2018年1月9日,“套用克隆”這一移動攻擊威脅模型正式對外披露。該攻擊模型是基於移動套用的一些基本設計特點導致的,所以幾乎所有移動套用都適用該攻擊模型。
原理,影響範圍,對應措施,
原理
在套用克隆攻擊模型的視角下,很多以前認為威脅不大、廠商不重視的安全問題,都可以輕鬆“克隆”用戶賬戶,竊取隱私信息,盜取賬號及資金等。基於該攻擊模型,以某個常被廠商忽略的安全問題進行檢查,在200個移動套用中發現27個存在漏洞,比例超過10%。
影響範圍
發布會現場,在升級到最新安卓8.1.0的手機上,利用支付寶APP自身的漏洞,“攻擊者”向用戶傳送一條包含惡意連結的手機簡訊,用戶一旦點擊,其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中,然後“攻擊者”就可以任意查看用戶賬戶信息,並可進行消費。支付寶在最新版本中已修復了該漏洞。
據介紹,“套用克隆”對大多數移動套用都有效。而此次發現的漏洞至少涉及國內安卓套用市場十分之一的APP,如支付寶、攜程、餓了么等多個主流APP均存在漏洞,所以該漏洞幾乎影響國內所有安卓用戶。
對應措施
在發現這些漏洞後,騰訊安全玄武實驗室通過CNCERT向廠商通報了相關信息,並給出了修複方案,現場發布了“玄武支援計畫”,避免該漏洞被不法分子利用。同時由於對該漏洞的檢測無法自動化完成,必須人工分析,所以需要更多的APP廠商關注並自查產品是否仍存在相應漏洞,並進行修復。