随着新年的到来，朋友之间开始频繁地收发红包，有的是朋友之间互相发送的，有的是商家促销时发送的。

但你有没有想过，有一天，当你点击红包链接时，你的支付宝信息会瞬间在另一部手机上被“克隆”？别人可以像你一样使用该账户，包括扫码支付。

这种克隆攻击的危害有多大？我们又该如何防止自己被克隆呢？

9日下午，一种针对安卓手机操作系统的新型攻击风险被曝出，这种“攻击”能将你手机上的应用程序瞬间克隆到攻击者的手机上，并克隆你的支付二维码进行隐蔽诈骗。

即时克隆移动应用程序

不经谈判就花钱

攻击者向用户发送短信，用户点击短信中的链接，用户在手机上看到真实的抢红包网页，攻击者已经在另一部手机上克隆了支付宝账户，账户名、用户头像一模一样。

记者在商场内成功扫描了克隆的二维码，看到这笔购买的商品已经悄然出现在克隆手机的支付宝账单中。

由于小额二维码支付不需要密码，一旦发生克隆攻击，攻击者就可以用自己的手机花掉别人的钱。

一位网络安全工程师告诉记者，相比之前的攻击手段，克隆攻击更加隐蔽，更不容易被发现。因为它们不会多次入侵你的手机，而是直接将你手机应用中的内容搬移到其他地方进行操作。相比之前的攻击手段，克隆攻击更加隐蔽，更不容易被发现。

“克隆应用”到底有多可怕？

专家表示，只要移动应用程序存在漏洞，一旦有人点击短信中的攻击链接或者扫描恶意二维码，APP内的数据就可能被复制。

经检测发现，“克隆应用”对不少手机应用都十分有效，在200款手机应用中，发现有27款应用存在漏洞，占比超过10%。

腾讯安全玄武实验室发现的漏洞涉及国内安卓应用市场至少十分之一的应用，支付宝、饿了么等不少主流应用均存在漏洞，因此该漏洞影响了国内几乎所有安卓用户。

目前，“App ”漏洞仅对安卓系统有效，苹果手机不受影响。另外，腾讯表示，目前尚未发现利用该手段进行攻击的案例。

现场展示：

攻击者向用户发送一条包含链接的短信，用户收到短信后点击链接，用户看似打开了一个正常的携程页面，此时攻击者已经完全克隆了用户，所有个人隐私信息都可以在这个账号中查看。

9日晚，国家信息安全漏洞共享平台发布公告称，控件存在跨域访问漏洞。一位网络安全工程师告诉记者，如果将操作系统和所有手机应用程序都升级到最新版本，大多数应用程序就能避免克隆攻击。

用户该如何预防呢？

而普通用户最关心的是如何防范这种攻击，知道创宇404实验室负责人在回答记者提问时表示，对于普通用户来说，防范起来比较头疼，但还是有一些常见的安全措施的：

避免向他人发送链接，不要因好奇而扫描不确定的二维码；

更重要的是，关注官方的升级，包括你的操作系统和移动应用程序，它们确实需要及时升级。

漏洞：在造成任何危害之前被捕获

令人吃惊的事实是，这种攻击手段并非刚刚才被发现。腾讯相关负责人表示：“整个攻击过程中涉及的每一个风险点，其实都已经被人提及过。”

那么为什么这种危害极大的攻击手段此前一直没有被安全厂商发现，并且没有发生攻击案例呢？

“这是多点耦合导致的新漏洞。”该负责人打了个比方，“就好比网线插头上有一个凸起，但路由器在插座位置却设计了一个重置​​键。”

网线本身没问题，路由器也没问题，但结果就是插上网线，路由器就重启了。多点耦合也是一样。每个问题都是已知的，但组合起来就带来了额外的风险。”

多点耦合的出现，其实意味着网络安全态势的改变，硬币的一面是漏洞“联合作战”的“乘数效应”，另一面则是防御者形成的合力。

在移动时代，最重要的是用户账号体系和数据的安全，而要保护好这些，仅仅保证体系本身的安全是远远不够的，需要手机厂商、应用开发商、网络安全研究人员等多方的通力合作。

3.15 寻求线索

2018长沙3.15晚会正在向您征集线索！如您遇到行业诈骗、消费陷阱、不公平现象，可拨打政法频道新闻热线，或关注政法频道官方微信留言。线索一经采纳，最高奖励3000元。