警惕你的支付应用被“克隆”！10%安卓APP被曝存安全漏洞

　　在手机上“点击”一条链接，打开了看似正常的抢红包页面，但无论你是否点击红包，整个支付宝应用已被“克隆”到了另一个手机上，攻击者可以点开你的支付宝并进行消费。

　　国内安全机构披露，检测发现国内安卓应用市场约有十分之一的APP存在漏洞，并且这种漏洞容易被“应用克隆”攻击，甚至如支付宝、携程、饿了么等多个主流APP均存在漏洞，几乎影响了国内所有安卓用户。

　　“克隆应用”威胁模型令人们震惊不已。业界人士分析，该攻击模型基于移动应用的基本设计特点，几乎所有移动应用都适用该攻击模型。在这种攻击模型视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息、盗取资金等。用户应如何应对手机应用随时可能被“克隆”？“应用克隆”威胁背后，折射出了哪些移动互联网时代新风险？

　　研究人员演示“克隆应用”威胁模型

　　仍有10家APP尚未反馈修复情况

　　“应用克隆”影响范围涉及了国内主流安卓APP。研究显示，在国内安卓应用市场研究人员监测了约200个APP，发现其中27个存在漏洞，其中18个可被远程攻击，9个只能从本地攻击。

　　国家互联网应急中心网络安全处副处长李佳表示，2017年12月7日，腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台（CNCERT平台），平台安排技术人员验证，并为漏洞分配了漏洞编号（CVE201736682），在2017年12月10日向27家具体的APP发送了点对点的漏洞安全通报，同时提供了漏洞的详细情况以及建立了修复方案。

　　“发出通报后不久，收到了包括支付宝、百度外卖，国美等大部分APP的主动反馈，表示已在漏洞的修复进程中。”李佳说，可能由于不同团队的技术能力有差距，目前有的APP已有修复，有的还没有修复。截止1月8日，CNCERT平台还没有收到反馈的APP厂商包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商。

　　腾讯安全玄武实验室负责人于旸介绍，截至1月9日，共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复，但亚马逊（中国版）、卡牛信用管家、一点资讯3个应用修复不全。

　　对此，李佳表示，希望这批企业切实加强网络安全运营能力，落实网络安全法规的主体责任要求，当本公司产品出现安全漏洞或隐患时，能够第一时间进行响应和解决修复，保障用户权利。

　　国家信息安全漏洞共享平台发布的安全漏洞公告截图

　　未出现利用漏洞发起攻击案例

　　什么是“应用克隆”威胁攻击？于旸表示，有些手机自带的数据迁移功能，不仅可以迁移照片，通讯录等数据，还可以将各个APP克隆到新手机上，且不必重新登录即可直接使用。“这个克隆过程完全可能利用漏洞实现，而且所有手机都可以，并不需要手机自带该功能。”于旸说。

　　“应用克隆”的可怕之处在于：与以往的木马攻击不同，它实际上并不依靠传统的木马病毒，也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。就像过去想进入你的酒店房间，需要把锁弄坏，但现在的方式是复制了一张你的酒店房卡，不但能随时进出，还能以你的名义在酒店消费。

　　不过，“好消息”同样存在：一方面，“应用克隆”这一漏洞只对安卓系统有效，苹果手机则不受影响；另一方面，腾讯方面表示，目前尚未有已知案例利用这种途径对用户发起攻击。

　　与国内相比，类似情况国外相对占比较少。知道创宇首席安全官周景平坦言，究其具体原因可能无从给出一个权威理由，但根据自己在安全行业多年从业经验看，国内的厂商包括开发者，在安全意识上与国外同行相比，确实还有一定的差距。

　　另外，周景平还提到了“攻击成本”。这种克隆技术的应用在这整个攻击里面其实就是一个点，要完成这一攻击链条尚需多个技术点配合，然后通过发短信或扫二维码等方式扩散，才能达到最终的效果。“攻击者要掌握这一技术其实成本也很高，研究者们花大精力、成本进行研究，就是希望走在攻击者的前面。”