息:：騰訊玄武實驗室上報了一個重大漏洞，這屬于一個應用克隆的漏洞，騰訊方面還提出了漏洞利用方法。

這也透露了一個信息，這個漏洞應該是影響安卓系統(tǒng)的多款應用，不然工信部領導不會來站臺。

3點半左右，發(fā)布會開始，懸念揭曉。

在手機上點擊一個網(wǎng)站鏈接，你可以看到一個看上去正常的支付寶搶紅包頁面，但噩夢從你點擊鏈接就開始——此時你的支付寶的信息全部可以在攻擊者的機器上呈現(xiàn)，攻擊者借此完全可以用你的支付寶消費。

你一無所知。

這是當前利用漏洞傳遞惡意代碼的一種典型方式。TK稱，在手機上點擊惡意鏈接，有漏洞的應用就會被完全控制。

這是一種“應用克隆”漏洞攻擊。

有意思的是，整套攻擊中涉及的風險點其實都是已知的。2013年3月，黑哥在他的博客里就提到了這種風險。

TK 稱，多點耦合產(chǎn)生了可怕漏洞，所謂多點耦合，是A點看上去沒問題，B點看上去也沒問題，但是A和B組合起來，就組成了一個大問題。

說白了，是一個系統(tǒng)的設計問題。

移動設備普遍使用了可信計算、漏洞緩解、權限隔離等安全技術，但移動技術自身的各種特點又給安全引入了更多的新變量，新產(chǎn)量可能耦合出新風險。

這種應用克隆漏洞就是這種類型的漏洞。目前，支付寶該漏洞已修復。

黑哥介紹，其實在2012年3月，他就已經(jīng)形成了克隆攻擊的思路。當時他新買了臺設備，發(fā)現(xiàn)微博數(shù)據(jù)移到另外一臺手機上，手機上會自動完成登陸的過程。發(fā)現(xiàn)問題后，他再次進行測試，然后將漏洞詳情報給了安卓官方，但是谷歌連郵件都沒回復。

黑哥一怒之下在博客上進行發(fā)布，但谷歌方面現(xiàn)在依然沒有完全修復該漏洞。

在發(fā)布會現(xiàn)場，TK 發(fā)布了演示視頻，實現(xiàn)了克隆賬戶和竊取用戶照片的攻擊效果。

目前，據(jù)騰訊方面的研究，市面上 200 多款安卓應用中，27款 App 有此漏洞。漏洞列表及影響如下,其中18個可被遠程攻擊，9個只能從本地攻擊。2017年12月7日，騰訊將27個漏洞報告給了國家信息安全漏洞共享平臺(cnvd) ，截止到2018年1月9日，有11個 App 進行了修復，但其中3個修復存在缺陷。

國家互聯(lián)網(wǎng)應急中心（CNCERT）網(wǎng)絡安全處副處長李佳介紹，支付寶、百度外賣、國美等已經(jīng)就該漏洞進行反饋，截止到昨天，還未收到京東到家、虎撲等十家廠商的反饋。

以下為TK 和黑哥的采訪記錄，雷鋒網(wǎng)略有刪減和整理。

1.什么時候發(fā)現(xiàn)的這些漏洞？

TK：我們今天看到影響的是若干款 App ，其實整個發(fā)現(xiàn)是陸陸續(xù)續(xù)的一個過程，不是一次性的一個過程。最初發(fā)現(xiàn)就是去年年底。

2.廠商怎么修補？

TK：漏洞本身是我們發(fā)現(xiàn)的，我們發(fā)現(xiàn)后及時通報給了國家相關的主管部門，然后通過主管部門去通知應用廠商修補。

3.針對支付寶，有實際攻擊案例嗎？

TK：沒有，至少我們沒有知道的案例。雖然有可能通過這種途徑發(fā)起攻擊，但是我們并不知道是否有人真的有發(fā)起這種攻擊。

4.普通用戶可以防范嗎？

黑哥：普通用戶防范的問題還是比較頭疼的，剛才的視頻演示也只是一個場景，第一個視頻中，攻擊者發(fā)了一個短信，讓你去點，還有一種場景是可以掃一個二維碼，也是誘使你訪問一個網(wǎng)頁。其實對于一些普通用戶來說，首先別人發(fā)給你的鏈接，少點，不太確定的二維碼，不要掃一掃。最重要的一點是，關注官方的升級，包括操作系統(tǒng)和 App 的官方升級。

TK：如果用戶今天打開你的手機，然后把這些已經(jīng)修復的 App 升級到最新版，其實就已經(jīng)不再受這些漏洞的影響了。

5.這里的多點耦合到底是什么意思？

TK：多點耦合不是一個漏洞，是一種思路。舉一個例子，你可能想跟蹤一個人，但是你跟蹤這一個人，可能你只掌握他一方面的信息是比較困難的，如果你只掌握了他鞋子的品牌和尺寸，可能不能精確定位一個人。如果把一個人的各方面特征放在一起時，可以形成綜合性的準確判定，但整體的判定是由一系列的細節(jié)形成的。

剛才講的今天大家看到的展示里，最終大家看到的我們控制應用產(chǎn)生的效果是克隆這種方式。要用這個漏洞去實現(xiàn)克隆，這個漏洞本身是由多個耦合點形成的漏洞，和克隆結合起來也成了耦合整個鏈條中的環(huán)節(jié)，成了齒輪中的一個，最終達到了這樣一整套的東西。

6.你第一次是向谷歌提交的，這意味著其實有通過官方版安卓系統(tǒng)修復的可能性嗎？

黑哥：我們做漏洞攻防研究的首先是攻，對于個人來說，在發(fā)現(xiàn)攻擊方式的時候更多的想到的是攻，至于這個問題到底要誰解決，最起碼那個時候沒有想那么多。只是說這個東西很普遍，或許在操作平臺系統(tǒng)上面有對應的防御機制能夠做這種東西。但是這種設計上的，說缺陷或者是個性也好，設計上的問題要在操作層面系統(tǒng)去解決的話，他們（編者注：指谷歌）也很頭痛。

即使你把這個問題解決了，說不定還有其他的問題，需要不停地改架構之類。就算把安全問題解決了，會不會給用戶的性能帶來一些問題？例如，這兩天 CPU 的漏洞。很多人還在思考，操作系統(tǒng)修復漏洞時會降低用戶的 CPU 使用率。它會降低性能，這樣很多人就會去思考，這個漏洞打的補丁到底是打還是不打？很多問題沒有一個明確的答案。

安卓廠商有可能比較積極一點的是，認可這確實是一個大問題，而且是普遍存在的。有可能做得比較好一點的廠商會來一個提示，或者安卓廠商認為在不影響其他用戶使用的功能和性能下，有必要修復，廠商可以做修補，但大平臺考慮的問題更多，不完全是安全性的問題。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。