点击一条手机短信，自己的手机支付宝账户就被“克隆”到他人的手机中，对方还可以任意查看自己的账户信息，并可进行消费——昨天，腾讯玄武安全研究团队发布了这一存在在国内许多主流安卓APP中的手机漏洞，并给出了修复方案。目前，支付宝已在一个月前对App进行了升级，修复了这一安卓漏洞。国家互联网应急中心表示，已向涉及到的企业发送安全通报，目前仍有10家厂商未能反馈修复情况。

 

    腾讯安全玄武实验室负责人于旸（TK教主）表示，该攻击模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。 

 

    在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。 

 

    你在手机上点击一个网站链接，可以看到一个看上去正常的支付宝抢红包页面，但你一旦点击，噩梦就此开始。账户一秒钟就被“克隆”到“攻击者”的手机中，攻击者借此完全可以任意查看用户信息，并用你的支付宝消费。

 

    这是当前利用漏洞传递恶意代码的一种典型方式。TK教主称，在手机上点击恶意链接，有漏洞的应用就会被完全控制。TK教主在回答记者提问时表示，这种攻击短信它本身用户应该是无从分辨的，看起来跟其他的短信应该没有什么区别。有可能攻击者不在你的好友通讯录名单里面，可能你拿到的是一个未知号码，由此引起警惕。 

 

    发现这些漏洞之后，腾讯安全玄武实验室通过CNCERT向厂商报告了相关漏洞，并提供了修复方法。但考虑到相关问题影响之广，难以将相关信息逐个通知给所有移动应用开发商，所以通过新闻发布会希望更多移动应用开发商了解该问题并进行自查。同时，玄武实验室将提供“玄武支援计划”协助处理。同时于旸还指出，移动互联网时代的安全形势更加复杂，只有真正用移动思维来思考移动安全，才能正确评估安全问题的风险。

 

    国家互联网应急中心网络安全处副处长李佳表示，国家信息安全漏洞共享平台（CNVD）在获取到漏洞的相关情况之后：首先，安排了相关的技术人员对漏洞进行了验证，并且为漏洞分配了漏洞编号CNE201736682；同时，CNVD向这次漏洞涉及到的27家APP相关企业，发送了点对点的漏洞安全通报，同时向各个企业提供了漏洞的详细情况以及建立了修复方案。

 

　李佳称，在发出通报后不久，CNVD就收到了包括支付宝、百度外卖、国美等等大部分APP的主动反馈，表示他们已经在修复漏洞进程中，目前一些APP已经修复。不过截止到前天，尚有10家厂商仍未反馈漏洞情况，其中包括：饿了么、聚美优品、豆瓣、易车、铁友火车票、微店等。李佳希望，上述厂商切实加强网络安全运营能力，落实网络安全法规的主体责任要求；当本公司的产品出现了重大的安全漏洞或者隐患的时候能够第一时间进行响应和解决修复，能够切实地维护和保障广大用户的权利。

 

     随着腾讯安全联合实验室在反诈骗、反病毒、漏洞安全、云安全、车联网、网络安全人才建设、技术研究等领域将持续输出能力，赋能行业、企业，将进一步推动互联网安全生态的快速发展。