安卓系統被曝大漏洞！瞬間能夠克隆你的手機 進行隱蔽式盜刷

隨著新年到來，小伙伴們開始頻繁地收發紅包，有朋友間的互送，也有商家的推廣活動。

可你有沒有想過，哪天當你點開一個紅包鏈接，自己的支付寶信息瞬間在另一個手機上被“克隆”了?而別人可以像你一樣使用該賬號，包括掃碼支付。

這種克隆攻擊到底有多大危害?大家又該怎樣防止被克隆呢?

就在9號下午，一種針對安卓手機操作系統的新型攻擊危險被公布，這種“攻擊”能瞬間把你手機的應用，克隆到攻擊者的手機上，并克隆你的支付二維碼，進行隱蔽式盜刷。

瞬間克隆手機應用花你的錢不用商量

攻擊者向用戶發短信，用戶點擊短信中的鏈接，用戶在自己的手機上看到的是一個真實的搶紅包網頁，攻擊者則已經在另一臺手機上完成了克隆支付寶賬戶的操作。賬戶名用戶頭像完全一致。

央視財經記者在現場借到了一部手機，經過手機機主的同意，記者決定試一下“克隆攻擊”是不是真實存在。

記者發現，中了克隆攻擊之后，用戶這個手機應用中的數據被神奇地復制到了攻擊者的手機上，兩臺手機看上去一模一樣。那么，這臺克隆手機能不能正常的消費呢?記者到商場進行了簡單的測試。

通過克隆來的二維碼，記者在商場輕松地掃碼消費成功。記者在被克隆的手機上看到，這筆消費已經悄悄出現在支付寶賬單中。

因為小額的掃碼支付不需要密碼，一旦中了克隆攻擊，攻擊者就完全可以用自己的手機，花別人的錢。

網絡安全工程師告訴記者，和過去的攻擊手段相比，克隆攻擊的隱蔽性更強，更不容易被發現。因為不會多次入侵你的手機，而是直接把你的手機應用里的內容搬出去，在其他地方操作。和過去的攻擊手段相比，克隆攻擊的隱蔽性更強，更不容易被發現。

“應用克隆”有多可怕？

“應用克隆”的可怕之處在于：和以往的木馬攻擊不同，它實際上并不依靠傳統的木馬病毒，也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用。

騰訊相關負責人比喻：“這就像過去想進入你的酒店房間，需要把鎖弄壞，但現在的方式是復制了一張你的酒店房卡，不但能隨時進出，還能以你的名義在酒店消費。”

騰訊安全玄武實驗室研究員王永科表示，攻擊者可以在他的手機上完全地操作賬戶，包括查看隱私信息，甚至還可以盜用里面的錢財。

智能手機，在我們生活中扮演的角色越來越重要。我們的手機里不僅有我們的個人信息，還能實現預定、消費、甚至支付等各種活動。這種克隆攻擊有多大危害?大家又該怎樣防止被克隆呢?

騰訊安全玄武實驗室負責人于旸介紹，攻擊者完全可以把與攻擊相關的代碼，隱藏在一個看起來很正常的頁面里面，你打開的時候，你肉眼看見的是正常的網頁，可能是個新聞、可能是個視頻、可能是個圖片，但實際上攻擊代碼悄悄的在后面執行。

專家表示，只要手機應用存在漏洞，一旦點擊短信中的攻擊鏈接，或者掃描惡意的二維碼，APP中的數據都可能被復制。

騰訊經過測試發現，“應用克隆”對大多數移動應用都有效，在200個移動應用中發現27個存在漏洞，比例超過10%。

騰訊安全玄武實驗室此次發現的漏洞至少涉及國內安卓應用市場十分之一的APP，如支付寶、餓了么等多個主流APP均存在漏洞，所以該漏洞幾乎影響國內所有安卓用戶。

目前，“應用克隆”這一漏洞只對安卓系統有效，蘋果手機則不受影響。另外，騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。

現場展示：

攻擊者向用戶發一個短信，包含一個鏈接，用戶收到了短信，點擊一下短信中的鏈接，用戶看起來是打開了一個正常的攜程頁面，此時攻擊者已經完整的克隆了用戶。所有的個人隱私信息，這個賬戶都可以查看到的。

就在昨晚，國家信息安全漏洞共享平臺發布公告稱，安卓WebView控件存在跨域訪問漏洞。網絡安全工程師告訴記者，如果現在把安卓操作系統和所有的手機應用都升級到最新版本，大部分的應用就可以避免克隆攻擊。

用戶如何進行防范？

普通用戶最關心的則是如何能對這一攻擊方式進行防范。知道創宇404實驗室負責人回答本報記者提問時表示，普通用戶的防范比較頭疼，但仍有一些通用的安全措施：

一是別人發給你的鏈接少點，不太確定的二維碼不要出于好奇去掃;

更重要的是，要關注官方的升級，包括你的操作系統和手機應用，真的需要及時升級。

漏洞：尚未形成危害就被捕捉

一個令人吃驚的事實是，這一攻擊方式并非剛剛被發現。騰訊相關負責人表示：“整個攻擊當中涉及的每一個風險點，其實都有人提過。”

那么為什么這種危害巨大的攻擊方式此前卻既未被安全廠商發覺，也未有攻擊案例發生?

“這是新的多點耦合產生的漏洞。”該負責人打了一個比喻，“這就像是網線插頭上有個凸起，結果路由器在插口位置上正好設計了一個重置按鈕。“

網線本身沒有問題，路由器也沒有問題，但結果是你一插上網線，路由器就重啟。多點耦合也是這樣，每一個問題都是已知的，但組合起來卻帶來了額外風險。”

多點耦合的出現，其實正意味著網絡安全形勢的變化。硬幣的一面是漏洞“聯合作戰”的“乘法效應”，另一面則是防守者們形成的合力。

在移動時代，最重要的是用戶賬號體系和數據的安全。而保護好這些，光搞好系統自身安全遠遠不夠，需要手機廠商、應用開發商、網絡安全研究者等多方攜手。