“安卓APP存在"应用克隆"漏洞 可复制支付宝新闻并花费”

安卓app有克隆漏洞，可以复制支付宝( Alipay )新闻并花费费用

对“应用克隆”移动攻击威胁模型的对外披露，引起了众多读者的恐慌。 被认为威胁不大、制造商也不重视的安全漏洞，竟然可以“克隆”客户账户、窃取隐私新闻、窃取账户和资金……构建安全的移动支付环境，不胜幸运 手机制造商、应用开发者、网络安全研究人员要携手，共同执行网络安全法和其他法律法规的要求，彻底防范潜在的风险和漏洞——

在手机上点击网站的链接，会打开看起来完全正常的红包页面，但无论是否点击红包，支付宝( Alipay )应用程序都已经在另一台手机上“克隆”，客户名称

虽然目前支付宝( Alipay )修复了这一漏洞，但腾讯安全玄武实验室和创宇404实验室1月9日公布的攻击威胁模型“应用克隆”仍然令人震惊。 腾讯安全玄武实验室负责人于旸表示:“该攻击模型基于移动应用的基本优势设计。 因此，大多数移动应用程序都会应用这种攻击模型。 ”。 研究表明，在市场上常见的200多个安卓应用中，有27个应用以这种方式受到攻击，占10%以上。

年末年初，网络安全又成为许多人热议的话题。 你的手机被“克隆”了吗？ 有什么预防措施？ 在这“可怕”攻击的威胁背后，折射出了什么样的移动网络时代的安全新形势？ 经济日报记者采访了相关专家。

制造商的安全意识很弱-

及时升级应用程序是非常重要的

“应用克隆”的可怕之处在于，与传统的木马攻击不同，它实际上不依赖于以前流传的木马病毒，也不需要下载“冒充代”的常用“李鬼”应用程序 于旸比喻说:“这就像以前想进你酒店的房间，需要弄坏钥匙，但是现在的方法是复印你酒店的房卡，不仅可以随时出入，还可以以你的名义去酒店收费。 ”。

“应用程序克隆”的漏洞只对安卓有效，不会影响苹果手机。 腾讯表示，目前还不知道用这种方法发起攻击的例子。

而且，这个消息也及时通过各种方式传播，但反馈情况“参差不齐”。 工信部网络安全管理局网络和数据安全处处长付景广在接受腾讯通报后表示，“我们也组织了相关机构和专家开展了认真的分解和研究判断。”

国家网络应急中心网络安全处副处长李佳则介绍说，去年12月7日，腾讯向国家新闻安全漏洞共享平台报告了27个可攻击应用。 经相关技术人员验证，国家新闻安全漏洞共享平台对该漏洞进行了编号，并于2009年12月10日向这27家应用设计公司发送了点对点安全通报。

“通报发出后不久，收到了支付宝( Alipay )、百度外卖、国美等大部分厂家的积极反馈，表示他们已经开始修复漏洞，但截至去年1月8日，京东家、饿了么、聚美优品、豆瓣、豆瓣、 据旸介绍，截至1月9日上午，已修复支付宝( Alipay )、饿了么、小米生活、wifi万能钥匙等11个手机应用，但已修复亚马逊(中国版)、卡牛信用管家、若干信息等3个应用，

在1月9日的技术研究成果发布会的现场演示中，可以用这样的方法“克隆”安卓版的手机应用程序，在“克隆”之后也可以看到顾客的交易记录。

这从某种意义上说说明了国内一些手机应用厂商的安全意识很弱。 于旸表示:“虽然也看到了一部分在海外的应用，但是受该脆弱性影响的应用整体上在国内很少。 根据我十几年的网络安全行业经验来看，国内制造商和开发者在安全意识上与国外同行确实有差距。 ”。

的客户最关心的是如何防止这种攻击方法。 得知创宇404实验室负责人周景平回答记者提问后表示:“普通客户的预防令人头痛，但仍有共同的安全措施。 一是别人发的链接不要轻易重点打开，不太明确的二维码不要出于好奇而清除。 更重要的是，要随时关注官方升级，及时升级手机操作系统和应用程序。 ”。

互联网的安全状况发生了变化——

警惕脆弱性的“联合作战”

除了巨大的灾害之外，另一个令人震惊的事实是，这种攻击方法并不是一直潜伏在黑暗之中。 于旸说:“调查过去的技术资料，关于与攻击相关的所有风险点，实际上是有人提出的。” 其中重要的风险是，周景平在去年3月也在自己的博客上给出了安全提示。 他说:“当时，我向当时的安卓政府报告了这个问题，但对方既没有新闻反馈也没有邮件。”

那么，为什么这样巨大的攻击方法在以前无论是安全制造商还是攻击案例中都没有被发现呢？ “这是新的多点结合带来的脆弱性。 ”旸打了个比喻。 “这就像网线的插头上有一个突起，结果路由器正好在插槽位置设计了一个重置按钮。 网线本身没有问题，路由器也没有问题，但结果是连接网线后路由器会重新启动。 多点耦合也是如此。 所有问题都是已知的，但组合起来会带来额外的风险。 ”。他还介绍说，去年发现过另一个漏洞，一共利用了9种不同的互联网协议和操作系统的优点。 这些优点是组合在一起的，不打开恶意文档，只需要插入USB存储器浏览目录就可以分发。

多点结合的出现，实际上意味着互联网安全状况的变化。 硬币的一面是漏洞“联合作战”的协同效应，另一面是防守者们形成的合力。 在计算机时代，系统本身的安全是最重要的，包括手机在内的移动设备系统本身的安全性要比计算机高得多，但在云一体的移动时代，客户账户体系和数据的安全是最重要的。 为了保护，光改善系统自身的安全是不够的，还需要手机制造商、应用开发者、网络安全研究者等的协助。

这也是管理部门的想法。 李佳表示，在此次事件中发挥作用的国家新闻安全共享平台是基于“建立新闻安全脆弱性共享的知识库”的目的而产生的。 “目前，与国内重大新闻系统单位、基础电信运营商、安全厂商和软件厂商、相关网络公司等有60家技术集团、客户群体和成员单位共享发现的漏洞，及时通报信息。 迄今为止，软硬件产品漏洞超过10万件，具体事件类型漏洞超过30万件，党政机关和重要新闻系统漏洞超过6.9万件”。

防止各种形式的互联网风险-

我不想拿着旧地图航行

“应用克隆”是在没有伤害的情况下被抓住的洞。 知名安全专家、网络安全制造商rsa前总裁阿米尔·莫兰有一句名言:“在新的网络安全威胁下，防御者仿佛带着旧地图在海上航行。” 新硬件、新技术、新服务的出现和交叉融合，产生了新面孔，带来了新的风险。

例如硬件风险。 此前发布的cpu硬件漏洞是即使在操作系统端进行防护也无济于事的设计漏洞，是蓝图中错误的风险。 另外，智能盒子、安全摄像头、家庭路由器等数亿物联网设备，芯片运行漏洞、流量劫持漏洞、蓝牙蠕虫漏洞等底层威胁逐年明显，引发了网络威胁

此外，还有对人工智能的攻击。 据美国加州大学伯克利分校教授宋晓冬介绍，两张长相酷似的熊猫照片被神经网络正确识别为“熊猫”，另一张则加入了人眼无法察觉的微弱干扰，因此在神经网络上的可信度达到99.3% “用对抗样本攻击人工智能，其实是从最核心的算法层面进行攻击。 如果无人车识别出由对抗样本改造的交通标志，预计将带来严重的后果。 幸运的是，对自动驾驶的对抗样本抗性较差”。 宋晓冬说。

付广表示，工信部印制的《公共网络互联网安全威胁监测与处置办法》及时发现了基本与科研判定相同的基本情况，并鼓励安全公司、网络公司、技术应用公司提交研发成果。 并鼓励国家网络应急中心和其他科研机构等有能力的公司及时研究发现的问题，正确识别，并据此进一步处置。 (经济日报新闻网记者陈静)