腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

雷锋网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

1月9日,腾讯汇。

下午3点的腾讯安全有一场发布会,不到2点,主要演讲人腾讯玄武实验室负责人 TK 已经到位,知道创宇404Team的老大黑哥(周景平)也现身了。

会前,据知道创宇一位市场部人士向雷锋网透露,黑哥几年前发现了一个漏洞,报给了谷歌,但是谷歌没搭理他。

“是一点回音都没有吗 ?”雷锋网 (公众号:雷锋网) 问。

“是,好像是说谷歌觉得可能不是它那边的责任。”该人士说。

下午3点25分,原计划开始的发布会还没开始,据说是因为工信部一位关键领导被堵在了路上。

腾讯方面同时传来了信息: 腾讯玄武实验室上报了一个重大漏洞,这属于一个应用克隆的漏洞,腾讯方面还提出了漏洞利用方法。

这也透露了一个信息,这个漏洞应该是影响安卓系统的多款应用,不然工信部领导不会来站台。

3点半左右,发布会开始,悬念揭晓。

雷锋网发现,在手机上点击一个网站链接,你可以看到一个看上去正常的支付宝抢红包页面,但噩梦从你点击链接就开始——此时你的支付宝的信息全部可以在攻击者的机器上呈现,攻击者借此完全可以用你的支付宝消费。

你一无所知。

腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

这是当前利用漏洞传递恶意代码的一种典型方式。TK称,在手机上点击恶意链接,有漏洞的应用就会被完全控制。

这是一种“应用克隆”漏洞攻击。

有意思的是,整套攻击中涉及的风险点其实都是已知的。2013年3月,黑哥在他的博客里就提到了这种风险。

腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

TK 称,多点耦合产生了可怕漏洞,所谓多点耦合,是A点看上去没问题,B点看上去也没问题,但是A和B组合起来,就组成了一个大问题。

说白了,是一个系统的设计问题。

移动设备普遍使用了可信计算、漏洞缓解、权限隔离等安全技术,但移动技术自身的各种特点又给安全引入了更多的新变量,新产量可能耦合出新风险。

这种应用克隆漏洞就是这种类型的漏洞。

黑哥介绍,其实在2012年3月,他就已经形成了克隆攻击的思路。当时他新买了台设备,发现微博数据移到另外一台手机上,手机上会自动完成登陆的过程。发现问题后,他再次进行测试,然后将漏洞详情报给了安卓官方,但是谷歌连邮件都没回复。

黑哥一怒之下在博客上进行发布,但谷歌方面现在依然没有完全修复该漏洞。

在发布会现场,TK 发布了演示视频,实现了克隆账户和窃取用户照片的攻击效果。

腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

目前,据腾讯方面的研究,市面上300多款安卓应用中,27款App有此漏洞。漏洞列表及影响如下,其中18个可被远程攻击,9个只能从本地攻击。2017年12月7日,腾讯将27个漏洞报告给了国家信息安全漏洞共享平台(cnvd) ,截止到2018年1月9日,有11个App进行了修复,但其中3个修复存在缺陷。

腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

据cnvd的工作人员介绍,支付宝、百度外卖、国美等已经就该漏洞进行反馈,截止到昨天,还未收到京东到家、饿了么、虎扑等十家厂商的反馈。

腾讯发现一款可克隆几十款App的漏洞,现场演示支付宝如何中招

随意打赏

app store 支付宝支付app store支付宝app 克隆支付宝app腾讯应用宝腾讯app腾讯漏洞
提交建议
微信扫一扫,分享给好友吧。