拿什么守护你，我的手机钱袋！安卓APP存“应用克隆”漏洞

本篇文章3065字，读完约8分钟

移动攻击威胁模型“应用克隆”的披露，已经引起了许多网民的恐慌。一些安全漏洞，曾经被认为是小威胁，被制造商忽视，甚至可以“克隆”用户帐户，窃取私人信息，窃取帐户和资金…并创造一个安全的移动支付环境。手机制造商、应用开发商和网络安全研究人员应携起手来，共同落实《网络安全法》等法律法规的要求，彻底堵塞可能存在的风险和漏洞-

点击手机上的网站链接会打开一个看似普通的红包抓取页面，但不管你是否点击了红包，你的支付宝应用程序都被“克隆”到了另一部手机上，甚至包括你的用户名和密码，攻击者可以点击支付宝支付代码进行消费。

虽然支付宝已经堵住了这个漏洞，但腾讯安全玄武实验室和于闯404实验室1月9日披露的攻击威胁模型“应用克隆”仍然令人震惊。腾讯安全宣武实验室主任鱼雨？“攻击模型是基于移动应用的一些基本特征而设计的。因此，几乎所有移动应用都采用这种攻击模式。”研究表明，在市场上200多种常见的安卓应用中，有27种应用会受到这种攻击，占10%以上。

年底和年初，网络安全成为许多人的热门话题。你的手机被克隆了吗？有什么预防措施？在这种“可怕”的攻击威胁背后，移动互联网时代反映了什么样的新安全形势？《经济日报》记者采访了相关专家。

制造商的安全意识薄弱-

及时升级应用程序很重要

“应用程序克隆”的可怕之处在于，与以前的特洛伊木马攻击不同，它实际上并不依赖于传统的特洛伊病毒，也不要求用户下载模拟普通应用程序的“李鬼”应用程序。在吗？打个比方:“这就像过去想进入你的酒店房间，你需要打破锁，但现在的方法是复制你的酒店房卡，它不仅可以在任何时候进出，还可以在酒店花在你的名字。”

“应用克隆”的漏洞只对安卓有效，但苹果手机不受影响。腾讯表示，没有已知的以这种方式发起攻击的案例。

同时，新闻在时间上以各种方式传播，但是反馈是“不均衡的”。工业和信息化部网络安全司网络与数据安全处处长傅表示，在接到腾讯的通知后，“我们也组织了相关单位和专家进行了认真的分析和判断。”

国家互联网应急中心网络安全处副处长李佳表示，2017年12月7日，腾讯向国家信息安全漏洞共享平台报告了27个易受攻击的应用。经相关技术人员验证，国家信息安全漏洞共享平台对该漏洞进行了编号，并于2017年12月10日向这27家应用设计企业发送了点对点安全通知。

“通知发布后不久，我就收到了包括支付宝、百度外卖、国美等在内的大多数制造商的积极反馈。，表明他们已经开始修补漏洞，但截至2018年1月8日，他们还没有收到京东的家，饿了。来自10家制造商的相关反馈，包括聚美友、豆瓣、易车、铁友火车票、老虎和微商。”在吗？据报道，截至1月9日上午，支付宝、饥饿、小米生活、wifi万能钥匙等11款手机应用已经修复，但亚马逊(中文版)、卡牛信用管理器、小灵通等3款应用尚未完全修复。

在1月9日的技术研究成果发布会现场演示中，携程安卓手机应用仍然可以通过这种方式进行克隆，克隆后仍然可以看到用户的交易记录。

从某种意义上说，这表明国内一些手机应用厂商的安全意识比较薄弱。在吗？坦率地说，“我们也看到了一些国外的应用程序，受此漏洞影响的应用程序比中国的应用程序少得多。从我在网络安全领域十多年的经验来看，国内制造商和开发商在安全意识方面确实与国外同行有一定差距。”

普通用户最关心的是如何防止这种攻击。在得知于闯404实验室负责人周景平回答记者提问后，他表示:“防范普通用户是一件令人头痛的事情，但仍有一些一般性的安全措施。首先，别人发给你的链接不应该轻易打开。不确定的二维码不应出于好奇而被扫描。更重要的是随时关注官方升级，及时升级移动操作系统和应用软件。”

网络安全形势已经改变-

当心“联合行动”的漏洞

除了巨大的危害，另一个令人惊讶的事实是，这种攻击方法并不总是隐藏在黑暗中。在吗？他说:“从过去的技术数据来看，攻击中涉及的每一个风险点实际上都有所提高。”在关键风险中，周景平甚至在2013年3月的博客中给出了安全提示。他说:“当时我也把这个问题报告给了当时的安卓官员，但是对方没有给我任何反馈，甚至连邮件都没有回复。”

那么，为什么这种极其有害的攻击方法没有被安全供应商发现，以前也没有发生过攻击案例呢？“这是新的多点耦合造成的漏洞。”在吗？打了个比喻，“这就像是网络电缆插头上的一个肿块。因此，路由器只是在插座位置设计了一个复位按钮。网线本身和路由器没有问题，但是只要您插入网线，路由器就会重新启动。多点耦合也是如此。每个问题都是众所周知的，但这种组合会带来额外的风险。”他还表示，2016年又发现了一个漏洞，该漏洞利用了九种不同网络协议和操作系统的特点。当这些特征结合在一起时，恶意文档甚至可以在不打开它们的情况下传播，并且它们可以被插入到u盘中以查看目录。

多点耦合的出现实际上意味着网络安全形势的变化。硬币的一面是“联合作战”漏洞的倍增效应，另一面是守军形成的合力。在计算机时代，最重要的是系统本身的安全性。尽管包括手机在内的移动设备的安全性远远高于计算机，但在云集成的移动时代，最重要的是用户账户系统和数据的安全性。要做好保护工作，光做好系统安全是远远不够的，这需要手机制造商、应用开发商和网络安全研究者的合作。

这也是管理部门的想法。李佳表示，在此次事件中发挥作用的国家信息安全共享平台就是基于“建立共享信息安全漏洞知识库”的目的而诞生的。“目前，联合国主要信息系统单位中有60个技术组合、用户群体和成员单位，如基础电信运营商、安全供应商、软件供应商和相关的互联网企业。我们分享发现的漏洞，并及时报告新闻。截至目前，软硬件产品漏洞已超过10万个，特定事件漏洞超过30万个，党政机关和重要信息系统漏洞超过6.9万个。

防范各种形式的网络风险

不要试图用旧地图航行

“应用克隆”是一个漏洞，在它变得有害之前就被发现了。著名安全专家、网络安全供应商rsa前总裁Amit？莫兰有句名言:“在新的网络安全威胁形势下，守军就像旧地图一样在海上航行。”新硬件、新技术、新服务的出现和交叉融合，催生了新的面孔，带来了新的风险。

比如硬件风险。刚才宣布的cpu硬件漏洞就属于这种风险，这实际上是一种设计漏洞，比如绘制错误的蓝图。即使这种风险在操作系统方面得到了保护，也不会有什么帮助。此外，还有数以亿计的物联网设备，如智能盒、安全摄像头、家庭路由器等。，在2017年暴露了它们的潜在威胁，如芯片执行漏洞、流量劫持漏洞和蓝牙蠕虫漏洞。随着网络设备的指数级增长，2018年物联网设备的安全威胁将会越来越大。

此外，还有针对人工智能的攻击。加州大学伯克利分校的宋晓东教授说，两张一模一样的熊猫照片，一张被神经网络正确识别为“熊猫”，另一张被神经网络识别为“长臂猿”，置信度为99.3%，因为照片中加入了人眼难以察觉的微小干扰。这是一个可以“愚弄”人工智能的对抗样本。“用反样本攻击人工智能实际上是从核心算法层面攻击它。可以想象，一旦无人驾驶车辆识别出对抗样本修改的交通标志，将会带来严重的后果。幸运的是，从目前的角度来看，自主驾驶的对抗样本非常有抵抗力。”宋晓东说道。

傅表示，工业和信息化部发布的《公共互联网网络安全威胁监测与处置办法》提出了及时发现、科学判断的原则，鼓励安全企业、互联网企业和技术应用企业提交研发成果。同时，我们鼓励有能力的企业，包括国家互联网应急中心和其他科研机构，及时研究和判断发现的问题，准确识别，并在此基础上进一步处理。(《经济日报》？中国经济网记者陈静)