突发新闻（必读）

李红老师带领北大创业团队经过数月的开发，开发出中国首个共享单身平台“我单身”，现已正式上线。任何上传头像的人都可以成为媒人，或者为自己寻找伴侣！帮助别人也是帮助自己，还可以赚一杯咖啡的钱！那就意味着积累功绩，获得劳动价值补偿！

随着新年的到来，朋友们开始频繁地收发红包，包括朋友之间和商家的促销活动。但你有没有想过，有一天，当你点击红包链接时，你的支付宝信息会瞬间被“克隆”到另一部手机上？其他人可以像您一样使用该帐户，包括扫描二维码进行支付。

这并不是小编的煽情。这种漏洞可能确实存在于您安装的移动应用程序中。

1月9日，腾讯安全玄武实验室和智造创宇404实验室公开了攻击威胁模型——“应用克隆”。

我们先通过演示来理解一下，以支付宝为例：

在升级到最新 8.1.0的手机上↓

“攻击者”向用户发送包含恶意链接的短信↓

用户一旦点击，其账户将在一秒内被“克隆”到“攻击者”的手机上↓

那么“攻击者”就可以随意查看用户信息并直接操作应用程序↓

点击视频了解详情↓↓↓

你的手机会受到影响吗？有哪些注意事项？这种“可怕”的攻击威胁背后，折射出怎样的移动互联网时代安全新形势？

10%国产应用存在“应用克隆”漏洞

腾讯安全玄武实验室负责人于洋表示，这种攻击模型是基于移动应用的一些基本设计特点，所以几乎所有的移动应用都适合这种攻击模型。很多以前被认为是次要威胁、厂商不重视的安全问题可以轻易“克隆”用户账户、窃取私人信息、盗取账户和资金等。

经测试，“应用克隆”对大部分移动应用有效，200个移动应用中发现27个存在漏洞，占比超过10%。玄武实验室此次发现的漏洞涉及国内应用市场至少十分之一的App。支付宝、饿了么等许多主流应用程序都存在漏洞，因此该漏洞几乎影响所有国内用户。

目前，“应用克隆”漏洞仅对安卓系统有效，苹果手机不受影响。此外，腾讯表示，目前尚无已知的利用该方式发起攻击的案例。

“应用克隆”有多可怕？

“应用克隆”的可怕之处在于，与以往的木马攻击不同，它实际上并不依赖于传统的木马病毒，也不需要用户下载“冒充”普通应用的“李鬼”应用。

腾讯相关负责人对比道：“就像以前，如果你想进入你的酒店房间，你需要破锁，但现在的方法是复制你的酒店房卡。不仅可以进入并随时退出，但您也可以以您的名义使用它。”在酒店消费。”

腾讯安全玄武实验室研究员王永科表示，攻击者完全可以在手机上操作账户，包括查看私人信息，甚至窃取里面的钱。

智能手机在我们的生活中发挥着越来越重要的作用。我们的手机不仅包含我们的个人信息，还可以进行预订、消费甚至支付等各种活动。这种克隆攻击的危害有多大？我们怎样才能防止被克隆呢？

腾讯安全玄武实验室负责人于洋表示，攻击者可以在看似正常的页面中隐藏与攻击相关的代码。当你打开它时，你肉眼看到的是一个正常的网页，这可能是新闻。 ，可能是一段视频，可能是一张图片，但实际上攻击代码是在其背后悄悄执行的。

专家表示，只要移动应用程序存在漏洞，一旦点击短信中的攻击链接或扫描恶意二维码，APP中的数据就可能被复制。

经过测试，腾讯发现“应用克隆”对大多数移动应用均有效，并在200个移动应用中发现了27个漏洞，占比超过10%。

腾讯安全玄武实验室此次发现的漏洞涉及国内应用市场至少十分之一的应用。支付宝、饿了么等许多主流应用程序都存在漏洞，因此该漏洞几乎影响所有国内用户。

目前，“应用克隆”漏洞仅对安卓系统有效，苹果手机不受影响。此外，腾讯表示，目前尚无已知的利用该方式发起攻击的案例。

现场展示：

攻击者向用户发送一条文本消息，其中包含链接。用户收到短信并点击短信中的链接。用户似乎打开了一个正常的携程页面。此时，攻击者已经完全克隆了用户。所有个人隐私信息均可在此账户中查看。

就在昨晚，国家信息安全漏洞共享平台公布控件存在跨域访问漏洞。网络安全工程师告诉记者，如果操作系统和所有移动应用程序都升级到最新版本，大多数应用程序都可以避免克隆攻击。

用户该如何预防？

普通用户最关心的是如何防范这种攻击方式。智创鱼404实验室负责人周敬平在回答记者提问时表示，预防对于普通用户来说是一个头疼的问题，但还是有一些常见的安全措施：

首先，别人发给你的链接要少一些，不确定的时候不要出于好奇而扫描二维码；

更重要的是，要关注官方的升级，包括你的操作系统和手机应用程序，这些确实需要及时升级。

新的多点耦合会产生漏洞

除了巨大的伤害之外，另一个令人惊讶的事实是，这种攻击方式并不总是潜伏在黑暗中。于洋说：“查阅过去的技术资料，整个攻击过程中涉及到的每一个风险点，其实都有人提到过。”周敬平甚至于2013年3月在自己的博客上针对重点风险进行了安全提醒。他说：“当时我向当时的官方报告了这个问题，但他们没有给我任何反馈。对方甚至没有通过电子邮件回复我。”

那么为什么这种危害极大的攻击方式之前没有被安全厂商发现，也没有发生攻击案例呢？ “这是由新的多点耦合引起的漏洞。”于洋打了个比方，“就像网线插头上有一个凸块，所以路由器就在插座处设计了一个复位按钮。”网线本身没有问题，路由器也没有问题，但是结果是一插网线路由器就重启。对于多个耦合点也是如此。每个问题都是已知的，但组合起来会带来额外的风险。 “他还表示，2016年发现了另一个漏洞，该漏洞利用了9种不同网络协议和操作系统的特性。这些特性结合起来，恶意文档甚至不需要打开。”插入USB闪存驱动器并查看目录。可以传播。 ”

多点耦合的出现实际上意味着网络安全形势的变化。硬币的一面是漏洞“联合作战”的“乘数效应”，另一面是守军的合力。在计算机时代，最重要的是系统本身的安全性，而包括手机在内的移动设备系统的安全性远高于计算机。然而，在端与云融为一体的移动时代，最重要的其实是用户账号体系和数据安全。要保护这些，仅仅保证系统本身的安全是不够的。它需要手机制造商、应用程序开发商、网络安全研究人员等各方的合作。

这也是管理部门的想法。李佳表示，在本次事件中发挥作用的国家信息安全共享平台是基于“建立信息安全漏洞共享知识库”的宗旨而诞生的。目前，联合国内主要信息系统单位、基础电信运营商、安全厂商、软件厂商、相关互联网企业等技术团体、用户团体和会员单位共60个，分享发现的漏洞并及时报告消息截至目前，已收录软硬件产品漏洞60余个，特定事件类漏洞30万余个，党政机关和重要信息系统漏洞6.9万余个。

傅景光还表示，工业和信息化部去年9月发布的《公共互联网网络安全威胁监测处置办法》也体现了这一原则。 “比如我们提出了及时发现的原则，必须团结各方力量。无论是安全公司、互联网公司还是技术应用公司，都欢迎大家提交自己的发现结果。同时，我们也有科学研判的原则，包括国家互联网应急中心等科研机构甚至有能力的企业，必须对发现的问题进行研判，确保其确实是恶意的，并进行在此基础上进一步加工。”

“新面孔”带来新风险

“应用程序克隆”是一个在造成危害之前就被发现的漏洞，但是然后呢？

著名安全专家、网络安全厂商RSA前总裁阿米特·莫兰有一句名言：“在新的网络安全威胁形势下，防御者就像拿着旧地图在海上航行”。新硬件、新技术、新服务的结合出现和交叉融合，催生了“新面孔”，也带来了新的风险。

比如硬件风险。之前刚刚公布的CPU硬件漏洞就属于这样的风险。它实际上是一个设计漏洞，例如在蓝图过程中犯的错误。对于这种风险，即使在操作系统端进行保护也无济于事。此外，智能盒子、安防摄像头、家庭路由器等数亿物联网设备中的芯片执行漏洞、流量劫持漏洞、蓝牙蠕虫漏洞等底层威胁在2017年也被曝光。联网设备随着物联网设备的快速增长，2018年的安全威胁将变得越来越严重。

还有针对人工智能的攻击。加州大学伯克利分校教授宋晓东表示，两张人眼看上去一模一样的熊猫图片，一张被神经网络正确识别为“熊猫”，但另一张被改变了，因为人眼难以察觉的微小扰动。被神经网络以99.3%的置信度识别为“长臂猿”，这是一个可以“欺骗”人工智能的对抗性样本。 “利用对抗性样本攻击人工智能，实际上是从核心算法层面对其进行攻击。可以想象，无人驾驶汽车一旦识别出对抗性样本修改过的交通标志，将会带来严重的后果。幸运的是，从现在看来，自动驾驶的对抗性例子非常少。”