安卓APP存在“应用克隆”漏洞 可复制支付宝信息并消费(2)

国家互联网应急中心网络安全处副处长李佳则介绍说，2017年12月7日，腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台。在经过相关技术人员验证后，国家信息安全漏洞共享平台为这一漏洞分配了编号，并于2017年12月10日向这27个应用设计的企业发送了点对点安全通报。

“在发出通报后不久，就收到了包括支付宝、百度外卖、国美等大部分厂商的主动反馈，表示他们已开始修复漏洞，但截至2018年1月8日，还未收到京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商的相关反馈。”于旸表示，截至1月9日上午，共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复，但其中亚马逊（中国版）、卡牛信用管家、一点资讯等3个应用修复不全。

在1月9日技术研究成果发布会现场演示中，仍然可以用这种方式“克隆”携程安卓版手机应用，在“克隆”后尚能看到用户的交易记录。

这从某种意义上显示出国内部分手机应用厂商安全意识薄弱。于旸坦言：“我们也看了一部分国外应用，受这个漏洞影响的应用总体占比较国内少很多。从我十几年的网络安全领域从业经验来看，国内厂商和开发者，在安全意识上与国外同行相比确实有一定差距。”

普通用户最关心的则是如何能对这一攻击方式加以防范。知道创宇404实验室负责人周景平回答记者提问时表示：“普通用户的防范比较头疼，但仍有一些通用的安全措施。一是别人发给你的链接轻易不要点开，不太确定的二维码不要出于好奇心就去扫，更重要的是要随时关注官方的升级，及时升级手机操作系统和应用软件。”

　　网络安全形势发生变化——

　　警惕漏洞“联合作战”

除了巨大危害，另一个令人吃惊的事实是，这一攻击方式并非一直潜藏在黑暗之中。于旸表示：“查阅以往的技术资料，攻击中涉及的每一个风险点，其实都有人提出过。”其中的关键风险，周景平甚至在2013年3月份就在自己的博客中作了安全提示。他表示：“那时我还把这个问题报给了当时的安卓官方，但对方没有给我任何信息反馈，甚至连邮件都没有回复。”

那么，为什么这种危害巨大的攻击方式此前既未被安全厂商发觉，也没有攻击案例发生？“这是新的多点耦合产生的漏洞。”于旸打了一个比喻，“这就像是网线插头上有个凸起，结果路由器在插口位置上刚好设计了一个重置按钮。网线本身没有问题，路由器也没有问题，但结果是你一插上网线，路由器就重启。多点耦合也是这样，每一个问题都是已知的，但组合起来却带来了额外风险。”他还介绍说，在2016年还发现过另外一个漏洞，一共利用了9个不同网络协议和操作系统的特点，这些特点组合在一起，恶意文档甚至不用打开，插上U盘看一下目录就能传播。