驚天大漏洞！別人的手機就能花你的錢，覆蓋所有安卓用戶

年關將至，又是小夥伴們紛紛頻繁收發紅包的時候啦！動動手指頭就能收、發紅包，實在太方便了！

但你有沒有想過，你的支付寶竟然能被克隆到別人的手機上，

而他可以像你一樣使用該帳號，包括掃碼支付！細思極恐.jpg↓

這不是小編聳人聽聞，你安裝的手機應用裡，真的可能存在這種漏洞。

1月9日，騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。在這個攻擊模型的視角下，

很多以前認為威脅不大、廠商不重視的安全問題，都可以輕鬆“克隆”使用者帳戶，竊取隱私資訊，盜取帳號及資金等。

什麼是應用克隆？

先通過一個演示來瞭解它，以支付寶為例：

1. 在升級到最新安卓8.1.0的手機上↓

2. “攻擊者”向用戶發送一條包含惡意連結的手機短信↓

3. 用戶一旦點擊，其帳戶一秒鐘就被“克隆”到“攻擊者”的手機中↓

4. 然後“攻擊者”就可以任意查看使用者資訊，並可直接操作該應用↓

為了驗證這個克隆APP是不是真的能花錢，記者借到了一部手機，經過手機機主的同意，記者進行了測試。

記者發現，中了克隆攻擊之後，用戶這個手機應用中的資料被神奇地複製到了攻擊者的手機上，兩台手機看上去一模一樣。那麼，這台克隆手機能不能正常的消費呢？記者到商場買了點東西。

通過克隆來的二維碼，記者在商場輕鬆地掃碼消費成功。記者在被克隆的手機上看到，這筆消費已經悄悄出現在支付寶帳單中！

因為小額的掃碼支付不需要密碼，一旦中了克隆攻擊，攻擊者就完全可以用自己的手機，花別人的錢！

漏洞幾乎影響國內所有安卓用戶

騰訊經過測試發現，“應用克隆”對大多數移動應用都有效，在200個移動應用中發現27個存在漏洞，比例超過10%。

騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP，如支付寶、餓了麼等多個主流APP均存在漏洞，所以該漏洞幾乎影響國內所有安卓用戶。

目前，“應用克隆”這一漏洞只對安卓系統有效，蘋果手機則不受影響。另外，騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。

“應用克隆”有多可怕？

騰訊安全玄武實驗室負責人于暘表示，該攻擊模型基於移動應用的一些基本設計特點導致的，所以幾乎所有移動應用都適用該攻擊模型。

“應用克隆”的可怕之處在於：和以往的木馬攻擊不同，它實際上並不依靠傳統的木馬病毒，也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。

↑玄武實驗室9日檢測結果

修復：APP廠商需自查

一個令人吃驚的事實是，這一攻擊方式並非剛剛被發現。騰訊相關負責人表在發現這些漏洞後，騰訊安全玄武實驗室通過國家互聯網應急中心向廠商通報了相關資訊，並給出了修復方案，避免該漏洞被不法分子利用。另外，玄武實驗室將提供“玄武支援計畫”協助處理。

於暘表示，由於對該漏洞的檢測無法自動化完成，必須人工分析，玄武實驗室無法對整個安卓應用市場進行檢測，所以希望更多的APP廠商關注並自查產品是否仍存在相應漏洞，並進行修復。對使用者量大、涉及重要資料的APP，玄武實驗室也願意提供相關技術援助。

用戶如何進行防範？

普通用戶最關心的則是如何能對這一攻擊方式進行防範。知道創宇404實驗室負責人回答記者提問時表示，普通用戶的防範比較頭疼，但仍有一些通用的安全措施：

1. 首先是別人發給你的連結少點，不太確定的二維碼不要出於好奇去掃；

2. 更重要的是，要關注官方的升級，包括你的作業系統和手機應用，有小紅點出來時一定要及時升級。目前支付寶、餓了麼等主流APP已主動修復了該漏洞，只需用戶升級到最新版本。

佛山發佈編輯部

編輯：張潔寧