原標(biāo)題：冷汗！安卓系統(tǒng)曝“致命”漏洞：別人可以拿自己的手機(jī)，偷刷你的錢！

　　隨著新年到來，小伙伴們開始頻繁地收發(fā)紅包，有朋友間的互送，也有商家的推廣活動(dòng)。

　　可你有沒有想過，哪天當(dāng)你點(diǎn)開一個(gè)紅包鏈接，自己的支付寶信息瞬間在另一個(gè)手機(jī)上被“克隆”了？而別人可以像你一樣使用該賬號(hào)，包括掃碼支付。

　　這種克隆攻擊到底有多大危害？大家又該怎樣防止被克隆呢？

　　就在9號(hào)下午，一種針對(duì)安卓手機(jī)操作系統(tǒng)的新型攻擊危險(xiǎn)被公布，這種“攻擊”能瞬間把你手機(jī)的應(yīng)用，克隆到攻擊者的手機(jī)上，并克隆你的支付二維碼，進(jìn)行隱蔽式盜刷。

　　瞬間克隆手機(jī)應(yīng)用 花你的錢不用商量

　　攻擊者向用戶發(fā)短信，用戶點(diǎn)擊短信中的鏈接，用戶在自己的手機(jī)上看到的是一個(gè)真實(shí)的搶紅包網(wǎng)頁，攻擊者則已經(jīng)在另一臺(tái)手機(jī)上完成了克隆支付寶賬戶的操作。賬戶名用戶頭像完全一致。

　　央視財(cái)經(jīng)記者在現(xiàn)場借到了一部手機(jī)，經(jīng)過手機(jī)機(jī)主的同意，記者決定試一下“克隆攻擊”是不是真實(shí)存在。 

　　記者發(fā)現(xiàn)，中了克隆攻擊之后，用戶這個(gè)手機(jī)應(yīng)用中的數(shù)據(jù)被神奇地復(fù)制到了攻擊者的手機(jī)上，兩臺(tái)手機(jī)看上去一模一樣。那么，這臺(tái)克隆手機(jī)能不能正常的消費(fèi)呢？記者到商場進(jìn)行了簡單的測試。 

　　通過克隆來的二維碼，記者在商場輕松地掃碼消費(fèi)成功。記者在被克隆的手機(jī)上看到，這筆消費(fèi)已經(jīng)悄悄出現(xiàn)在支付寶賬單中。

　　因?yàn)樾☆~的掃碼支付不需要密碼，一旦中了克隆攻擊，攻擊者就完全可以用自己的手機(jī)，花別人的錢。 

　　網(wǎng)絡(luò)安全工程師告訴記者，和過去的攻擊手段相比，克隆攻擊的隱蔽性更強(qiáng)，更不容易被發(fā)現(xiàn)。因?yàn)椴粫?huì)多次入侵你的手機(jī)，而是直接把你的手機(jī)應(yīng)用里的內(nèi)容搬出去，在其他地方操作。 和過去的攻擊手段相比，克隆攻擊的隱蔽性更強(qiáng)，更不容易被發(fā)現(xiàn)。

　　“應(yīng)用克隆”有多可怕？

　　“應(yīng)用克隆”的可怕之處在于：和以往的木馬攻擊不同，它實(shí)際上并不依靠傳統(tǒng)的木馬病毒，也不需要用戶下載“冒名頂替”常見應(yīng)用的“李鬼”應(yīng)用。

　　騰訊相關(guān)負(fù)責(zé)人比喻：“這就像過去想進(jìn)入你的酒店房間，需要把鎖弄壞，但現(xiàn)在的方式是復(fù)制了一張你的酒店房卡，不但能隨時(shí)進(jìn)出，還能以你的名義在酒店消費(fèi)。”

　　騰訊安全玄武實(shí)驗(yàn)室研究員 王永科表示，攻擊者可以在他的手機(jī)上完全地操作賬戶，包括查看隱私信息，甚至還可以盜用里面的錢財(cái)。

　　智能手機(jī)，在我們生活中扮演的角色越來越重要。我們的手機(jī)里不僅有我們的個(gè)人信息，還能實(shí)現(xiàn)預(yù)定、消費(fèi)、甚至支付等各種活動(dòng)。這種克隆攻擊有多大危害？大家又該怎樣防止被克隆呢？

　　騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人 于旸介紹，攻擊者完全可以把與攻擊相關(guān)的代碼，隱藏在一個(gè)看起來很正常的頁面里面，你打開的時(shí)候，你肉眼看見的是正常的網(wǎng)頁，可能是個(gè)新聞、可能是個(gè)視頻、可能是個(gè)圖片，但實(shí)際上攻擊代碼悄悄的在后面執(zhí)行。

　　專家表示，只要手機(jī)應(yīng)用存在漏洞，一旦點(diǎn)擊短信中的攻擊鏈接，或者掃描惡意的二維碼，APP中的數(shù)據(jù)都可能被復(fù)制。

　　騰訊經(jīng)過測試發(fā)現(xiàn)，“應(yīng)用克隆”對(duì)大多數(shù)移動(dòng)應(yīng)用都有效，在200個(gè)移動(dòng)應(yīng)用中發(fā)現(xiàn)27個(gè)存在漏洞，比例超過10%。

　　騰訊安全玄武實(shí)驗(yàn)室此次發(fā)現(xiàn)的漏洞至少涉及國內(nèi)安卓應(yīng)用市場十分之一的APP，如支付寶、餓了么等多個(gè)主流APP均存在漏洞，所以該漏洞幾乎影響國內(nèi)所有安卓用戶。

　　目前，“應(yīng)用克隆”這一漏洞只對(duì)安卓系統(tǒng)有效，蘋果手機(jī)則不受影響。另外，騰訊表示目前尚未有已知案例利用這種途徑發(fā)起攻擊。

　　現(xiàn)場展示：

　　攻擊者向用戶發(fā)一個(gè)短信，包含一個(gè)鏈接，用戶收到了短信，點(diǎn)擊一下短信中的鏈接，用戶看起來是打開了一個(gè)正常的攜程頁面，此時(shí)攻擊者已經(jīng)完整的克隆了用戶。所有的個(gè)人隱私信息，這個(gè)賬戶都可以查看到的。 

　　就在昨晚，國家信息安全漏洞共享平臺(tái)發(fā)布公告稱，安卓 WebView控件存在跨域訪問漏洞。網(wǎng)絡(luò)安全工程師告訴記者，如果現(xiàn)在把安卓操作系統(tǒng)和所有的手機(jī)應(yīng)用都升級(jí)到最新版本，大部分的應(yīng)用就可以避免克隆攻擊。

　　用戶如何進(jìn)行防范？

　　普通用戶最關(guān)心的則是如何能對(duì)這一攻擊方式進(jìn)行防范。知道創(chuàng)宇404實(shí)驗(yàn)室負(fù)責(zé)人回答本報(bào)記者提問時(shí)表示，普通用戶的防范比較頭疼，但仍有一些通用的安全措施：

　　一是別人發(fā)給你的鏈接少點(diǎn)，不太確定的二維碼不要出于好奇去掃；

　　更重要的是，要關(guān)注官方的升級(jí)，包括你的操作系統(tǒng)和手機(jī)應(yīng)用，真的需要及時(shí)升級(jí)。

　　漏洞：尚未形成危害就被捕捉

　　一個(gè)令人吃驚的事實(shí)是，這一攻擊方式并非剛剛被發(fā)現(xiàn)。騰訊相關(guān)負(fù)責(zé)人表示：“整個(gè)攻擊當(dāng)中涉及的每一個(gè)風(fēng)險(xiǎn)點(diǎn)，其實(shí)都有人提過。”

　　那么為什么這種危害巨大的攻擊方式此前卻既未被安全廠商發(fā)覺，也未有攻擊案例發(fā)生？

　　“這是新的多點(diǎn)耦合產(chǎn)生的漏洞。”該負(fù)責(zé)人打了一個(gè)比喻，“這就像是網(wǎng)線插頭上有個(gè)凸起，結(jié)果路由器在插口位置上正好設(shè)計(jì)了一個(gè)重置按鈕。“

　　網(wǎng)線本身沒有問題，路由器也沒有問題，但結(jié)果是你一插上網(wǎng)線，路由器就重啟。多點(diǎn)耦合也是這樣，每一個(gè)問題都是已知的，但組合起來卻帶來了額外風(fēng)險(xiǎn)。”

　　多點(diǎn)耦合的出現(xiàn)，其實(shí)正意味著網(wǎng)絡(luò)安全形勢(shì)的變化。硬幣的一面是漏洞“聯(lián)合作戰(zhàn)”的“乘法效應(yīng)”，另一面則是防守者們形成的合力。

　　在移動(dòng)時(shí)代，最重要的是用戶賬號(hào)體系和數(shù)據(jù)的安全。而保護(hù)好這些，光搞好系統(tǒng)自身安全遠(yuǎn)遠(yuǎn)不夠，需要手機(jī)廠商、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者等多方攜手。