网络安全领域暗藏大量“黑天鹅” 逾13%手机APP应用存重大漏洞

2017年5月份始发并肆虐全球的“勒索病毒”，至今还让人们心有余悸。不过，绝大多数手机用户或许并不清楚，2017年底，他们刚刚又躲过了一场潜在的“洗劫”。

1月9日，腾讯安全玄武实验室宣布，新近发现了一种新型的移动攻击威胁模型，并将其命名为“应用克隆”。发布会上，玄武实验室以支付宝APP为例展示了“应用克隆”攻击的“效果”：在升级到最新安卓8.1.0的手机上，“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其支付宝账户瞬间就被“克隆”到“攻击者”的手机中，然后“攻击者”在自己手机上可以任意查看用户账户信息，并可进行消费。

值得一提的是，存在“应用克隆”漏洞的并非支付宝APP一家，玄武实验室负责人于旸指出，大量主流APP都存在该漏洞，玄武实验室检测了国内安卓系统中的200个知名APP，其中27家存在该漏洞，占比超过13%，其中包括聚美优品、国美、墨迹天气、一点资讯、携程、百度外卖、京东到家、饿了么、WiFi万能钥匙、小米生活、同程旅游、百度旅游、豆瓣、驴妈妈、赶集网、易车、咕咚、虎扑等。

对此，有业界人士指出，这些知名APP的技术团队实力都较强，况且如此，数量更为庞大非一线APP，存在漏洞的比例应该只高不低，如果不采取紧急措施，在网络领域发生“黑天鹅”的比例，甚至要远高于资本市场。

由于并非个例且事关重大，玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台(CNVD)。CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号(CNE201736682)。12月10日，CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报，同时提供了漏洞的详细情况及建立了修复方案。

国家互联网应急中心网络安全处副处长李佳表示：“今天，我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢。玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞。这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式，可以说影响范围特别大，危害也是巨大的，刚才通过相关的演示也看到了。玄武实验室在第一时间向我们平台报送了相关的漏洞，可以说为我们对相关的事件应急响应提供了宝贵的时间”。