DoNews1月9日消息（記者費(fèi)倩文）1月9日，騰訊安全玄武實(shí)驗(yàn)室正式對外披露AndroidAPP里普遍存在的“應(yīng)用克隆”這一移動(dòng)攻擊威脅模型。受此威脅模型影響，支付寶、攜程、餓了么等近十分之一的主流APP都有信息、賬戶被盜的風(fēng)險(xiǎn)。據(jù)了解，“應(yīng)用克隆”漏洞僅對安卓系統(tǒng)有效，iOS系統(tǒng)不受影響。

騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表示，該攻擊模型是基于移動(dòng)應(yīng)用的一些基本設(shè)計(jì)特點(diǎn)導(dǎo)致的，所以幾乎所有移動(dòng)應(yīng)用都適用該攻擊模型。在這個(gè)攻擊模型的視角下，很多以前認(rèn)為威脅不大、廠商不重視的安全問題，都可以輕松“克隆”用戶賬戶，竊取隱私信息，盜取賬號(hào)及資金等?；谠摴裟Ｐ?，騰訊安全玄武實(shí)驗(yàn)室以某個(gè)常被廠商忽略的安全問題進(jìn)行檢查，在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞，比例超過10%。

玄武實(shí)驗(yàn)室以支付寶app為例展示了“應(yīng)用克隆”攻擊的效果：在升級(jí)到最新安卓8.1.0的手機(jī)上，利用支付寶app自身的漏洞，“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機(jī)短信，用戶一旦點(diǎn)擊，其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機(jī)中，然后“攻擊者”就可以任意查看用戶賬戶信息，并可進(jìn)行消費(fèi)。目前，支付寶在最新版本中已修復(fù)了該漏洞。

據(jù)介紹，“應(yīng)用克隆”對大多數(shù)移動(dòng)應(yīng)用都有效。而玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的app，如支付寶、攜程、餓了么等多個(gè)主流app均存在漏洞，所以該漏洞幾乎影響國內(nèi)所有安卓用戶。

國家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長李佳表示，在獲取到漏洞的相關(guān)情況之后，中心安排了相關(guān)的技術(shù)人員對漏洞進(jìn)行了驗(yàn)證，并且也為漏洞分配了漏洞編號(hào)(CVE201736682)，于2017年12月10號(hào)向27家具體的APP發(fā)送了漏洞安全通報(bào)，提供漏洞詳細(xì)情況及建立了修復(fù)方案。目前有的APP已經(jīng)有修復(fù)了，有的還沒有修復(fù)。

考慮到該漏洞影響的廣泛性，以及配合“應(yīng)用克隆”攻擊模型后的巨大威脅，騰訊安全玄武實(shí)驗(yàn)室現(xiàn)場發(fā)布了“玄武支援計(jì)劃”。于旸表示，由于對該漏洞的檢測無法自動(dòng)化完成，必須人工分析，玄武實(shí)驗(yàn)室無法對整個(gè)安卓應(yīng)用市場進(jìn)行檢測，所以通過此次新聞發(fā)布會(huì)，希望更多的app廠商關(guān)注并自查產(chǎn)品是否仍存在相應(yīng)漏洞，并進(jìn)行修復(fù)。對用戶量大、涉及重要數(shù)據(jù)的app，玄武實(shí)驗(yàn)室也會(huì)提供相關(guān)技術(shù)援助。（完）