首页 » 谷歌 » 「魔形女」百般变化,也逃不过京东安全的眼睛

「魔形女」百般变化,也逃不过京东安全的眼睛

 

谷歌锁区号/谷歌邮箱老号-购买商城
谷歌play地区代改
Google Voice号码支持自助购买
谷歌锁区号购买商城]
美区VISA卡代开-可以用于aws,azure,FB,谷歌,亚马逊,速卖通,eBay,独立站,paypal等支付
如果您还有其他问题可以加我电报交流。
电报号:telegram:@tianmeiapp

无论《》如何变化,都逃不过京东安全的眼睛。

在漫威的《X战警》系列电影中,每个变种人都有自己独特的超能力,其中()拥有可以变成任何人的超能力,通过伪装自己的身份,轻松完成秘密渗透等任务。

这种幻术能力,真是让人羡慕又向往。但是,当恶棍或心怀不轨的人拥有这种能力时,就可能是一场灾难。

俗话说,越担心越容易发生,但我们经常使用的手机却面临着具有这种能力的黑客的攻击,他们只是在利用手机操作系统的漏洞。

该漏洞是京东信息安全实验室在 11系统上发现的。系统内所有APP的隐私数据和权限,如获取任意社交软件的聊天记录、劫持邮箱、公司内部通讯软件、支付软件等。

虽然听起来很可怕,但这个漏洞利用链为黑客提供了 的力量。黑客可以模仿任何流行的APP,诱导用户下载安装,恶意APP会自动启动对所有手机APP的监控和信息获取。基于此特性,信息安全实验室团队将此漏洞链命名为“ ”。

京东信息安全实验室高级研究员 Ricky 谈到 的漏洞如何对手机构成威胁。 .掌握这个漏洞,就等于拿到了酒店的万能钥匙,可以随意进出任何房间。”

就其自身的影响力和破坏力而言,漏洞利用具有以下特点:

网络安全行业专家王琦(Big ,KEEN,创始人)这样描述漏洞,“其特点是准杀,漏洞利用不易被发现。”

我们可以通过一段短视频了解 漏洞利用:

“小”错误导致“大”错误

11 正式版是在 2020 年 9 月才发布的,为何如此强大的 漏洞会在如此短的时间内出现?在解密之前,我们先了解一下系统的沙盒防御机制。

我们知道系统采用分层的系统架构,自下而上依次是Linux内核层、硬件抽象层、系统运行时库层、应用框架层和应用层。为了保护设备、应用程序本身和用户数据, 在系统架构的各个层级都融入了安全设计,其中一个重要的部分是使用了基于 Linux 的进程沙箱机制。

继承了类Unix的进程隔离机制和Linux拥有的最小权限原则——进程运行在一个隔离的用户环境中,不能相互干扰。在 Linux 中,用户 ID (UID) 标识给定用户;类似地,在 中,UID 标识应用程序,在安装时为应用程序分配唯一的 UID,并使应用程序在自己的进程中运行。最终,在这种防御机制下,不同的应用程序被分割,使它们免受其他恶意应用程序的攻击。

沙盒机制示意图。来源:

按理说, 的沙盒防御机制可以保护应用程序本身以及用户数据。然而,正是这个沙盒防御机制中的一个小缺陷导致了 漏洞利用。

京东安全称 11新引入漏洞:猜测是谷歌系统工程师在新版开发过程中为了完成某些功能变更,违反了最小权限原则,导致原来严格的沙盒设计存在松动,导致一个app在完成特定攻击后可以成为任何其他app的UID,向其他app注入代码,从而获得对方的任意数据和权限。再用酒店房间的比喻,“酒店房间门锁制造商在新产品的生产过程中犯了一个错误,导致一把新钥匙有权打开所有酒店门锁。”

这个微小的缺陷与不同型号的 手机中的现有漏洞相结合,形成了一个庞大的 漏洞链。黑客可以利用它获取用户所有应用程序的隐私数据和权限,包括相册、通讯录等系统管理的通用数据,以及社交软件聊天记录等应用程序中存储的数据。

这相当于黑客拿着一把钥匙来解锁用户隐私,窃取哪部分数据完全取决于他们的攻击目的。

图片来源:

那么问题是,用户是否完全不知道 漏洞?黑客用它来攻击用户的手机不表现出什么特征?京东安全给出了答案。他们表示,被攻击后,用户的手机不会出现界面变化、弹窗提示或死机等明显特征。用户不能简单地意识到这是被黑客利用 漏洞攻击,这需要技术专家使用专业的检测工具来准确找到攻击的踪迹。

之所以会这样,是因为本次发现的漏洞展现了一条之前没有发现的新攻击路径。虽然历史上曾出现过可以获取所有应用隐私数据和权限的用户侧漏洞,但随着近年来防御机制的增强,基本没有出现类似控制能力的漏洞。可以稳定破解最新 11系统上的应用沙盒防御机制。通过多个漏洞的组合,黑客的零权限恶意应用绕过应用沙箱,攻击任何其他应用,读取数据并获得权限。

漏洞不仅对消费者的隐私构成威胁,也对系统、手机制造商以及整个安全行业提出了新的挑战。

对于系统和手机厂商来说,这个漏洞颠覆了手机的基本安全机制,很容易被黑灰产品和恶意商业实体利用,造成极大危害,这将促使谷歌更加重视手机安全。 功能更新性的过程。

漏洞的发现在一定程度上也给整个安防行业敲响了警钟。一方面谷歌开发者账号有风险么,全社会越来越关注隐私问题,保护用户数据势在必行;另一方面,在利益的驱使下,一些黑客的利益动机越来越高,他们会敏锐地抓住和利用漏洞窃取用户隐私。因此,整个行业,包括开发者和厂商,都必须持续关注安全问题,积极投入系统安全防御和检测,防患于未然,不仅从源头上减少漏洞的发生,而且及时通知用户。

京东是如何发现这个隐藏的高危漏洞的?

这不得不提京东研究院的信息安全实验室团队。作为京东及其用户的守护者,京东拥有强大的技术团队。除了在日常工作中开发各种安全工具,完善安全防护外,他们还密切跟踪先进技术成果,并将其应用到实际攻防作战中。京东研究院信息安全实验室作为京东最具前瞻性的研究部门之一,专门研究最新前沿攻防技术,为安全团队提供各种先进的安全工具。

漏洞的发现离不开信息安全实验室在以下两个方面的努力。

一方面,实验室在安全研究方面有深入的积累,已进入谷歌全球安全英雄榜前30名,公司总分排名中国第二。凭借对 的深入了解,该实验室可以跟踪每一次 更新,从而在 工程师不定期将新功能引入 11 时发现沙盒防御中的微小缺陷。

另一方面,信息安全实验室开发了一个自动化漏洞挖掘框架,这是发现 漏洞的关键。从技术上看,该框架包括“静态”、“动态”和“专业”三个维度,其中“静态”是基于AI的数据流程序分析技术,“动态”是遗传算法——基于动态程序测试技术,“”是一种基于专家经验的变体分析技术。三者有机结合,相得益彰,为泛物联网设备、系统和应用实现全面深入的漏洞挖掘和隐私风险发现。上半年,共发现十余个常见漏洞披露(CVE),帮助众多企业修复众多风险,并得到厂商公开承认。

还需要注意的是,仅仅找到这个漏洞是不够的,还需要与其他漏洞进行联动。继续上面酒店房间的类比,“我们知道这些锁只有万能钥匙是不够的,我们还需要有找到它的能力。”借助自动化漏洞挖掘框架的能力,信息安全实验室希望将发现的漏洞特征输入到系统中。 ,对各大手机厂商的系统进行自动扫描,发现了多个可以利用的漏洞,最后将该漏洞升级为影响巨大的可利用漏洞,成功找到了这把“可以打开所有房间的万能设备”的钥匙。

Ricky 说前后花了几个月的时间,4 月和 5 月才发现了 漏洞。经过一系列的研究和探索,该漏洞在 7 月和 8 月被正式报告。然而,发现漏洞只是第一步,京东安全要做的远不止这些。

发现神秘少女漏洞后,京东安全已及时向谷歌及各大手机厂商报告该漏洞并提出修复建议,并得到谷歌、三星等主流安卓厂商的确认、修复和感谢谷歌,作为安卓生态系统的“领头羊”,也通知了各大厂商。

感谢 和三星。

目前,谷歌和各大手机厂商已经修复了2021年9月以上安全补丁版本的 11系统和10月新发布的 12系统中的漏洞,部分厂商也较早打了相应补丁。 .

同时,京东研究院信息安全实验室也开发了漏洞检测工具和SDK。其中,用户可以在实验室官网下载漏洞检测工具,查看自己手机上的应用是否受到了漏洞的攻击。

实验室官方博客地址(含下载链接):

信息安全实验室还为开发者和手机厂商提供SDK工具,可以及时部署在应用程序中,检测应用程序或系统是否受到漏洞的攻击和修改。一旦发现被劫持,会提示用户在相应业务中进行防御和升级处理。

为了安全,京东一直在努力

漏洞的发现,是京东近年来扎根安全领域的真实写照。京东安防秉承打造具有自身特色的内生安全体系,基于京东的内生安全能力,致力于与生态伙伴共建安全基础设施,为外界赋能优秀解决方案,打造“京东特有的零信任安全。”这样,京东安防不仅可以帮助缺乏专业安全团队的中小企业,以及传统大公司的数字化转型,还可以帮助整个行业提升安全防护水平。

目前,京东安全有业务安全、数据安全、开发安全、办公安全、云安全、物联网安全、身份与访问、移动安全、通信网络安全、计算机环境安全、智能平台、管理等12大类平台 特色安全产品和开源技术项目,如 Kylin 框架。其中,业务安全、数据安全、Kylin框架均为业界技术领先的项目产品。

数据安全以符合国家法律法规和行业标准为基础,从顶层设计、安全基线建设、数据安全管理、数据安全保障、个人信息保护等方面进行了安全合规适配,并继续提高安全能力是一个关键目标,创建一流的安全关键基础设施。

业务安全是基于京东风控团队多年打击“黑灰色产品”的经验,结合行业领先的无监督和有监督算法以及多年来积累的海量风控数据,以及零售、物流、数字科学、保险、健康 凭借在各领域积累的风控运营经验,为企业用户提供智能化、轻量化、成熟的业务风控解决方案。通过简单的API对接,用户可以准确评估整个环节的风险,构建或完善自己现有的风控体系,减少黑产带来的损失,保障业务的健康发展。

Kylin 是京东安全自主研发的开源分析框架,旨在改变物联网安全研究、恶意软件分析和逆向工程的现状。 Kylin 框架具有强大的功能,例如在二进制执行之前或执行期间进行代码拦截和任意代码注入,以及在执行期间对目标二进制进行修补。 Kylin 框架是一个用 .是逆向工程师常用的一种简单的编程语言,大大降低了二次开发的门槛。自 2019 年推出以来,麒麟框架已在物联网分析领域落地实践,十余家全球领先的公司和机构的安全团队通过该框架进行了各种研究或编写安全工具。

Kylin 框架概述。来源:

同时,为了更有针对性地探索安全领域,京东于 2017 年 12 月成立了京东安全实验室。该实验室成立仅 4 年,旨在为安全领域提供免疫力。互联网,聚焦前沿基础系统研究,构建首创攻防能力、可信计算、隐私保护能力。目前实验室主要有以下研究方向:

京东安全实验室整合京东丰富的计算资源、平台资源和行业人才,为智能、AI、IoT、云安全的实现提供助力。实验室得到了CVE的诸多感谢,并在.未来,将继续打造独特的漏洞挖掘平台和安全防护设施,努力向行业输出前沿的安全能力。

此外,为了保护用户隐私,集团成立了安全与风险控制委员会作为安全的最高决策机构和数据安全与隐私合规工作组,协调京东数据安全相关工作和隐私保护。 、人员从四个方面消除风险隐患。

来源:jd

为保护用户隐私,京东在集团层面成立了隐私工作组,专门负责APP个人信息的隐私保护工作,从合规、技术、人员层面进行。

p>

合规级别:

技术水平:

人员级别:

最后,京东也有自己的信息安全人才培养长期战略。目前,京东信息安全部由安全精英组成,其中硕士以上学历占30%以上,技术类主要招聘985/211/海归等名校人才。为吸引行业顶尖人才加盟谷歌开发者账号有风险么,京东安防还开发了完善的人才盘点体系和技术文化。

归根结底,京东始终坚持“践行京东特色零信任体系,保障京东用户数据安全”的信息安全发展目标,携手生态伙伴共建安全基础设施,秉承集团技术对外赋能战略,真正解决安全问题,提升行业安全防护水平。

参考链接:

谷歌锁区号/谷歌邮箱老号-购买商城
谷歌play地区代改
Google Voice号码支持自助购买
谷歌锁区号购买商城]
美区VISA卡代开-可以用于aws,azure,FB,谷歌,亚马逊,速卖通,eBay,独立站,paypal等支付
如果您还有其他问题可以加我电报交流。
电报号:telegram:@tianmeiapp

原文链接:「魔形女」百般变化,也逃不过京东安全的眼睛,转载请注明来源!

0