近日，腾讯安全玄武实验室发现大量应用存在一个常见漏洞，可让攻击者轻松克隆软件内容。该漏洞影响支付宝、携程、饿了么等软件。被攻击后，攻击者可以做到你的软件能看到、能做到的事情。

根据玄武实验室发现的漏洞，攻击者只需要向其他人发送包含伪装成红包、紧急信息甚至银行通知的恶意链接的短信或邮件，用户点击链接后，程序内的所有内容就会被克隆到攻击者的手机上。

玄武实验室检查了200个应用后，发现27个主流软件存在此类漏洞，包括支付宝、豆瓣、携程、百度旅行、饿了么等应用。实验室研究人员在实验中看到，用户收到伪装成红包的恶意短信后，支付宝就被攻击者克隆。由于快捷支付不需要密码，攻击者可以利用克隆程序让自己的手机花掉别人的钱。

即时克隆移动应用程序

无需与你讨论花钱

攻击者向用户发送短信，用户点击短信中的链接，用户在手机上看到真实的抢红包网页，攻击者已经在另一部手机上克隆了支付宝账户，账户名、用户头像一模一样。

记者在现场借了一部手机，在征得机主同意后，决定试一试这次“克隆攻击”是否真实存在。

记者发现，遭到克隆攻击后，用户手机APP内的数据被神奇地复制到了攻击者的手机中，而且两部手机看上去一模一样。记者来到商场进行了简单测试。

记者在商场内成功扫描了克隆的二维码，看到这笔购买的商品已经悄然出现在克隆手机的支付宝账单中。

由于小额二维码支付不需要密码，一旦发生克隆攻击，攻击者就可以用自己的手机花掉别人的钱。

一位网络安全工程师告诉记者，相比之前的攻击手段，克隆攻击更加隐蔽，更不容易被发现。因为它们不会多次入侵你的手机，而是直接将你手机应用中的内容搬移到其他地方进行操作。相比之前的攻击手段，克隆攻击更加隐蔽，更不容易被发现。

“克隆应用”到底有多可怕

专家表示，只要移动应用程序存在漏洞，一旦有人点击短信中的攻击链接或者扫描恶意二维码，APP内的数据就可能被复制。

目前，“App ”漏洞仅对安卓系统有效，苹果手机不受影响。另外，腾讯表示，目前尚未发现利用该手段进行攻击的案例。

用户该如何预防呢？

截至目前，支付宝、饿了么、百度出行均通过升级软件对应用进行了修复，但智行火车票、聚美优品、国美、携程等尚未进行软件升级。

普通用户应该执行以下操作：

第一，少发链接给别人，不要因好奇去扫描自己不确定的二维码；

更重要的是，你应该关注官方的升级，包括你的操作系统和移动应用程序，它们确实需要及时升级。