1月9日，腾讯汇。

腾讯安全下午三点召开发布会，两点不到，发布会主角腾讯玄武实验室负责人TK（于洋）就到了，知道创宇的老板黑哥（周静平）也到了。

会前，知道创宇市场部人士向雷锋网首页频道透露，黑哥几年前就发现了一个漏洞，并向谷歌报告过，但谷歌并未理会他。

“一点回应都没有吗？”雷锋网首页频道问道。

“是的，看来谷歌觉得这可能不是它的责任，”该人士表示。

下午3点25分，原定开始的新闻发布会仍未开始。

与此同时，来自腾讯方面传来消息：腾讯玄武实验室报告了一个重大漏洞，为应用程序克隆漏洞，腾讯还提出了该漏洞的利用方法。

这也透露出一个信息，这个漏洞应该影响系统上的多个应用程序，否则工信部领导也不会来支持。

三点半左右，发布会开始，悬念揭晓。

在手机上点击一个网站链接，你会看到一个看上去很正常的支付宝红包抢购页面，但当你点击这个链接的时候噩梦就开始了——此时你的所有支付宝信息都可以呈现在攻击者的机器上，攻击者可以使用你的支付宝进行购买。

你什么都不知道。

这是利用漏洞传递恶意代码的典型做法。TK称，只要在手机上点击恶意链接，存在漏洞的应用程序就会被彻底控制。

这是一个“应用程序克隆”漏洞攻击。

有趣的是，整个攻击所涉及的风险实际上是众所周知的。2013年3月，在他的博客中提到了这一风险。

TK说多点耦合产生的漏洞非常可怕，所谓多点耦合就是A点看上去没问题，B点看上去也没问题，但是当A和B结合在一起的时候，就会出现很大的问题。

说白了，这是制度设计的问题。

移动设备普遍采用了可信计算、漏洞缓解、权限隔离等安全技术，但移动技术本身的种种特点给安全引入了更多新的变量，新的输出可能耦合出新的风险。

本次应用程序克隆漏洞就属于此类漏洞，目前支付宝漏洞已经修复。

黑格称，他在 2012 年 3 月就已经形成了克隆攻击的想法。当时他买了一台新设备，发现将微博数据移到另一部手机上时，手机会自动完成登录流程。发现问题后，他再次测试，并向 官方报告了漏洞细节，但谷歌甚至没有回复邮件。

黑格一怒之下将其发布在了自己的博客上，但谷歌至今仍未彻底修复该漏洞。

发布会上，TK发布了演示视频，实现了克隆账号、窃取用户照片的攻击效果。

目前，根据腾讯的调研，市面上200多款安卓应用中，共有27款应用存在该漏洞。漏洞列表及影响如下，其中18款可远程攻击，9款仅可本地攻击。2017年12月7日，腾讯向国家信息安全漏洞共享平台（CNVD）上报了这27个漏洞。截至2018年1月9日，已有11款应用进行了修复，但修复的3款存在缺陷。

国家互联网应急中心网络安全部副主任李佳表示，目前支付宝、百度外卖、国美等已对该漏洞进行了反馈，截至昨日，尚未收到京东、虎扑等十家厂商的反馈。

以下为雷锋网对TK与黑哥的访谈实录，略作编辑整理。

1. 这些漏洞是何时发现的？

TK：今天我们看到有几款应用受到了影响。事实上，整个发现是一个持续的过程，而不是一次性的过程。第一次发现是在去年年底。

2. 制造商如何解决这个问题？

TK：我们发现了这个漏洞，并立即通知了相关国家部门。然后我们通知了应用程序供应商，让他们修补这个漏洞。

3、有没有针对支付宝的实际攻击案例？

TK：没有，至少我们不知道有任何案例。虽然可以通过这个渠道发动攻击，但我们不知道是否有人真正发动过这样的攻击。

4.普通用户能采取预防措施吗？