27款主流安卓APP高危漏洞，可复制账户盗刷资金

2018年注定会是网络安全事件频发的一年，这才刚开年，就已经连续有多个安全漏洞被曝出。先是Intel芯片漏洞波及所有PC和手机，使整个IT产业陷入紧张气氛，而现在，国内出现了更令人吃惊的漏洞——

27款主流App存在“应用克隆”风险：

只要点击了别人发送的恶意链接，你的手机应用就会被克隆到攻击者的手机上，而无需你的任何操作。

克隆应用似乎没什么杀伤力，毕竟应用市场里面随便下载，它还有什么威力呢——

这种攻击不但克隆你的应用，还连同你的账户及付款二维码一并克隆过去。

但是这又会怎样呢？

经常使用移动支付的细心用户可能会发现，移动支付应用时常会提醒你——不要随便把你的付款二维码给别人，因为只要别人掌握你的付款二维码，就可以随意刷走你账户里的资金。

在这种针对安卓手机用户的攻击中，攻击者向用户发送恶意短信或恶意微信链接，链接预览是一个正常的抢红包的网页，但就是一个“点击”的操作，你的应用就可以瞬间被克隆到攻击者的手机上，以实现隐蔽式盗刷。

不仅是资金账户受威胁，国家信息安全漏洞共享平台(CNVD)还表示：

攻击者利用该漏洞，可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息)，还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对App用户账户的完全控制。由于该组件广泛应用于安卓平台，导致大量App受影响，构成较为严重的攻击威胁。

国家信息安全漏洞共享平台发布公告

有专家比喻说：

“这就像过去想进入你的酒店房间，需要把锁弄坏，但现在的方式是复制了一张你的酒店房卡，不但能随时进出，还能以你的名义在酒店消费。”

经过实验证明，这项漏洞只对安卓系统有效，尽管如此，杀伤力也十分巨大，根据Kantar去年发布的智能手机市场系统分布报告显示，在中国，安卓手机的市场占有量超过83%。

而在攻击实验中，研究人员发现，“应用克隆”对大多数移动应用都有效，漏洞至少涉及国内安卓应用市场十分之一的APP，如支付宝、饿了么等多个主流APP均存在漏洞，由此看来，该漏洞几乎影响国内所有安卓用户。

对这项漏洞，网警是这样解释的：

“之所以会出现这种危险，是由于安卓手机系统的一个WebView控件存在高危漏洞，而这个WebView控件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。”（来源：珠报融媒）

所幸，经国家信息安全漏洞共享平台发布漏洞公告之后，包括支付宝、百度外卖，国美在内的几大主流APP很快发布了产品升级，使漏洞无法被利用。

既然是安卓应用的漏洞，为什么国外APP就没有相似事件呢？研究人员称，这次发现的漏洞并不是新型漏洞，而是多个已知漏洞组成的联合风险，尽管国内开发人员正在尽量避免已知漏洞本身带来的风险，但却忽略了联合风险，才导致此次漏洞的形成。

由此看来，国内厂商和开发者，在安全意识上和国外同行相比确实有一定差距。

这也凸显了一个问题：

在互联网时代，系统本身的安全是一方面，但移动应用的安全也是重要的另一方面，任何一方的安全状况出现问题，都可能牵一发而动全身，甚至发生严重的安全问题。

作为用户，无法完全预见这些层面的安全问题，但良好的使用习惯也能规避许多安全风险：

• 不明链接尽量不要点击

• 不明二维码尽量不要扫

• 定期升级系统和官方应用

• 使用有加密功能的软件保护私密信息