金睿奖内部广告-余少娜-OA:81873
默认广告
您的位置: 科技> 正文

拿什么守护你,我的手机钱袋

2018-01-11 16:57 来源:经济日报

“应用克隆”这一移动攻击威胁模型的对外披露,引发了不少网民的恐慌情绪。一些一度被认为威胁不大、厂商也不重视的安全漏洞,竟然能“克隆”用户账户、窃取隐私信息、盗取账号及资金……营造安全移动支付环境,容不得一丝侥幸。手机厂商、应用开发商、网络安全研究者应携起手来,共同落实网络安全法及其他法律法规要求,彻底堵死可能的风险与漏洞——

在手机上点击一个网站链接,打开的是一个看似完全正常的抢红包页面,但无论你是否点击红包,你的支付宝应用已经在另一台手机上被“克隆”,甚至包括你的用户名和密码,攻击者可以点开支付宝付款码消费。

尽管现在支付宝已经修复了这一漏洞,但腾讯安全玄武实验室与知道创宇404实验室1月9日披露的攻击威胁模型“应用克隆”仍令人十分震惊。腾讯安全玄武实验室负责人于旸表示:“该攻击模型是基于移动应用的一些基本特点设计的。所以,几乎所有移动应用都适用该攻击模型。”研究显示,市面上200多款常见安卓应用中,有27款应用可被这种方式攻击,占比超过10%。

岁末年初,网络安全又成为很多人热议的话题。你的手机被“克隆”了吗?有什么防范方法?在这个“可怕”的攻击威胁背后,又折射出怎样的移动互联网时代安全新形势?记者采访了相关专家。

厂商安全意识薄弱——

应用及时升级很重要

“应用克隆”的可怕之处在于,与以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。于旸比喻说:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不仅能随时进出,还能以你的名义在酒店消费。”

“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。腾讯表示,目前尚无已知案例利用这种途径发起攻击。

与此同时,这一消息也被及时以各种方式传递出去,但反馈的情况却“参差不齐”。工信部网络安全管理局网络与数据安全处处长付景广表示,接到腾讯的通报后,“我们也组织相关单位和专家开展了认真分析和研判”。

国家互联网应急中心网络安全处副处长李佳则介绍说,2017年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台。在经过相关技术人员验证后,国家信息安全漏洞共享平台为这一漏洞分配了编号,并于2017年12月10日向这27个应用设计的企业发送了点对点安全通报。

“在发出通报后不久,就收到了包括支付宝、百度外卖、国美等大部分厂商的主动反馈,表示他们已开始修复漏洞,但截至2018年1月8日,还未收到京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商的相关反馈。”于旸表示,截至1月9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。

在1月9日技术研究成果发布会现场演示中,仍然可以用这种方式“克隆”携程安卓版手机应用,在“克隆”后尚能看到用户的交易记录。

这从某种意义上显示出国内部分手机应用厂商安全意识薄弱。于旸坦言:“我们也看了一部分国外应用,受这个漏洞影响的应用总体占比较国内少很多。从我十几年的网络安全领域从业经验来看,国内厂商和开发者,在安全意识上与国外同行相比确实有一定差距。”

普通用户最关心的则是如何能对这一攻击方式加以防范。知道创宇404实验室负责人周景平回答记者提问时表示:“普通用户的防范比较头疼,但仍有一些通用的安全措施。一是别人发给你的链接轻易不要点开,不太确定的二维码不要出于好奇心就去扫,更重要的是要随时关注官方的升级,及时升级手机操作系统和应用软件。”

网络安全形势发生变化——

警惕漏洞“联合作战”

除了巨大危害,另一个令人吃惊的事实是,这一攻击方式并非一直潜藏在黑暗之中。于旸表示:“查阅以往的技术资料,攻击中涉及的每一个风险点,其实都有人提出过。”其中的关键风险,周景平甚至在2013年3月份就在自己的博客中作了安全提示。他表示:“那时我还把这个问题报给了当时的安卓官方,但对方没有给我任何信息反馈,甚至连邮件都没有回复。”

那么,为什么这种危害巨大的攻击方式此前既未被安全厂商发觉,也没有攻击案例发生?“这是新的多点耦合产生的漏洞。”于旸打了一个比喻,“这就像是网线插头上有个凸起,结果路由器在插口位置上刚好设计了一个重置按钮。网线本身没有问题,路由器也没有问题,但结果是你一插上网线,路由器就重启。多点耦合也是这样,每一个问题都是已知的,但组合起来却带来了额外风险。”他还介绍说,在2016年还发现过另外一个漏洞,一共利用了9个不同网络协议和操作系统的特点,这些特点组合在一起,恶意文档甚至不用打开,插上U盘看一下目录就能传播。

多点耦合的出现,其实正意味着网络安全形势的变化。硬币的一面是漏洞“联合作战”的乘法效应,另一面则是防守者们形成的合力。在电脑时代,最重要的是系统自身安全,虽然包括手机在内的移动设备系统自身的安全性比电脑要高很多,但在端云一体的移动时代,最重要的其实是用户账号体系和数据的安全。要做好保护,光搞好系统自身安全远远不够,需要手机厂商、应用开发商、网络安全研究者等多方携手。

这也是管理部门的思路。李佳表示,在此次事件中发挥作用的国家信息安全共享平台正是基于“建立信息安全漏洞共享的知识库”目的而生。“目前已联合国内的重大信息系统单位,基础电信运营商、安全厂商和软件厂商以及相关互联网企业等,一共有60家的技术组合、用户组和成员单位,大家共享发现的漏洞,及时通报消息。截至目前,共收录了软硬件产品漏洞超过10万起,具体事件型漏洞超过了30万起,党政机关和重要信息系统漏洞超过了6.9万起”。

防范各种形式网络风险——

别想拿着旧地图去航行

“应用克隆”是个尚未形成危害就被捕捉到的漏洞。著名安全专家、网络安全厂商RSA前总裁阿密特·莫兰有句名言:“在新的网络安全威胁形势下,防御者如同拿着旧地图在海上航行。”新硬件、新技术、新服务的出现和交叉融合,催生了新面孔,也带来了新的风险。

比如硬件风险。此前刚刚公布的CPU硬件漏洞就属于这样的风险,它其实是设计漏洞,像是在蓝图的时候就画错了,这类风险即使在操作系统端加以防护也于事无补。此外,数以亿计的物联网设备,如智能盒子、安防摄像头、家用路由器等,其芯片执行漏洞、流量劫持漏洞、蓝牙蠕虫漏洞等底层威胁已在2017年暴露无遗,随着联网设备的指数级增长,2018年物联网设备的安全威胁将愈演愈烈。

此外,还有针对人工智能的攻击。美国加州大学伯克利分校教授宋晓冬介绍说,两张看上去一模一样的熊猫图片,一张被神经网络正确识别为“熊猫”,另外一张却因为被加上了人眼难以察觉的微小扰动,就被神经网络以99.3%的置信度识别为“长臂猿”,这就是可以“愚弄”人工智能的对抗样本。“用对抗样本攻击人工智能,其实就是从最核心的算法层面来攻击它。可以设想,一旦无人驾驶的汽车识别了被对抗样本改造过的交通标识,将带来严重后果。幸好从目前来看,针对自动驾驶的对抗样本对抗性很差。”宋晓冬说。

付景广表示,工信部印发的《公共互联网网络安全威胁监测与处置办法》提出了及时发现原则和科学研判的原则,鼓励安全企业、互联网企业、技术应用企业提交研发成果。同时,鼓励包括国家互联网应急中心和其他科研机构等有能力的企业,对发现的问题及时研判,准确识别,并在这一基础上进一步处置。

[ 编辑: 韦馨尧 ]
分享到:
大洋微信二维码

大洋微信

广报汇微信二维码

广报汇

10:13 2025年广州汽车总产能达500万辆
2025年广州汽车总产能达500万辆
广州是全国三大汽车生产基地之一,未来10年是广州汽车产业实现赶超国际知名品牌、智联新能源汽车与国际同步发展的历史机遇期。 [详细]
10:23 九月起一码可畅行地铁
九月起一码可畅行地铁
广州1.5万辆公共汽车实现扫码乘坐,实现全覆盖。按照计划,广州地铁也将继续改造,9月起街坊可任选支付方式过闸乘车。昨日,记者从“科技创新低碳出行”2018公共交通出行峰会上获悉,全国50城已实现扫码乘公交,将来百城或实现扫码乘公交。 [详细]
10:13 广州专项治理校外培训
广州专项治理校外培训
广州市教育局联合广州市公安局、广州市民政局、广州市人力资源和社会保障局、广州市工商行政管理局制定了《广州市切实减轻中小学生课外负担开展校外培训机构专项治理工作的实施方案》,于昨日正式印发。 [详细]
10:13 广交会上的新奇产品吸引人们眼球
广交会上的新奇产品吸引人们眼球
一款能和洗衣机“合体”的洗鞋机,让鞋子里的死角都洗得干干净净;一款特殊手表,表盘虽然没有数字却能“摸出时间”;一款“长眼睛”的空调,可以实时监控家里情况……第123届中国进出口商品交易会第一期将接近尾声,在会场中各种各样的新奇产品,赚足了人们的眼球。 [详细]
10:18 印象广州纪录片大赛征集启动
印象广州纪录片大赛征集启动
用镜头记录这个新时代,记录广州这座城市。昨日下午,由广州市社会科学界联合会和广州广播电视台联合主办的“我的广州我的城”印象广州纪录片大赛启动仪式在华南理工大学正式启动。 [详细]
10:28 81岁爱群大酒店迎“新生”
81岁爱群大酒店迎“新生”
81岁的爱群大酒店将迎来新生。近日,广州市爱群大酒店有限公司在广州公共资源交易中心发布《爱群大酒店东楼结构补强工程施工专业承包招标公告》和《爱群大酒店东楼维修翻新工程监理招标公告》。 [详细]
13:00 来粤剧博物馆睇大戏
来粤剧博物馆睇大戏
明日,粤剧艺术博物馆将举行2018“粤唱粤红”私伙局粤剧粤曲交流展演,展演免费,有兴趣的街坊可前往抢票。 [详细]
回到首页 评论 分享