机器之心报道
作者:杜伟
任凭「魔形女」百般变化,也逃不过京东安全的眼睛。
在漫威《X 战警》系列电影中,每个变种人都有自己特有的超能力,其中魔形女(Mystique)拥有可以变成任何人的超能力,通过伪装自己的身份,轻松完成秘密潜入等任务。
这种幻化的能力着实令人羡慕和向往。然而,当反派或不怀好意的人拥有了这种能力,则无异于一场灾难。
正所谓越担心的事情越容易发生,我们日常使用频繁的手机却面临着拥有这种能力的黑客的攻击,他们所利用的仅仅是手机操作系统中存在的一个漏洞。
这个漏洞是由京东探索研究院信息安全实验室在安卓 11 系统上发现的,它是一项高危的漏洞链,利用该漏洞链,黑客可以在用户毫无感知的情况下,获取手机中所有 APP 的隐私数据和权限,比如获取任一社交软件的聊天记录、任意劫持邮箱、公司内部沟通软件、支付软件等等。
听起来实在恐怖了,这个漏洞链使黑客拥有了魔形女的能力。黑客可以仿冒任意一个流行的 APP 并诱导用户下载安装,然后这个恶意 APP 就会自动启动对手机所有 APP 的监听和信息获取。基于这一特性,信息安全实验室团队将这个漏洞链形象地命名为「魔形女漏洞」。
谈到魔形女漏洞如何对手机构成威胁,京东探索研究院信息安全实验室高级研究员 Ricky 打了个形象的比喻:「如果把手机比作一个酒店,每个 APP 比作不同的房间。掌握这个漏洞就相当于拿到了酒店的万能钥匙,可以随意进出任何一个房间。」
就其自身的影响力和破坏力来说,魔形女漏洞具有以下特征:
国际 5 年、国内 6 年内影响面最广——根据版本装机量统计,目前全球约有至少 8 亿的安卓设备受影响,基本上所有使用安卓 11 系统的设备都受影响(数据截止 9 月末)。由于利用难度低、攻击效果和成功率稳定,该漏洞非常容易被不法分子和恶意竞争对手利用。该漏洞所赋能的新的攻击面为行业提供了全新的研究视角。网络安全行业专家王琦(大牛蛙,KEEN 和 GeekPwn 创办人)这样描述魔形女漏洞,「它的特点是准通杀,且漏洞利用不易被发现。」
我们可以通过一个简短的视频来了解魔形女漏洞:https://v.qq.com/x/page/n3304deys9a.html
「小」缺陷导致了「大」漏洞
安卓 11 正式版于 2020 年 9 月 9 月才发布,这么短的时间里为何会出现如此强大的魔形女漏洞呢?解密之前,我们先来了解下安卓系统的沙箱防御机制。
我们知道,安卓系统采用的是分层系统架构,由下往上依次为 Linux 内核层、硬件抽象层、系统运行时库层、应用程序框架层和应用程序层。为了保护设备、应用程序本身以及用户数据,安卓在系统架构的各层都融入了安全设计,其中重要的一环是采用了基于 Linux 的进程沙箱机制。
安卓继承了 Linux 具有的类 Unix 进程隔离机制与最小权限原则——进程在隔离的用户环境中运行,不能相互干扰。在 Linux 中,一个用户 ID(UID)识别一个给定用户;类似地,在安卓中,一个 UID 识别一个应用程序,在安装时向应用程序分配独一无二的 UID,并让应用程序在自己的进程中运行。最终,在这种防御机制下,不同的应用程序被分割开来,使得免受其他恶意应用的攻击。
安卓沙箱机制示意图。图源:packtpub
按道理来说,安卓的这种沙箱防御机制能够保护应用程序本身以及用户数据。然而,正是这种沙箱防御机制的一个微小缺陷导致了魔形女漏洞的产生。
京东安全方面介绍称,魔形女漏洞是安卓 11 新引入的:猜测是谷歌系统工程师在安卓新版本开发过程中,为了完成某种特性改动,违反了最小权限原则,导致原本严密的沙箱设计中出现了松动,导致一个 app 完成特定攻击后可变成其他任意 app 的 UID 并注入代码到其他 app,进而获取对方任意的数据和权限。再次以酒店房间打比喻,「酒店房间的门锁制造厂商在新品生产过程中出现了失误,导致一把新出现的钥匙拥有了打开所有酒店门锁的权限。」
这个微小的缺陷与不同型号安卓手机中原本存在的漏洞相结合,最终形成了拥有巨大威力的魔形女漏洞链。黑客可以利用它获取用户所有应用的隐私数据和权限,既包括相册、通讯录等在内的系统管理通用数据,也包括社交软件聊天记录等存放在应用内部的数据。
这就相当于黑客掌握了打开用户隐私的一把钥匙,窃取哪部分数据完全取决于他们的攻击目的。
图源:pexels
那么问题来了,用户难道完全感知不到魔形女漏洞的存在吗?黑客利用它攻击用户手机时也不表现出任何特征吗?京东安全方面给出了他们的答案。他们表示,在被攻击后,用户的手机不会出现明显的特征例如界面上的变化、弹框提示或者出现卡顿。用户无法简单意识到这是遭到了黑客利用魔形女漏洞进行攻击,这就需要技术专家使用专业的检测工具才能精准地发现攻击的踪迹。
究其原因,本次发现的魔形女漏洞展示了一个此前未曾被发现的新攻击路径。尽管安卓历史上也曾出现过能够获取所有应用隐私数据和权限的用户侧漏洞,但随着近年来安卓防御机制的增强,基本没有再出现过能有类似控制能力的漏洞。在最新的安卓 11 系统上能稳定地打破安卓应用沙箱防御机制。通过多个漏洞组合,黑客的零权限恶意应用程序绕过安卓应用沙箱,攻击任何其他应用,读取数据,获取权限。
魔形女漏洞不仅对消费者的隐私构成威胁,还对系统、手机厂商乃至整个安全行业提出了新的挑战。
对于系统和手机厂商来说,该漏洞颠覆了手机基础的安全机制,极易被黑灰产和恶意商业实体利用,造成巨大危害,这将促使谷歌在安卓功能更新过程中更加注重安全性。
魔形女漏洞的发现一定程度上也给整个安全行业敲响了警钟。一方面,整个社会对隐私问题越来越重视,保护用户数据势在必行;另一方面,由于利益的驱使,一些黑客的谋利动机越来越高,他们会敏锐地抓住并利用漏洞来窃取用户的隐私。因此,包括开发者和厂商在内的整个行业必须持续重视安全问题,积极投入系统的安全防御和检测,防患于未然,不仅要从源头上减少漏洞的产生,还要及时告知用户。
京东如何发现这一隐蔽的高危漏洞?
这就不得不提京东探索研究院信息安全实验室团队了。作为京东和京东用户的守护者,京东有一支强大的技术团队。除了日常工作中研发各类安全工具、提升安全防护之外,他们还紧密跟踪先进技术成果并应用于攻防实战中。作为京东最具前瞻性的研究部门之一,京东探索研究院信息安全实验室专门研究最新的前沿攻防技术,为安全团队提供各类先进的安全利器。
魔形女漏洞的发现,与信息安全实验室在以下两方面的努力密不可分。
一方面,实验室在安卓安全研究方面有深入的积累,进入了谷歌安全全球英雄榜前三十强,并在公司总分中排名中国第二。凭借对安卓系统的深入了解,该实验室持续追踪安卓系统的每次更新,这样才有可能捕捉到谷歌工程师在为安卓 11 系统不规范地引入新特性时,沙箱防御机制出现的微小缺陷。
另一方面,信息安全实验室开发了自动化漏洞挖掘框架,是发现魔形女漏洞的关键。就技术角度而言,该框架包含「静」、「动」和「专」三个维度,其中「静」为基于 AI 的数据流程序分析技术,「动」为基于遗传算法的动态程序测试技术,「专」为基于专家经验的变异分析技术。三者有机结合并互相补充,可对泛 IoT 设备和系统、应用等进行全面而深入的漏洞挖掘和隐私风险发现,仅上半年就发现了十多个通用漏洞披露 (CVE),帮助多个企业修复了大量风险,并获得厂商公开致谢。
还应看到,只发现了这个漏洞并不够,还需要与其他漏洞与之串联。接上文的酒店房间比喻,「我们知道了这些锁有一把万能钥匙还不够,还需要真正有能力找到它。」借助自动化漏洞挖掘框架的能力,信息安全实验室希望将找到的漏洞特征录入系统,对各大手机厂商的系统进行自动化扫描,发现了多个可用于此的漏洞,最终将该缺陷升级为一个具有巨大影响力的可利用漏洞,成功找到了这把「可打开所有房间的万能钥匙」。
Ricky 介绍称,前前后后花了数月时间,大致是在四五月份发现魔形女漏洞,中间经过一系列的研究探索,到七八月份正式提报这个漏洞。然而,发现漏洞只是第一步,京东安全做的远不止于此。
在发现魔形女漏洞后,京东安全已经及时向谷歌和各大手机厂商提报漏洞并提出修复建议,并得到了谷歌、三星等主流安卓厂商的确认修复和致谢,谷歌作为安卓生态的「盟主」,也和各大厂商进行了通报。
谷歌和三星的致谢。
目前,谷歌和各大手机厂商已在 2021 年 9 月安全补丁版本以上的安卓 11 系统以及 10 月新发布的安卓 12 中修复该漏洞,部分厂商也已在更早前 backport 了对应的补丁。
与此同时,京东探索研究院信息安全实验室还开发了针对魔形女漏洞的检测工具和 SDK。其中,安卓用户可以在该实验室官网下载漏洞检测工具,检测自己手机上的应用有没有被魔形女漏洞攻击过。
实验室官方博客地址(内含下载链接):https://dawnslab.jd.com/
信息安全实验室还为开发者和手机厂商提供了 SDK 工具,及时在应用中部署,检测应用或系统是否已被魔形女漏洞所攻击修改。一旦发现被劫持,用户将被提示在相应的业务中做防御和升级处理。
追求安全,京东一直在努力
魔形女漏洞的发现,是京东近年来植根于安全领域的真实体现。秉持着打造具有自身特色的内生式安全体系,京东安全基于京东的内生安全能力,致力于联手生态伙伴共同打造安全基础设施,将优秀的解决方案对外赋能,打造「京东特色零信任安全体系」。这样一来,京东安全既可以帮助那些缺乏专业安全团队的中小型企业,以及传统大型公司的数字化转型,又能协助整个行业提升安全防护水平。
目前,京东安全已拥有业务安全、数据安全、开发安全、办公安全、云安全、物联网安全、身份与访问、移动安全、通讯网安全、计算机环境安全、智能平台、管理平台十二类特色安全产品和麒麟框架等开源技术项目。其中,业务安全、数据安全和麒麟框架等,都是业内技术领先的项目产品。
数据安全以符合国家法律法规及行业标准作为建设基础,从顶层设计、安全基线建设、数据安全管理、数据安全保障以及个人信息保护几个角度进行了安全合规适配,并以持续提升安全能力作为关键的目标,打造一流的安全关键基础设施。
业务安全基于京东风控团队多年「黑灰产」对抗经验,结合业内领先的无监督、有监督算法和多年积累的海量风控数据,以及在零售、物流、数科、保险、健康等各领域积累的风控运营经验,为企业用户提供智能化、轻量且成熟的业务风控解决方案。用户通过简单的 API 对接,即可对全链路风险进行精准评估,搭建或完善自身已有的风控体系,降低黑产造成的损失,保障业务良性发展。
麒麟框架是京东安全自主研发的分析开源框架,旨在改变物联网安全研究、恶意软件分析和逆向工程的现状。麒麟框架拥有强大的功能,如在二进制执行之前或执行期间进行代码拦截和任意代码注入,还可在执行期间补丁目标二进制文件。麒麟框架是用 Python 编写的开源工具,Python 是逆向工程师常用的简单编程语言,极大地降低了二次开发的门槛。自 2019 年推出以来,麒麟框架在 IoT 分析领域得以多项落地实践,并且十余家世界头部公司和机构的安全团队都通过该框架开展各类研究或编写安全工具。
麒麟框架概览。图源:kanxue
与此同时,为了更有针对性地深入探索安全领域,京东于 2017 年 12 月成立了京东安全实验室。在成立不过四年的时间里,该实验室以为互联网提供免疫为目标,聚焦前沿基础系统研究,构建先进攻防能力和可信计算、隐私保护能力。目前,该实验室主要设有以下几个研究方向:
IoT 安全领域及开源社区的研究,例如麒麟框架;AI 相关安全研究的部门,涵盖 AI 公平性、鲁棒性、可解释性以及 AI 黑产对抗等;互联网基础设施漏洞方面的研究;京东安全实验室综合京东丰富的计算资源和平台资源以及行业人才,为实现智能化、AI、IoT、云安全提供助力。实验室目前已多次获得 CVE 致谢并在 BlackHat 等国际知名的安全大会上发表多次演讲,未来将持续构建独有的漏洞挖掘平台和安全防护设施,力争向产业输出前沿安全能力。
此外,为了保障用户隐私,集团设立安全与风控委员会作为安全最高决策机构并下设数据安全隐私合规工作组,统筹处理京东数据安全与隐私保护相关工作,在制度、流程、技术、人员四个方面消除风险与隐患。
图源:jd
为了保障用户隐私,京东在集团层面成立了隐私工作组,专门负责 APP 个人信息隐私保护工作,并从合规、技术和人员层面开展。
合规层面:
严格按照国家法律、法规对 APP 收集执行「最小必要」原则,合法合规收集和使用用户个人信息,将用户权益放在首位;隐私合规作为日常 APP 发布上线要求,未达到要求将禁止发布;与合作方明确个人信息共享原则,通过合同、协议等方式约定各方责任归属。技术层面:
打造合规技术平台,实现风险自动化管理,全面提升个人信息保护能力;明确上架要求,通过「自动化检测」和「人工检测」的方式对上架应用进行严格审核;APP 集中管理,将个人信息保护融入产品设计中,打造完善个人信息管理体系。人员层面:
定期组织员工培训学习个人信息保护规范,整体提升个人信息保护意识;设置在线客服、7x24 小时人工客服等多种反馈渠道,及时回应用户诉求。最后,京东在信息安全人才发展方面也有自己长远的战略。目前,京东信息安全部由安全精英人才组成,其中硕士学历及以上占比大于 30%,且技术类主要招收 985/211 / 海归等名校人才。为了吸引业内顶尖人才加入,京东安全还制定了完整的人才盘点体系和技术文化。
归根结底,京东始终秉持「落地京东特色零信任体系,保护京东用户数据安全」的信息安全发展目标,联手生态伙伴共同打造安全基础设施,秉承集团的技术对外赋能战略,真正解决安全问题,提升行业安全防护水平。
参考链接:
https://www.sohu.com/a/497537599_161795
https://www.ijiandao.com/2b/baijia/417466.html
https://blog.csdn.net/fei20121106/article/details/84023953
https://finance.sina.com.cn/jjxw/2021-10-26/doc-iktzqtyu3657846.shtml