【观察者网TMT报道】曾几何时，“克隆别人的应用，从而实现刷自己的手机，花别人的钱”只是一种幻想。但如今，这种幻想已经成为现实。1月9日，腾讯安全玄武实验室联合知道创宇404实验室，在召开的移动安全技术研究联合发布会上正式披露了“应用克隆”这一移动攻击威胁模型。

支付宝一秒钟被克隆

在发布会现场，玄武实验室以支付宝APP为例展示了“应用克隆”攻击的效果：在升级到最新安卓8.1.0的手机上，利用APP自身的漏洞，“攻击者”向用户发送一条包含恶意链接的手机短信。用户一旦点击，其支付宝账户一秒钟就被“克隆”到“攻击者”的手机中，然后“攻击者”就可以任意查看用户账户信息，并可进行消费。据了解，支付宝目前已经在最新版本中修复了该漏洞。

据腾讯安全玄武实验室负责人于旸介绍，“应用克隆”攻击模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。通过该漏洞，攻击者可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。

玄武实验室负责人于旸

玄武实验室此次通过安全检查，在200个移动应用中发现27个存在漏洞，比例超过10%。涉及支付宝、携程、饿了么等多个主流APP在发现这些漏洞后，腾讯安全玄武实验室通过国家互联网应急中心（CNCERT）向厂商通报了相关信息，并给出了修复方案，避免该漏洞被不法分子利用。于旸表示，目前外界应该没有对漏洞已知的利用。

移动时代更需重视安全

在发布会上，于旸指出，近十几年来，操作系统在不断的攻防对抗当中。安全工作者和攻击者，在这种交锋当中，双方各自发展出了很多的技术。但在目前的移动互联网时代，用PC时代的安全思维是不够的。例如，PC时代的楼d漏洞攻击往往利用漏洞投递恶意代码，但随着技术的发展，这种攻击变得困难，伪装欺骗再次成为主流。

于旸用类比来说明两者的不同：“传统的利用软件漏洞进行攻击的思路，一般是先用漏洞获得控制，再植入后门。好比想长期进出你酒店的房间，就要先悄悄尾随你进门，再悄悄把锁弄坏，以后就能随时进来。现代移动操作系统已经针对这种模式做了防御，不是说不可能再这样攻击，但难度极大。如果我们换一个思路：进门后，找到你的酒店房卡，复制一张，就可以随时进出了。不但可以随时进出，还能以你的名义在酒店里消费。

于旸认为，移动时代的安全问题更加复杂多变，涉及的方面也更多。需要手机厂商、应用开发商、网络安全研究者等多方携手，共同重视，“在PC时代，最重要的是系统自身的安全。而移动设备系统自身的安全性比PC要高很多，但在端云一体的移动时代，最重要的其实是用户账号体系和数据的安全。而要保护好这些，光搞好系统自身安全是不够的，”他说。

404实验室负责人周景平也呼吁大家提高对大家对移动安全的重视，“安全（问题）无论大小，有的觉得风险点很小或者说某个风险点不处理也无所谓。但是实际上当一个风险A再加一个风险B的时候，那可能风险就比较大了，”他说。

腾讯安全发布白皮书

在此次发布会上，腾讯副总裁马斌发布了《腾讯安全前沿技术研究白皮书》，对目前中国面临的安全形势，以及腾讯安全联合实验室在科技创新、人才建设等方面的成果进行了全面盘点，并首次披露了腾讯安全联合实验室成立以来的十大安全研究成果。

目前，腾讯安全联合实验室旗下拥有科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全七大实验室。

2016年，凭借“全球首次远程无物理接触方式入侵特斯拉汽车”研究成果，腾讯安全联合实验室科恩实验室获得特斯拉官方最高奖励及荣誉。同时，在反诈骗领域，腾讯安全反诈骗实验室携手公安部、运营商等相关合作伙伴共同推出的“守护者计划”，利用“反诈骗智慧大脑”等新技术武器，精准打击诈骗黑产，保障用户资金安全。另外，在2017年上半年的“WannaCry”、“暗云Ⅲ”等病毒事件中，腾讯安全反病毒实验室、腾讯安全云鼎实验室共同针对用户网络安全、云端安全迅速制定防御方案，并开发出包括勒索病毒免疫工具、文档守护者、云镜等多款工具，第一时间降低了国内用户和企业的网络安全风险。

此次发布“应用克隆”漏洞利用方式的玄武实验室，在业内素有“漏洞挖掘机”称号。2016年中，腾讯安全玄武实验室和腾讯安全联合实验室旗下的其他六大实验室相互配合，累计为微软、苹果、谷歌、Adobe四大国际顶尖厂商提交漏洞269个，位居国内首位。2016 年 5 月的 Adobe Reader 安全公告中更是一次性包含了 32 个玄武实验室报告的漏洞，从而创下了该产品历史上单个公告中报告漏洞最多的纪录。在发现应用克隆攻击技术之前，腾讯安全玄武实验室还针对条码阅读器的“BadBarcode”研究揭示了影响整个行业的存在了近二十年的重大安全隐患，得到国际安全界的广泛关注和称誉，并因此荣获 WitAwards“年度最佳研究成果”奖。