安卓APP出现"应用克隆"漏洞，可复制支付宝并消费

腾讯安全玄武实验室与知道创宇404实验室，在联合召开的发布会上，正式对外披露攻击威胁模型「应用克隆」。

腾讯安全玄武实验室负责人于旸（TK教主）表示，该攻击模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。

在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。

现场，以支付宝为例展示了「应用克隆」攻击的效果：

你在手机上点击一个网站链接，可以看到一个看上去正常的支付宝抢红包页面，但你一旦点击，噩梦就此开始。账户一秒钟就被“克隆”到“攻击者”的手机中，攻击者借此完全可以任意查看用户信息，并用你的支付宝消费。

这是当前利用漏洞传递恶意代码的一种典型方式。TK教主称，在手机上点击恶意链接，有漏洞的应用就会被完全控制。TK教主在回答记者提问时表示，这种攻击短信它本身用户应该是无从分辨的，看起来跟其他的短信应该没有什么区别。有可能攻击者不在你的好友通讯录名单里面，可能你拿到的是一个未知号码，由此引起警惕。

这让人想到觉得毛骨悚然。

腾讯表示，经过测试，「应用克隆」对大多数移动应用都有效，在200个移动应用中发现27个存在漏洞，比例超过10%。玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，如支付宝、饿了么等多个主流APP均存在漏洞，该漏洞几乎影响国内所有安卓用户。

在发现这些漏洞后，腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息，并给出了修复方案，避免该漏洞被不法分子利用。