在用戶毫不知情的情況下，一個不起眼的角落，有攻擊者利用漏洞遠程“克隆”了一個和你賬戶一模一樣的APP，并且可以直接盜取用戶賬號、個人隱私、資金……10日，騰訊安全玄武實驗室與知道創宇404實驗室聯合召開技術研究成果發布會，正式對外披露“應用克隆”這一移動攻擊威脅模型，目前騰訊已提供了修復方法。

在發布會現場，玄武實驗室以支付寶APP為例展示了“應用克隆”攻擊效果：在升級到最新安卓8.1.0的手機上，利用支付寶APP自身的漏洞，“攻擊者”向用戶發送一條包含惡意鏈接的手機短信，用戶一旦點擊，其支付寶賬戶一秒鐘就被“克隆”到“攻擊者”的手機中，然后“攻擊者”就可以任意查看用戶賬戶信息，并可進行消費。目前，支付寶在最新版本中已修復了該漏洞。

據騰訊方面的研究，市面上200多款安卓應用中，27款APP有此漏洞，包括攜程餓了么等，其中18個可被遠程攻擊。去年12月7日，騰訊將27個漏洞報告給了國家信息安全漏洞共享平臺(cnvd)，截止到今年1月9日，有11個APP進行了修復，但其中3個修復存在缺陷。

“讓我們非常吃驚的是，整套攻擊中涉及的每個風險點都是已知的，并且是系統多點耦合導致的漏洞。”玄武實驗室負責人于旸介紹，所謂多點耦合產生的漏洞，就是各個點看起來都沒有問題，但所有的點組合起來就能導致系統風險，也就是說，這是一個系統的設計問題。

而在最近，各大芯片廠商被曝出存在大面積的漏洞。由于Intel的芯片漏洞不斷發酵，Intel目前在市值上已經損失了接近110億美元，而亞馬遜、蘋果、微軟和IBM等科技巨頭紛紛在這次漏洞面前無一幸免。于旸解釋，這正是多點耦合產生的漏洞，而這些系統漏洞已經存在甚至可能長達幾十年之久。

據騰訊方面介紹，目前尚未發現有實際攻擊案例，但在端云一體的移動時代，移動設備系統自身的安全性理應比PC要高很多，特別是用戶賬號體系和數據的安全。發現漏洞后，騰訊已及時通報給了國家相關主管部門，然后通過主管部門去通知應用廠商修補。

騰訊方面發現漏洞后，已及時通報給了國家相關主管部門，由其通知應用廠商修補。目前尚未發現有實際攻擊案例。但該漏洞也提了個醒，在端云一體的移動時代，廠商應更多從移動技術自身特點的角度去思考安全問題，才能正確評估問題的實際風險。

【延伸】

百度APP監聽用戶電話？

百度回應：無能力也不會這么做

近日，江蘇省消保委發布消息稱，對北京百度網訊科技有限公司涉嫌違法獲取消費者個人信息及相關問題提起消費民事公益訴訟，南京市中級人民法院已正式立案。

百度也正式就江蘇省消保委指控手機百度、百度瀏覽器等兩款產品涉嫌“監聽電話、定位”一事回應稱；“百度APP不會、也沒有能力‘監聽電話’，而百度APP敏感權限均需授權，且用戶可自由關閉”。

百度手機百度高級經理田彪向記者解釋，無論是蘋果還是安卓系統，根本不可能向應用開發者提供能監聽用戶電話的接口或權限。百度的手機應用沒有能力、也從來不會申請這一權限。