世界顶级白帽黑客TK教主：洪水来临的时候没有一滴雨滴是无辜的

本篇文章2049字，读完约5分钟

2017年ransomware的余波尚未完全消散。2018年初，许多网络安全事件再次爆发。在cpu芯片级漏洞事件曝光后不久，腾讯安全宣武实验室首次发现了“应用克隆”攻击模式。攻击者可以轻易地克隆用户的账户权限，窃取用户的账号和资金等。只需点击链接。支付宝、携程和其他国内主流应用都受到了影响，几乎影响了所有安卓手机用户。

值得注意的是，“应用程序克隆”攻击模型的构建并不是基于单个漏洞造成的潜在安全隐患，而是由一系列以前公布的漏洞耦合而产生的风险，这些漏洞通常被大家所忽略。这不仅反映了经过十多年的攻防，大家都放松了对漏洞的警惕；这也反映出迫切需要建立新的思路来应对当前的移动安全防护工作。

十多年来，网络攻击和防御落入“舒适区”的威胁逐渐被低估

1月9日，在腾讯安全宣武实验室和于闯知网联合召开的技术研究成果发布会上，一段三分钟的演示视频正式披露了“应用克隆”攻击模式。这种全新的攻击思路和意想不到的攻击效果很快引起了业内专家和在场媒体人士的关注，当晚21点左右，国家互联网应急中心(cncert)也正式发布了安全公告，对涉及的漏洞进行了编号，并将其评为“高风险”。

与其他攻击模型不同的是，“应用程序克隆”攻击模型中使用的所有安全风险点都在几年前公开了。在2009年之前，业界已经同意使用移动浏览器访问本地文件的风险；嵌入式浏览器设置不当的风险在2012年7月被披露；至于克隆攻击的风险，我知道于闯首席安全官周景平在2013年发表了这项研究，并将其提交给谷歌，但“一直没有回应”。

在我看来，这背后隐藏的实际上是经过十多年的攻击和防御后的网络安全趋势。他在新闻发布会上指出，近十年来操作系统的安全性一直在不断提高，有些人可能会有这样的错觉，认为漏洞的危险性并不是那么大，而十年前的人可能对漏洞更加敏感。

(鱼雨在新闻发布会上介绍了移动安全的趋势)

一方面，安全工作者和攻击者在攻击和防御的不断对抗中发展了许多技术。操作系统增加了大量的安全防御功能，各种漏洞攻击的传统思想在操作系统中实际上有相应的对抗模式；另一方面，攻击者利用漏洞发起网络攻击的成本变得更高。“你家的电脑或手机可能要几千美元。能够实现克隆目的的漏洞可能会在黑市上花费数十万美元甚至数百万美元。”

“一切都在变化，只有变化本身是不变的。”杨宇进一步指出，在过去十年中，网络攻击大致经历了三个阶段。早期，非法黑客利用用户薄弱的安全意识来“诱导执行”欺诈；中期，他们利用大量软件漏洞来传播恶意代码，现在他们再次回归伪装欺骗的“诱导执行”。

这在2017年爆发的许多勒索软件事件中也得到了类似的证实。起初爆发的wannacry只是利用了漏洞。然而，在最近东欧爆发的“坏兔子”事件中，非法黑客加入了水坑攻击等欺骗手段。

不当耦合导致主要设计漏洞。移动安全需要新思维

“应用克隆”攻击模型的攻击思想，除了反映出目前业界普遍处于攻击和防御的“舒适地带”的假象外，也揭示了移动安全目前面临的新挑战。

杨宇说，操作系统在攻防斗争中增加的大多数防御措施都是针对漏洞实施的。然而，设计安全问题还没有被业界解决。“许多设计安全问题是由多点耦合引起的，每个相关问题都可能是已知的，但很少有人意识到组合带来的风险。”

在“应用克隆”攻击模型被披露之前，设计漏洞的威胁实际上已经浮出水面。腾讯安全宣武实验室在2015年首次发现了条形码设计漏洞。攻击者可以通过扫描恶意条形码，甚至发射激光，在连接到条形码阅读器的计算机上执行任意操作，在过去二十年里影响了世界上所有的条形码阅读器。大部分产品由制造商生产，该研究获得了威特威尔年度安全研究成就奖；2016年，腾讯安全宣武实验室发现了另一个重大漏洞。当用户打开恶意URL、任何办公室文件、pdf文件或插入u盘时，攻击者可以劫持用户的网络以窃取隐私，甚至植入特洛伊木马。该漏洞影响了过去二十年中从windows 95到windows 10的所有windows版本。

就在“应用程序克隆”攻击模型被正式披露之前，英特尔暴露出了潜在的cpu漏洞:“幽灵”和“崩溃”，这影响了世界上几乎所有的手机、计算机和云计算产品。腾讯安全宣武在新闻发布会上也对这个问题进行了重点分析，并发布了一个“幽灵”漏洞在线检测工具，帮助用户一键检测自己的设备是否容易受到漏洞攻击。

基于此，杨宇在新闻发布会上首次提出，鉴于“应用克隆”背后的耦合风险，安全厂商应该建立“移动安全新思维”。他指出，在移动时代，最重要的是用户账户系统和数据的安全。为了保护这些，仅仅做好系统本身的安全性是不够的。这使得移动时代的安全问题更加复杂多变，涉及面更加广泛。手机制造商、应用开发商、网络安全研究人员等各方应携手关注。

值得庆幸的是，“应用克隆”攻击模式的发现走在了非法黑客的前面，主动发起攻击和防御，受影响的应用厂商已经完成或正在积极修复，这进一步坚定了行业内外共建健康网络安全环境的决心。毕竟，正如传统知识领袖所说，“洪水来临时，没有一滴雨是无辜的。”