“支付宝账户一秒钟被“克隆” 腾讯安全玄武实验室发现大漏洞”

【注意者网tmt报道】曾经克隆过别人的应用程序，实现了刷自己的手机。 花别人的钱是幻想。 但是，现在这个幻想已经成为现实。 1月9日，腾讯安全玄武实验室联合获悉创宇404实验室，在举办的移动安全技术研究联合发布会上正式公开了克隆这一移动攻击威胁模型。

/ S2 /支付宝( Alipay )将克隆一秒钟

在发布会现场，玄武实验室以支付宝( Alipay )应用为例，展示了应用克隆攻击的效果。 是升级到最新安卓8.1.0的手机，利用应用自身的漏洞，攻击者向客户发送了包含恶意链接的手机消息。 客户点击后，其支付宝( Alipay )账户将在一秒钟内克隆到攻击者的手机上，攻击者可以自由查看客户账户的新闻，从而增加费用。 我们知道支付宝( Alipay )目前正在用最新版本修复这个漏洞。

腾讯安全玄武实验室负责人于旸表示，应用克隆攻击模型是基于移动应用的基本设计优势，因此大部分移动应用都会应用该攻击模型。 此漏洞使攻击者可以轻松克隆客户帐户、窃取隐私新闻、窃取帐户和资金。

玄武实验室此次通过安全检查，在200个移动应用中发现27个漏洞，比例超过10%。 在支付宝( Alipay )、座椅跳闸、饿了么等众多主流应用发现这些漏洞后，腾讯安全玄武实验室通过国家网应急中心( cncert )向厂商通报相关情况，提出修复方案，防止其漏洞被不法分子利用。 据旸介绍，目前外部应该没有漏洞的已知利用。

移动时代需要更加重视安全

在发布会上，于旸指出，近十多年来，操作系统不断处于攻防之中。 安全人员和攻击者，在这场交战中，双方各自迅速发展了许多技术。 但是，在现在的移动网络时代，pc时代的安全思考还不够。 例如，pc时代的大楼d漏洞攻击大多利用漏洞传递恶意代码，但随着技术的飞速发展，这种攻击变得困难起来，伪装诈骗再次成为主流。

旸用类比说明了两者的区别。 以前流传的利用软件漏洞进行攻击的想法，通常先由漏洞控制，然后嵌入后门。 比如，如果你想长时间出入你酒店的房间，可以安静地跟踪你，然后安静地弄坏钥匙，稍后随时进来。 现代移动操作系统与这种模式相比是防御的，虽然不可能再攻击了，但是难度极大。 如果换个思路，进门后，找到你酒店的房卡，复印一下，随时可以进出。 不仅可以随时出入，还可以以你的名义在酒店花费。

于旸认为，移动时代的安全问题更多、更复杂，涉及的方面也越来越多。 手机制造商、应用开发者、网络安全研究者等多方合作，需要共同重视，在pc时代，最重要的是系统自身的安全。 虽然移动设备系统本身的安全性要比pc高得多，但在云一体化的移动时代，最重要的实际上是客户账户体系和数据的安全性。 他说，为了保护这些，仅仅确保系统自身的安全是不够的。

404实验室负责人周景平也呼吁提高对移动安全的重视。 安全(问题)无论大小，有人觉得风险点小，也有人觉得某个风险点不解决也没关系。 但他说，实际上在一个风险a上增加另一个风险b时，这可能风险很大。

腾讯安全发表白皮书[/s2/]

在此次发布会上，腾讯副总裁马斌发表了《腾讯安全前沿技术研究白皮书》，全面盘点了当前中国面临的安全形势，以及腾讯安全联合实验室在科技创新、人才建设等方面的成果，首次披露了腾讯安全联合实验室成立以来的十大安全研究成果。

目前，腾讯安全联合实验室旗下有科恩、玄武、湛泸州、云鼎、反病毒、反欺诈、移动安全七大实验室。

年，以全球首个无远程物理接触的方式入侵特斯拉汽车研究成果，腾讯安全联合实验室科恩实验室获得了特斯拉政府的最高奖励和荣誉。 另外，在反诈骗行业，腾讯安全反诈骗实验室利用公安部、运营商等相关合作伙伴联合推出的卫士计划，利用反诈骗智能脑等新技术武器，精准打击诈骗黑产，保障客户资金安全。 另外，在年上半年的wannacry、暗云ⅲ等病毒事件中，腾讯安全反病毒实验室、腾讯安全云鼎实验室联合客户网络安全、云安全快速制定防御方案，作为威胁病毒的免疫工具、文档关键词。

这次发表了应用克隆脆弱性利用方法的玄武实验室，在业界有脆弱性挖掘机的称号。 年中，腾讯安全玄武实验室和腾讯安全联合实验室旗下其他6家实验室合作，累计向微软、苹果、谷歌、Adobi四大国际顶级厂商提出269个漏洞，居国内首位。 年5月的adobe reader安全公告中，由于不重复包含32个玄武实验室报告的漏洞，创造了该产品历史上单一公告中漏洞最多的记录。 在发现克隆攻击技术应用之前，腾讯安全玄武实验室与条形码读取器的badbarcode研究相比，揭示了影响全领域近20年的重大安全隐患，得到国际安全界的关注和赞誉，为此获得witawards年度最佳研究成果奖。

本文：《“支付宝账户一秒钟被“克隆” 腾讯安全玄武实验室发现大漏洞”》