腾讯发现“应用克隆”漏洞，涉及国内10%的安卓应用

本篇文章929字，读完约2分钟

本报北京1月9日电(记者费)1月9日，腾讯安全宣武实验室正式披露了安卓应用中常见的“应用克隆”移动攻击威胁模型。受这种威胁模式的影响，近十分之一的主流应用，如支付宝、携程和饥饿，面临着信息和账户被盗的风险。据了解，“应用程序克隆”漏洞仅适用于安卓系统，ios系统不受影响。

腾讯安全宣武实验室负责人杨宇表示，这种攻击模式基于移动应用的一些基本设计特征，因此几乎所有的移动应用都适合这种攻击模式。从这种攻击模型的角度来看，许多以前被认为威胁较小且被制造商忽略的安全问题可以很容易地“克隆”用户帐户、窃取私人信息、窃取帐户和资金等。基于这一攻击模型，腾讯安全宣武实验室检查了一个经常被厂商忽视的安全问题，发现200个移动应用中有27个存在漏洞，占10%以上。

宣武实验室以支付宝应用为例，展示了“应用克隆”攻击的效果:在升级到最新安卓8.1.0的手机上，利用支付宝应用本身的漏洞，“攻击者”向用户发送包含恶意链接的手机信息。一旦用户点击，他的支付宝账户就会在一秒钟内被“克隆”到“攻击者”的手机上，然后“攻击者”就可以随意查看用户账户信息，目前支付宝在最新版本中已经修复了这个漏洞。

据报道，“应用程序克隆”对大多数移动应用程序都有效。宣武实验室这次发现的漏洞至少涉及国内安卓应用市场的十分之一。例如，支付宝、携程、饥饿和许多其他主流应用都有漏洞，所以这个漏洞影响了几乎所有的国内安卓用户。

国家互联网应急中心网络安全部副部长李佳表示，在获得漏洞相关信息后，中心安排相关技术人员对漏洞进行了验证，并分配了漏洞号(cve201736682)。2017年12月10日，它向27个特定应用程序发送了漏洞安全公告，提供了漏洞的详细信息并制定了修复计划。目前，一些应用已经被修复，一些还没有被修复。

考虑到该漏洞的广泛影响和配合“应用克隆”攻击模式后的巨大威胁，腾讯安全宣武实验室当场发布了“宣武支持计划”。杨宇表示，由于该漏洞的检测不能自动完成，必须手动分析，宣武实验室无法检测整个安卓应用市场。因此，通过这次新闻发布会，我希望更多的应用厂商能够关注并检查产品中是否还存在相应的漏洞，并进行修复。宣武实验室还将为拥有大量用户和重要数据的应用提供相关技术支持。(结束)