应用克隆：黑产的四维攻击和白帽子的技术涅槃

　　白帽子黑客

　　社会学中有这个一个概念：大多数人对于潜在的威胁最为敏感，但往往对眼前最赖以生存的资源选择性忽略，比如空气、水等，大家会对幼儿园虐童事件愤慨，大家会为南极消失的冰川而奔走呐喊，却从未考虑如果有一天空气和水消失了会怎么样——也许大家都觉得这个假设太过于天方夜谭了，以至于从未考虑和重视过。

　　《人类简史》的作者赫拉利说过，人类社会组成依靠的是共同想象体，最典型的比如法币、社会组织、道德……动物世界没有这些规则，不会有一只工蚁法官去审判刚刚战斗不力的兵蚁，动物只需要填饱肚子即可，而人类显然要复杂得多。

　　基于共同想象体所构筑的确定性指导着我们日常生活的行为准则，但这种确定性很有可能被更高维度的攻击所攻陷，换句话说，如果宇宙只是一场浩大的计算机模拟，物理学家和天文学家耗费一生所研究的科学只是一场游戏，经典的量子理论、牛顿定律只是计算机随机设定的参数，不知道有多少人会疯掉。

　　而网络世界的共同想象体正在面临这种高纬度的攻击。

　　在1月9号的腾讯安全发布会上，腾讯安全玄武实验室的负责人“TK教主”于旸在现场演示了一段视频，告诉外界，利用克隆技术的应用克隆，所造成的威胁和破坏到底有多大——只见两支手机摆放在桌子上，A手机向被攻击的手机B发送了一条短信，这条短信中包含了一条恶意链接，B手机打开这个链接后，弹出了一个抢红包的页面，就像很多营销推广中常见的套路那样。

　　高潮来了，当B手机关掉这个页面时，A手机已经*克隆了B手机上的支付宝应用，从账户到资金都一模一样，接着，A手机打开付款码扫一扫，消费了300元，与此同时，B手机上的账户里也减少了300元，而B手机几乎没有任何察觉。

　　换句话说，只要A愿意，他可以一直使用这个漏洞，从几十元到几百元任意消费，直到B手机用户发现自己资金莫名消费，冻结或者转移自己的财产。

　　但谁又会每天查看自己的支付宝消费呢？

　　一个*的黑客，完全可以通过恶意链接克隆出你的消费和财产的app，然后在神不知鬼不觉地花掉你的钱，从日常的外卖，到预定机票和酒店，再到支付宝……

　　这是传统网络攻防中被忽视的一种漏洞攻击方式，于旸介绍，传统的漏洞攻击是通过木马链接，实现对用户手机的长期控制。如果把手机电脑比作是一个房子，那么用户要做的就是锁好每一个门和窗，而黑客是要想尽办法进入你家，然后再在你家房子里留一个洞，这样可以方便进出。

　　白帽子所做的努力，无非是找到这个洞然后想办法堵上，杜*患。

　　但如果攻击者换一个思路，我不去进入用户的家，而是直接克隆一个用户的家，放到另外一个空间，在这个空间里我能自由的进出，自由的拿取我需要的东西，真实的家也会受到影响。

　　这让我想起了《三体》中关于四维空间里的描述，蓝色空间号上的关一帆等人遇到四维碎片并多次进出四维空间，三维空间的人看不到四维空间的人，但四维空间里的人却可以看到并且穿越三维世界，某种程度上，这像极了克隆应用对传统防护，高维度对低维度的打击。

　　手机已经成为现代人日常生活的数字中心，而电脑正变成工作和游戏的附庸，在互联网向移动互联网迁移的几年时间里，人们对于网络重心的理解也正在发生偏移——手机控制着消费，控制着社交，控制着搜索和财产，甚至控制了你家里的智能家居，2017年，扫码支付的市场规模已经达到惊人的5800亿，毫不夸张地说，大部分人的手机如果处于无防护的状态下，那么个人的方方面面，从财产安全到个人隐私，无异于裸奔状态。

　　这就是我文章开头所提到的那个社会学现象：人们对于空气和水资源的重视程度远远低于对财富、名利的追求，但如果没有空气，那么一切都不复存在。

　　这里我们可以顺便提一下腾讯在安全领域上的布局：腾讯目前有科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室，这七大实验室的重心和领域也相互交叉：连接、系统、应用、信息、设备以及云。其中玄武实验室主要专注于信息安全。

　　这其中主要包括三个方面的工作，首先是研究与传统基础网络相关的信息，如Windows、Linux等。，其次是围绕智能手机安全而展开的。所以新型的手机，如Android、IOS系统也成立一个重要研究方向。第三个方向是与各种智能硬件相关的研究。所有这些新的智能设备，加上传统设备共同形成一个新的信息环境，从中产生的数据信息也是研究的主要方向。

　　作为一个白帽子，天职就是要给厂商提交漏洞。理想状态下，厂商应该马上确认并修复漏洞，并且对白帽黑客郑重致谢，然后再给个三十万五十万之类。但其实并不是这样。

　　以这次的克隆应用为例，在发现这个漏洞后，玄武实验室一边将这个漏洞上报给国家互联网应急中心旗下信息安全漏洞共享平台CNVD，一方面对现在市面上主流上的app进行逐个扫描和排斥，大约检查了200个app，像支付宝这样的平台，已经在*时间进行了处理，目前新版本中已经没有这个漏洞，但还是有大量的中小app，没有进行排斥和修补，这也是腾讯为什么花大力气开这个发布会的目的所在——将这个信息通过媒体的力量传达给更多的平台。

　　白帽子的工作有点类似清道夫，在迷宫般的网络世界里，就像铁路工人一样检查每一段铁轨，每一块枕木，发现问题，然后及时修理，但遗憾的是，还是有很多厂商对于网络攻防的重视程度不够。

　　在接受采访时候于旸也表示，整个行业对安全的重视程度可能是不够的。这种不够在以前可能不太了解实际造成的风险之前也就这样，当今天大家看到了这些演示，你已经知道了它会造成这种后果之后，我觉得是应该要重视起来的。

　　网络中的正义是如此脆弱——正如黑产和白帽子往往只是在一念之间，技术对于世界的贡献是巨大的，但并不意味着技术本身存在对错，在绝大的利益诱惑面前，除了人性的坚守之外，还需要技术加以杜绝和防范，正如于旸说的那样“洪水来临时，没有一滴雨是无辜的。”

【本文由投资界合作伙伴微信公众号：科技唆麻授权发布，本平台仅提供信息存储服务。】如有任何疑问，请联系（editor@zero2ipo.com.cn）投资界处理。