之江最权威的官方微信公众号

随着新年的到来，朋友们开始频繁地收发红包，包括朋友之间和商家的促销活动。但你有没有想过，你的支付宝可以克隆到别人的手机上，他也可以像你一样使用账户，包括扫描二维码进行支付。

这并不是小编的煽情。这种漏洞可能确实存在于您安装的移动应用程序中。

1月9日，腾讯安全玄武实验室和智造创宇404实验室公开了攻击威胁模型——“应用克隆”。从这种攻击模式来看，很多以前被认为是次要威胁、厂商不重视的安全问题可以轻易“克隆”用户账户、窃取隐私信息、盗取账户和资金等。

我们先通过演示来理解一下，以支付宝为例：

在升级到最新 8.1.0的手机上↓

“攻击者”向用户发送包含恶意链接的短信↓

用户一旦点击，其账户将在一秒内被“克隆”到“攻击者”的手机上↓

那么“攻击者”就可以随意查看用户信息并直接操作应用程序↓

点击视频了解详情↓↓↓

为了验证这个克隆的APP是否真的可以花钱，记者借了一部手机，在征得手机主人的同意后，记者进行了测试。

记者发现，遭受克隆攻击后，用户移动应用程序中的数据被神奇地复制到攻击者的手机上，两部手机看起来一模一样。那么，这款克隆手机可以正常消费吗？记者前往商场购买东西。

通过克隆的二维码，记者轻松扫码，成功在商场购物。记者在克隆手机上看到，这笔消费已悄然出现在支付宝账单中。

由于小额扫码支付不需要密码，一旦发生克隆攻击，攻击者就可以利用自己的手机花掉别人的钱。

该漏洞影响几乎所有中国用户

经过测试，腾讯发现“应用克隆”对大多数移动应用均有效，并在200个移动应用中发现了27个漏洞，占比超过10%。

腾讯安全玄武实验室此次发现的漏洞涉及国内应用市场至少十分之一的应用。支付宝、饿了么等许多主流应用程序都存在漏洞，因此该漏洞几乎影响所有国内用户。

目前，“应用克隆”漏洞仅对安卓系统有效，苹果手机不受影响。此外，腾讯表示，目前尚无已知的利用该方式发起攻击的案例。

“应用克隆”有多可怕？

腾讯安全玄武实验室负责人于洋表示，这种攻击模型是基于移动应用的一些基本设计特点，所以几乎所有的移动应用都适合这种攻击模型。

“应用克隆”的可怕之处在于，与以往的木马攻击不同，它实际上并不依赖于传统的木马病毒，也不需要用户下载“冒充”普通应用的“李鬼”应用。

网络安全工程师告诉记者，与以往的攻击方式相比，克隆攻击更加隐蔽，更不易被发现。因为它不会多次入侵你的手机，而是直接把你手机应用程序中的内容搬到别处去操作。与以往的攻击方式相比，克隆攻击更加隐蔽，更难被发现。

腾讯相关负责人对比道：“就像以前，如果你想进入你的酒店房间，你需要破锁，但现在的方法是复制你的酒店房卡。不仅可以进入并随时退出，但您也可以以您的名义使用它。”在酒店消费。”

↑宣武实验室9日检测结果

修复：APP厂商需自查

令人惊讶的事实是，这种攻击方法并不是刚刚被发现的。腾讯相关负责人表示，发现这些漏洞后，腾讯安全玄武实验室通过国家互联网应急中心向厂商通报相关信息，并提供修复方案，防止漏洞被不法分子利用。此外，玄武实验室将提供“玄武支持计划”协助办理。

于洋表示，由于该漏洞的检测无法自动化，必须人工分析，玄武实验室无法检测到整个应用市场，所以希望更多的APP厂商关注并自查自己的产品是否还存在相应的漏洞。漏洞，并进行修复。对于用户量大、涉及重要数据的App，玄武实验室也愿意提供相关的技术帮助。

用户该如何预防？

普通用户最关心的是如何防范这种攻击方式。智创宇404实验室负责人在回答记者提问时表示，预防对于普通用户来说是一个头疼的问题，但还是有一些常见的安全措施：

首先，减少别人发给你的链接数量，不确定的时候不要出于好奇而扫描二维码；

更重要的是，要关注官方的升级，包括你的操作系统和移动应用程序。当出现小红点时，一定要及时升级。目前支付宝、饿了么等主流应用已主动修复该漏洞，用户只需升级到最新版本即可。