演示“攻击”支付宝和携程
视频剪辑
当我问TK黑客是否可以“克隆”甚至用户的支付密码时,他告诉我:“就支付宝而言,密码是不可用的。”但他补充道,“但由于其他漏洞,一些应用程序在克隆后真的可以获得密码并完全控制帐户。”
还好TK告诉我,目前包括支付宝在内的这些存在“应用克隆”漏洞的app还是安全的,还没有发现利用这个漏洞的行为。“至少我们不知道的病例会通过这种方式攻击。”
支付宝相关负责人告诉我,上个月就发生了这种情况,他们接到通知后马上修复了。
短信只是诱导方式之一。这个漏洞还可以被黑客隐藏在二维码、新闻页面等中。只要用户不小心点了,就会被抓。
在演示对携程App的攻击时,一般操作和对支付宝的攻击是一样的。有意思的是,支付宝和携程背后都站着阿里和百度。
据悉,现在是2017年底,应该是11月底到12月初。12月初,TK告诉我,他们将在近期发表一项非常有影响力的发现,但他没有透露任何细节。今晚,TK承认这个缺陷就是他一开始所说的“重大发现”。
他向虎嗅透露,这个漏洞的发现起初只是他的想法,后来他们团队发现约200个app的27个安卓版本都可能被这个漏洞攻击。12月7日,玄武实验室向国家互联网应急中心提交了该漏洞和可能被攻击的App。
国家互联网应急中心网络安全处副处长李佳公开了从接收漏洞提交到验证再到通知厂商修复的全过程,以及修复情况3354。
“CNVD得到漏洞的相关信息后,首先时间安排相关技术人员对漏洞进行了验证,也分配了漏洞编号,CNVD-2017-,还在2017年12月10日向该漏洞涉及的App的27家相关公司发送了点对点漏洞安全通报。同时,在通知中,向各企业提供了漏洞细节和修复方案。
通知后不久,CNVD就收到了大部分app的这种主动反馈,包括支付宝、百度外卖、国美等,表示他们已经在修复漏洞了。可能是由于各队技术能力的差距。刚才看到有些app已经修复了,有些还没有。
截至昨日,JD.COM到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家APP厂商尚未收到他们的反馈。
在此,也希望这10家没有及时反馈的企业加强网络安全运营能力,落实网络安全法律法规的主体责任要求。当公司产品出现重大安全漏洞或隐患时,可以第一时间时间响应、解决和修复,有效维护和保障用户权益。"
在TK提供的一张PPT上,明确显示修复完成的app有支付宝、饿了么、Wi-Fi万能钥匙、小米生活、百度旅行、墨迹天气、驴妈妈旅行、Ku东等。修复不完全的app有一点资讯、牛信贷管家、亚马逊中国版。还有很多尚未修复该漏洞,包括百度外卖、携程、JD.COM到家、聚美优品、国美和智能火车票。
这就引出一个问题,就是原来的黑客没有发现这个漏洞,玄武实验室在这个时候公布了这个漏洞。对于那些没有被修复的漏洞,黑客可以立即发动攻击。一定程度上玄武反而成了帮凶。
腾讯玄武实验室负责人TK
胡嗅嗅把这个疑问抛给了TK。他解释道,“这个话题其实是安全界讨论了十几年的话题。漏洞披露存在矛盾。如果我今天发现了时间,今天披露了它,我根本没有把它留给制造商去修理。它肯定有问题。我们报了以后就等厂家来修,一天不修,一年不修就有问题。”
TK说,具体到今天宣布的“应用克隆”,它影响的不仅仅是一两家厂商,而是安卓应用市场上数百万的应用。他们只查了200个,不可能全部查完。“通过公布这个漏洞,让更多厂商自查自己的应用,这其实就是公开的意义。知道问题是一回事,意识到攻击是另一回事,所以漏洞泄露是一个需要权衡的过程。”TK跟我解释。
今天晚上7: 30,国家互联网应急中心在其CNVD(国家信息安全漏洞分享平台公布了该漏洞(官方称“跨域访问漏洞”),对漏洞进行了分析,给出了“高危”安全评级和修复建议:
TK在公布上述27个App安全漏洞的同时,也强调了手机厂商的责任。“发现所有被测试的手机都存在几个月前已经公开的漏洞。”在其公布的名单中,手机厂商包括三星、华为、小米、OPPO、vivo等。都存在漏洞修复滞后的现象,包括其最新旗舰机型。
“由于现在手机操作系统的安全设计,我们可能已经被时间麻痹很久了,觉得漏洞的危险性没有以前大了,但我们不得不说‘这是错觉’,我们的漏洞意识还是很有必要的。”TK呼吁手机厂商和应用开发者,“绝对不能在一个时间段或者近五六年内放松对漏洞攻击的警惕,以至于在编程的时候,很多已知的安全原则不再遵循,或者你在做系统很多已知的漏洞,该修复的时候不去修复。从更大的格局来看,其实并不利于整个移动互联网行业的健康发展。”
TK说:“洪水来临时,没有一滴雨滴是无辜的。”
本文链接:http://www.slxf119.com/17991.html 转载需授权!
网友评论