支付寶賬户一秒鐘被“克隆” 騰訊安全玄武實驗室發現大漏洞

【觀察者網TMT報道】曾幾何時，“克隆別人的應用，從而實現刷自己的手機，花別人的錢”只是一種幻想。但如今，這種幻想已經成為現實。1月9日，騰訊安全玄武實驗室聯合知道創宇404實驗室，在召開的移動安全技術研究聯合發佈會上正式披露了“應用克隆”這一移動攻擊威脅模型。

支付寶一秒鐘被克隆

在發佈會現場，玄武實驗室以支付寶APP為例展示了“應用克隆”攻擊的效果：在升級到最新安卓8.1.0的手機上，利用APP自身的漏洞，“攻擊者”向用户發送一條包含惡意鏈接的手機短信。用户一旦點擊，其支付寶賬户一秒鐘就被“克隆”到“攻擊者”的手機中，然後“攻擊者”就可以任意查看用户賬户信息，並可進行消費。據瞭解，支付寶目前已經在最新版本中修復了該漏洞。

據騰訊安全玄武實驗室負責人於暘介紹，“應用克隆”攻擊模型是基於移動應用的一些基本設計特點導致的，所以幾乎所有移動應用都適用該攻擊模型。通過該漏洞，攻擊者可以輕鬆“克隆”用户賬户，竊取隱私信息，盜取賬號及資金等。

玄武實驗室負責人於暘

玄武實驗室此次通過安全檢查，在200個移動應用中發現27個存在漏洞，比例超過10%。涉及支付寶、攜程、餓了麼等多個主流APP在發現這些漏洞後，騰訊安全玄武實驗室通過國家互聯網應急中心（CNCERT）向廠商通報了相關信息，並給出了修復方案，避免該漏洞被不法分子利用。於暘表示，目前外界應該沒有對漏洞已知的利用。

移動時代更需重視安全

在發佈會上，於暘指出，近十幾年來，操作系統在不斷的攻防對抗當中。安全工作者和攻擊者，在這種交鋒當中，雙方各自發展出了很多的技術。但在目前的移動互聯網時代，用PC時代的安全思維是不夠的。例如，PC時代的樓d漏洞攻擊往往利用漏洞投遞惡意代碼，但隨着技術的發展，這種攻擊變得困難，偽裝欺騙再次成為主流。

於暘用類比來説明兩者的不同：“傳統的利用軟件漏洞進行攻擊的思路，一般是先用漏洞獲得控制，再植入後門。好比想長期進出你酒店的房間，就要先悄悄尾隨你進門，再悄悄把鎖弄壞，以後就能隨時進來。現代移動操作系統已經針對這種模式做了防禦，不是説不可能再這樣攻擊，但難度極大。如果我們換一個思路：進門後，找到你的酒店房卡，複製一張，就可以隨時進出了。不但可以隨時進出，還能以你的名義在酒店裏消費。

於暘認為，移動時代的安全問題更加複雜多變，涉及的方面也更多。需要手機廠商、應用開發商、網絡安全研究者等多方攜手，共同重視，“在PC時代，最重要的是系統自身的安全。而移動設備系統自身的安全性比PC要高很多，但在端雲一體的移動時代，最重要的其實是用户賬號體系和數據的安全。而要保護好這些，光搞好系統自身安全是不夠的，”他説。

404實驗室負責人周景平也呼籲大家提高對大家對移動安全的重視，“安全（問題）無論大小，有的覺得風險點很小或者説某個風險點不處理也無所謂。但是實際上當一個風險A再加一個風險B的時候，那可能風險就比較大了，”他説。

騰訊安全發佈白皮書

在此次發佈會上，騰訊副總裁馬斌發佈了《騰訊安全前沿技術研究白皮書》，對目前中國面臨的安全形勢，以及騰訊安全聯合實驗室在科技創新、人才建設等方面的成果進行了全面盤點，並首次披露了騰訊安全聯合實驗室成立以來的十大安全研究成果。

目前，騰訊安全聯合實驗室旗下擁有科恩、玄武、湛瀘、雲鼎、反病毒、反詐騙、移動安全七大實驗室。

2016年，憑藉“全球首次遠程無物理接觸方式入侵特斯拉汽車”研究成果，騰訊安全聯合實驗室科恩實驗室獲得特斯拉官方最高獎勵及榮譽。同時，在反詐騙領域，騰訊安全反詐騙實驗室攜手公安部、運營商等相關合作伙伴共同推出的“守護者計劃”，利用“反詐騙智慧大腦”等新技術武器，精準打擊詐騙黑產，保障用户資金安全。另外，在2017年上半年的“WannaCry”、“暗雲Ⅲ”等病毒事件中，騰訊安全反病毒實驗室、騰訊安全雲鼎實驗室共同針對用户網絡安全、雲端安全迅速制定防禦方案，並開發出包括勒索病毒免疫工具、文檔守護者、雲鏡等多款工具，第一時間降低了國內用户和企業的網絡安全風險。

此次發佈“應用克隆”漏洞利用方式的玄武實驗室，在業內素有“漏洞挖掘機”稱號。2016年中，騰訊安全玄武實驗室和騰訊安全聯合實驗室旗下的其他六大實驗室相互配合，累計為微軟、蘋果、谷歌、Adobe四大國際頂尖廠商提交漏洞269個，位居國內首位。2016 年 5 月的 Adobe Reader 安全公告中更是一次性包含了 32 個玄武實驗室報告的漏洞，從而創下了該產品歷史上單個公告中報告漏洞最多的紀錄。在發現應用克隆攻擊技術之前，騰訊安全玄武實驗室還針對條碼閲讀器的“BadBarcode”研究揭示了影響整個行業的存在了近二十年的重大安全隱患，得到國際安全界的廣泛關注和稱譽，並因此榮獲 WitAwards“年度最佳研究成果”獎。