应用克隆

在应用克隆攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。基于该攻击模型，以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10%。

发布会现场，在升级到最新安卓8.1.0的手机上，利用支付宝APP自身的漏洞，“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中，然后“攻击者”就可以任意查看用户账户信息，并可进行消费。支付宝在最新版本中已修复了该漏洞。

据介绍，“应用克隆”对大多数移动应用都有效。而此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，如支付宝、携程、饿了么等多个主流APP均存在漏洞，所以该漏洞几乎影响国内所有安卓用户。

在发现这些漏洞后，腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息，并给出了修复方案，现场发布了“玄武支援计划”，避免该漏洞被不法分子利用。同时由于对该漏洞的检测无法自动化完成，必须人工分析，所以需要更多的APP厂商关注并自查产品是否仍存在相应漏洞，并进行修复。