安卓APP存在“应用克隆”漏洞 可复制支付宝信息并消费

“应用克隆”这一移动攻击威胁模型的对外披露，引发了不少网民的恐慌情绪。一些一度被认为威胁不大、厂商也不重视的安全漏洞，竟然能“克隆”用户账户、窃取隐私信息、盗取账号及资金……营造安全移动支付环境，容不得一丝侥幸。手机厂商、应用开发商、网络安全研究者应携起手来，共同落实网络安全法及其他法律法规要求，彻底堵死可能的风险与漏洞——

在手机上点击一个网站链接，打开的是一个看似完全正常的抢红包页面，但无论你是否点击红包，你的支付宝应用已经在另一台手机上被“克隆”，甚至包括你的用户名和密码，攻击者可以点开支付宝付款码消费。

尽管现在支付宝已经修复了这一漏洞，但腾讯安全玄武实验室与知道创宇404实验室1月9日披露的攻击威胁模型“应用克隆”仍令人十分震惊。腾讯安全玄武实验室负责人于旸表示：“该攻击模型是基于移动应用的一些基本特点设计的。所以，几乎所有移动应用都适用该攻击模型。”研究显示，市面上200多款常见安卓应用中，有27款应用可被这种方式攻击，占比超过10%。

岁末年初，网络安全又成为很多人热议的话题。你的手机被“克隆”了吗？有什么防范方法？在这个“可怕”的攻击威胁背后，又折射出怎样的移动互联网时代安全新形势？经济日报记者采访了相关专家。

　　厂商安全意识薄弱——

　　应用及时升级很重要

“应用克隆”的可怕之处在于，与以往的木马攻击不同，它实际上并不依靠传统的木马病毒，也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。于旸比喻说：“这就像过去想进入你的酒店房间，需要把锁弄坏，但现在的方式是复制了一张你的酒店房卡，不仅能随时进出，还能以你的名义在酒店消费。”

“应用克隆”这一漏洞只对安卓系统有效，苹果手机则不受影响。腾讯表示，目前尚无已知案例利用这种途径发起攻击。

与此同时，这一消息也被及时以各种方式传递出去，但反馈的情况却“参差不齐”。工信部网络安全管理局网络与数据安全处处长付景广表示，接到腾讯的通报后，“我们也组织相关单位和专家开展了认真分析和研判”。