腾讯安全披露“应用克隆”漏洞 安卓主流APP中枪

【环球网科技报道 记者 李文瑶】1月9日，由腾讯安全玄武实验室发现的“应用克隆”这一移动攻击威胁模型正式对外披露。据了解，基于该攻击模型，腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10%。

而这一漏洞利用方式一旦被不法分子利用，就可以轻松克隆获取用户账户权限，盗取用户账号及资金等个人隐私信息和资产。

于旸提出安全厂商要建立“移动安全新思维

对此，腾讯安全玄武实验室负责人于旸指出，移动互联网时代的安全形势更加复杂，只有真正用移动思维来思考移动安全，才能正确评估安全问题的风险。

无法感知的“应用克隆”主流APP受影响

在玄武安全研究团队研究过程中发现，由于现在手机操作系统本身对漏洞攻击已有较多防御措施，所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合，就可以实现“应用克隆”攻击。

在“应用克隆”这一攻击模型下，攻击者利用该漏洞，可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息)，还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。

同时由于该组件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。

当用户的手机应用被“被隆”之后，用户在使用应用时不会接收到任何的安全问题提示，在“正常使用”的情况下便会造成个人隐私泄露、财产损失等后果。“用户基本上是无法察觉到这一安全漏洞的。”于旸感叹道。

而该攻击模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。

据介绍，“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，如支付宝、携程、饿了么等多个主流APP均存在漏洞，所以该漏洞几乎影响国内所有安卓用户。

自查产品 共同修复

在发现这些漏洞后，腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息，并给出了修复方案，避免该漏洞被不法分子利用。

目前，国家互联网应急中心在获取到漏洞的相关情况之后，安排了相关的技术人员对漏洞进行了验证，并且也为漏洞分配了漏洞编号(CVE201736682)，于2017年12月10号向27家具体的APP发送了点对点的漏洞安全通报，同时提供了漏洞的详细情况以及建立了修复方案。

考虑到该漏洞影响的广泛性，以及配合“应用克隆”攻击模型后的巨大威胁，腾讯安全玄武实验室现场发布了“玄武支援计划”协助处理。

于旸表示，由于对该漏洞的检测无法自动化完成，必须人工分析，玄武实验室无法对整个安卓应用市场进行检测，所以通过新闻发布会，希望更多的APP厂商关注并自查产品是否仍存在相应漏洞，并进行修复。

“从更长远的范围来讲，真正要想解决安全问题，其实就是我刚才讲的，它绝对不能说依靠某一环节和用户多注意一点，不是这么一回事的。它是需要整个链条上的每一个环节，大家都能够把事情做好当然是最美好的状态了。”于旸强调。

移动安全新思维：正确评估安全问题风险

在此次报告中于旸首次提出安全厂商要建立“移动安全新思维”，用移动思维来思考移动安全，来适应新的移动互联网安全发展趋势。在他看来，PC时代的安全思维对移动时代来说是不够的。

马斌表示腾讯安全联合实验室将进一步推动互联网安全生态的快速发展

移动设备有诸多不同于PC的特点，而移动应用也有诸多不同于传统软件的特点。在PC时代，最重要的是系统自身的安全。而移动设备系统自身的安全性比PC要高很多，但在端云一体的移动时代，最重要的其实是用户账号体系和数据的安全。而要保护好这些，光搞好系统自身安全是不够的。这使得移动时代的安全问题更加复杂多变，涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手，共同重视。

于旸还指出，移动互联网时代的安全形势更加复杂，只有真正用移动思维来思考移动安全，才能正确评估安全问题的风险。安全厂商必须意识到各种新技术新设计会带来更多新问题，要用移动思维来评估每一个安全风险，才能避免最终在安全上积重难返。

“安全漏洞对我们的威胁，可能和十年前相比并没有减少太多。所以，绝对不能够因为在一个时间段或者说过去的五六年里漏洞攻击感觉没有那么多了，而放松对它的警惕。”于旸对记者表示。

目前，腾讯安全联合实验室旗下涵盖科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室，实验室专注安全技术研究及安全攻防体系搭建，安全防范和保障范围覆盖了连接、系统、应用、信息、设备、云六大互联网关键领域，并在车联网安全、物联网安全、人工智能、云安全、自研杀毒引擎、安全人才培养、社会责任等诸多方面取得突破进展。

腾讯副总裁马斌表示，随着腾讯安全联合实验室在反诈骗、反病毒、漏洞安全、云安全、车联网、网络安全人才建设、技术研究等领域将持续输出能力，赋能行业、企业，将进一步推动互联网安全生态的快速发展。