部分安卓APP存漏洞 用戶賬戶信息可被復制并消費

資料圖：鄭州市公安局文化路分局查獲的電腦、手機、存折、銀行卡等涉案物品堆滿桌。中新社記者 王中舉攝

國內安全機構近日披露，部分安卓APP存在安全漏洞，用戶賬戶信息可被復制并消費——

“應用克隆”威脅帶給移動安全哪些警示

點擊手機短信里一條鏈接，打開后看似是正常的搶紅包頁面，但無論你是否點擊紅包，支付寶應用都已被“克隆”到了另一部手機上，攻擊者可以隨意點開你的支付寶消費……國內安全機構近日披露，檢測發現國內安卓應用市場約有十分之一的APP存在漏洞，支付寶、攜程、餓了么等多個主流APP均在列，并且這種漏洞易被“應用克隆”攻擊。

雖然支付寶等應用漏洞已基本修復，但“克隆應用”威脅模型的曝出令人們震驚不已。業界人士分析，該攻擊模型基于移動應用的基本設計特點，幾乎所有應用均適用該模型。在這種攻擊模型視角下，很多以前認為威脅不大、廠商不重視的安全問題，都可以輕松“克隆”用戶賬戶，竊取隱私信息、盜取資金。用戶如何應對手機應用被“克隆”？“應用克隆”威脅的背后，又折射出哪些移動互聯的新風險？日前，記者對此進行了探訪。

1.“應用克隆”的神秘面紗

國內安卓應用市場研究人員監測了約200個應用，發現其中27個存在漏洞，18個可被遠程攻擊。國家互聯網應急中心網絡安全處副處長李佳表示，國家信息安全漏洞共享平臺在2017年12月7日接到騰訊應用檢測報告，并迅速安排技術人員驗證、為漏洞分配編號，在2017年12月10日向27家具體應用發送點對點的漏洞安全通報和漏洞修復方案。“發出通報后不久，我們收到了支付寶、百度外賣、國美等大部分APP廠商的主動反饋，并表示已在進行漏洞修復進程?！?/p>

“應用克隆”的可怕之處在于：與以往的攻擊不同，它實際上并不依靠傳統木馬病毒，也不需要用戶下載“李鬼”應用，而是可以利用漏洞直接“克隆”?！熬拖襁^去想進入他人的酒店房間，需要把鎖弄壞，但現在的方式是復制了一張你的酒店房卡，不但能隨時進出，還能以你的名義在酒店消費。”騰訊安全玄武實驗室負責人于旸說。

不過，“好消息”同樣存在：一方面，被曝出的“應用克隆”漏洞只對安卓系統有效，蘋果手機目前不受影響；另一方面，目前尚未出現已知案例利用這種途徑對用戶發起攻擊。

用戶如何防范這種攻擊？“攻擊短信用戶幾乎無從分辨，普通用戶防范的問題還比較頭疼?！庇跁D坦言。不過，攻擊者發送短信或二維碼情況較多，用戶要少點擊別人發來的鏈接，對不太確信的二維碼也不要出于好奇掃描，最重要的一點是要關注官方升級，包括操作系統與移動應用的官方升級。