惊现“应用克隆”攻击可窃取用户账户隐私

【深圳商报讯】（记者 陈姝）昨日，腾讯安全玄武实验室与知道创宇404实验室正式披露一项名为“应用克隆”的移动攻击威胁模型，攻击者可利用APP漏洞“克隆”用户账户，窃取隐私信息，盗取账号及资金等，经检查国内10%的主流安卓APP已中招。目前，腾讯已提供了修复方法。

腾讯安全玄武实验室负责人于旸介绍说，该攻击模型是基于移动应用的一些基本设计特点，利用很多以前认为威胁不大的安全问题，轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。比如“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其账户一秒钟就被“克隆”到“攻击者”的手机中，“攻击者”就可以任意查看用户账户信息，并进行消费。

据介绍，腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10%。在发现这些漏洞之后，腾讯安全玄武实验室通过CNCERT（国家互联网应急中心）向厂商报告了相关漏洞，并提供了修复方法。

考虑该漏洞影响的广泛性，腾讯安全玄武实验室现场发布了“玄武支援计划”。于旸表示，由于对该漏洞的检测无法自动化完成，必须人工分析，希望更多的APP厂商关注并自查产品是否存在相应漏洞，并进行修复。对用户量大、涉及重要数据的APP，玄武实验室愿意提供相关技术援助。

于旸提出，厂商要建立“移动安全新思维”。在PC时代，最重要的是系统自身的安全，但在端云一体的移动时代，最重要的是用户账号体系和数据的安全。而要保护好这些，光搞好系统自身安全是不够的，需要手机厂商、应用开发商、网络安全研究者等多方携手。