【TechWeb报道】1月10日消息，腾讯安全玄武实验室昨日与知道创宇404实验室联合召开技术研究成果发布会，正式对外披露“应用克隆”这一移动攻击威胁模型。

腾讯安全玄武实验室负责人于旸

腾讯安全玄武实验室负责人于旸表示，该攻击模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。基于该攻击模型，腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10%。

在发现这些漏洞之后，腾讯安全玄武实验室通过CNCERT向厂商报告了相关漏洞，并提供了修复方法。但考虑到相关问题影响之广，难以将相关信息逐个通知给所有移动应用开发商，所以通过新闻发布会希望更多移动应用开发商了解该问题并进行自查。同时，玄武实验室将提供“玄武支援计划”协助处理。同时于旸还指出，移动互联网时代的安全形势更加复杂，只有真正用移动思维来思考移动安全，才能正确评估安全问题的风险。

于旸介绍，在玄武安全研究团队研究过程中，发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施，所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合，就可以实现“应用克隆”攻击。这一漏洞利用方式一旦被不法分子利用，就可以轻松克隆获取用户账户权限，盗取用户账号及资金等。腾讯安全玄武实验室在研究过程中还发现，“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过，但显然在业界并未引起足够重视。

在发布会现场，玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果：在升级到最新安卓8.1.0的手机上，利用支付宝APP自身的漏洞，“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中，然后“攻击者”就可以任意查看用户账户信息，并可进行消费。目前，支付宝在最新版本中已修复了该漏洞。

据介绍，“应用克隆”对大多数移动应用都有效。而玄武实验室此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP，如支付宝、携程、饿了么等多个主流APP均存在漏洞，所以该漏洞几乎影响国内所有安卓用户。在发现这些漏洞后，腾讯安全玄武实验室通过CNCERT向厂商通报了相关信息，并给出了修复方案，避免该漏洞被不法分子利用。

考虑到该漏洞影响的广泛性，以及配合“应用克隆”攻击模型后的巨大威胁，腾讯安全玄武实验室现场发布了“玄武支援计划”。

于旸表示，由于对该漏洞的检测无法自动化完成，必须人工分析，玄武实验室无法对整个安卓应用市场进行检测，所以通过此次新闻发布会，希望更多的APP厂商关注并自查产品是否仍存在相应漏洞，并进行修复。对用户量大、涉及重要数据的APP，玄武实验室也愿意提供相关技术援助。

更值得关注的是，于旸在此次报告中首次提出安全厂商要建立“移动安全新思维”，用移动思维来思考移动安全，来适应新的移动互联网安全发展趋势。在他看来，PC时代的安全思维对移动时代来说是不够的。移动设备有诸多不同于PC的特点，而移动应用也有诸多不同于传统软件的特点。

腾讯副总裁马斌

在此次技术研究成果发布会上，腾讯副总裁马斌发布了《腾讯安全前沿技术研究白皮书》，对目前中国面临的安全形势，以及腾讯安全联合实验室在科技创新、人才建设等方面的成果进行了全面盘点，并首次披露了腾讯安全联合实验室成立以来的十大安全研究成果。

马斌表示，随着腾讯安全联合实验室在反诈骗、反病毒、漏洞安全、云安全、车联网、网络安全人才建设、技术研究等领域将持续输出能力，赋能行业、企业，将进一步推动互联网安全生态的快速发展。