腾讯发现一款可克隆几十款App的漏洞，现场演示支付宝如何中招

1月9日，腾讯汇。

下午3点的腾讯安全有一场发布会，不到2点，主要演讲人腾讯玄武实验室负责人 TK 已经到位，知道创宇404Team的老大黑哥(周景平)也现身了。

会前，据知道创宇一位市场部人士向雷锋网透露，黑哥几年前发现了一个漏洞，报给了谷歌，但是谷歌没搭理他。

“是一点回音都没有吗 ？”雷锋网 (公众号：雷锋网) 问。

“是，好像是说谷歌觉得可能不是它那边的责任。”该人士说。

下午3点25分，原计划开始的发布会还没开始，据说是因为工信部一位关键领导被堵在了路上。

腾讯方面同时传来了信息: 腾讯玄武实验室上报了一个重大漏洞，这属于一个应用克隆的漏洞，腾讯方面还提出了漏洞利用方法。

这也透露了一个信息，这个漏洞应该是影响安卓系统的多款应用，不然工信部领导不会来站台。

3点半左右，发布会开始，悬念揭晓。

雷锋网发现，在手机上点击一个网站链接，你可以看到一个看上去正常的支付宝抢红包页面，但噩梦从你点击链接就开始——此时你的支付宝的信息全部可以在攻击者的机器上呈现，攻击者借此完全可以用你的支付宝消费。

你一无所知。

这是当前利用漏洞传递恶意代码的一种典型方式。TK称，在手机上点击恶意链接，有漏洞的应用就会被完全控制。

这是一种“应用克隆”漏洞攻击。

有意思的是，整套攻击中涉及的风险点其实都是已知的。2013年3月，黑哥在他的博客里就提到了这种风险。

TK 称，多点耦合产生了可怕漏洞，所谓多点耦合，是A点看上去没问题，B点看上去也没问题，但是A和B组合起来，就组成了一个大问题。

说白了，是一个系统的设计问题。

移动设备普遍使用了可信计算、漏洞缓解、权限隔离等安全技术，但移动技术自身的各种特点又给安全引入了更多的新变量，新产量可能耦合出新风险。

这种应用克隆漏洞就是这种类型的漏洞。

黑哥介绍，其实在2012年3月，他就已经形成了克隆攻击的思路。当时他新买了台设备，发现微博数据移到另外一台手机上，手机上会自动完成登陆的过程。发现问题后，他再次进行测试，然后将漏洞详情报给了安卓官方，但是谷歌连邮件都没回复。

黑哥一怒之下在博客上进行发布，但谷歌方面现在依然没有完全修复该漏洞。

在发布会现场，TK 发布了演示视频，实现了克隆账户和窃取用户照片的攻击效果。

目前，据腾讯方面的研究，市面上300多款安卓应用中，27款App有此漏洞。漏洞列表及影响如下,其中18个可被远程攻击，9个只能从本地攻击。2017年12月7日，腾讯将27个漏洞报告给了国家信息安全漏洞共享平台(cnvd) ，截止到2018年1月9日，有11个App进行了修复，但其中3个修复存在缺陷。

据cnvd的工作人员介绍，支付宝、百度外卖、国美等已经就该漏洞进行反馈，截止到昨天，还未收到京东到家、饿了么、虎扑等十家厂商的反馈。

。