安卓APP被曝存在「應用克隆」風險

原標題： 安卓APP被曝存在「應用克隆」風險 [

騰訊安全玄武實驗室負責人於暘介紹漏洞修復情況

點擊一條手機簡訊，自己的手機應用賬戶就被「克隆」到他人的手機中，對方還可以任意查看自己的賬戶信息，並可進行消費——昨天，騰訊玄武安全研究團隊發布了這一存在在國內許多主流安卓APP中的手機漏洞，並給出了修復方案。

點擊一條手機簡訊，自己的手機支付寶賬戶就被「克隆」到他人的手機中，對方還可以任意查看自己的賬戶信息，並可進行消費——昨天，騰訊玄武安全研究團隊發布了這一存在在國內許多主流安卓APP中的手機漏洞，並給出了修復方案。目前，支付寶已在一個月前對App進行了升級，修復了這一安卓漏洞。國家互聯網應急中心表示，已向涉及到的企業發送安全通報，目前仍有10家廠商未能反饋修復情況。

APP被克隆威脅用戶信息安全

在他人的手機上克隆一份APP，克隆者可以輕鬆獲取賬戶許可權，盜取用戶賬號及資金等，這聽上去很可怕，但這樣的「應用克隆」攻擊模型已經存在，且對大多數移動應用都有效。騰訊安全玄武實驗室表示，其此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP，如支付寶、餓了么等多個主流APP均存在漏洞，所以該漏洞幾乎影響國內所有安卓用戶。

騰訊安全玄武實驗室負責人於暘表示，該攻擊模型是基於移動應用的一些基本設計特點導致的，所以幾乎所有移動應用都適用該攻擊模型。玄武實驗室以某APP為例展示了「應用克隆」攻擊的效果：在升級到最新安卓8.1.0的手機上，利用其自身的漏洞，「攻擊者」向用戶發送一條包含惡意鏈接的手機簡訊，用戶一旦點擊，其賬戶一秒鐘就被「克隆」到「攻擊者」的手機中，然後「攻擊者」就可以任意查看用戶信息，並可直接操作該應用，竊取隱私信息，盜取賬號及資金等。基於該攻擊模型，騰訊安全玄武實驗室以某個常被廠商忽略的安全問題進行檢查，在200個移動應用中發現27個存在漏洞，比例超過10%。不過，於暘表示，本次玄武實驗室發現的「應用克隆」漏洞只針對安卓系統。

CNVD：仍有10家廠商未能反饋

國家互聯網應急中心網路安全處副處長李佳表示，國家信息安全漏洞共享平台（CNVD）在獲取到漏洞的相關情況之後：首先，安排了相關的技術人員對漏洞進行了驗證，並且為漏洞分配了漏洞編號CNE201736682；同時，CNVD向這次漏洞涉及到的27家APP相關企業，發送了點對點的漏洞安全通報，同時向各個企業提供了漏洞的詳細情況以及建立了修復方案。

李佳稱，在發出通報後不久，CNVD就收到了包括支付寶、百度外賣、國美等等大部分APP的主動反饋，表示他們已經在修復漏洞進程中，目前一些APP已經修復。不過截止到前天，尚有10家廠商仍未反饋漏洞情況，其中包括：餓了么、聚美優品、豆瓣、易車、鐵友火車票、微店等。李佳希望，上述廠商切實加強網路安全運營能力，落實網路安全法規的主體責任要求；當本公司的產品出現了重大的安全漏洞或者隱患的時候能夠第一時間進行響應和解決修復，能夠切實地維護和保障廣大用戶的權利。

騰訊共享修復方案提供技術援助

於暘透露，在發現這些漏洞後，騰訊安全玄武實驗室在去年12月通過CNCERT（國家互聯網應急中心）向廠商通報了相關信息，並給出了修復方案，避免該漏洞被不法分子利用。另外，玄武實驗室將提供「玄武支援計劃」協助處理。

於暘表示，由於對該漏洞的檢測無法自動化完成，必須人工分析，玄武實驗室無法對整個安卓應用市場進行檢測，所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞，並進行修復。對用戶量大、涉及重要數據的APP，玄武實驗室也願意提供相關技術援助。

新聞內存

騰訊七大安全實驗室建立安全矩陣

玄武實驗室是騰訊旗下聚焦各類型漏洞的挖掘、利用、檢測、防禦的一支團隊，除此之外，騰訊還有六大安全實驗室，分別是科恩實驗室、湛瀘實驗室、雲鼎實驗室、反病毒實驗室、反詐騙實驗室和移動安全實驗室。每個實驗室的研究方向都不盡相同，這七大實驗室共同構建了騰訊互聯網安全實驗室矩陣，專註安全技術研究及安全攻防體系搭建，安全防範和保障範圍覆蓋了連接、系統、應用、信息、設備、雲六大互聯網關鍵領域。

2016年，騰訊安全聯合實驗室科恩實驗室憑藉「全球首次遠程無物理接觸方式入侵特斯拉汽車」研究成果獲得特斯拉官方最高獎勵及榮譽。同時，在反詐騙領域，騰訊安全反詐騙實驗室與公安部、運營商等共同推出了「守護者計劃」，利用「反詐騙智慧大腦」等新技術武器，精準打擊詐騙黑產，保障用戶資金安全。

文/本報記者 溫婧 ]

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！