国内安全机构发现应用克隆漏洞 影响国内所有安卓用户

今日，国内安全机构披露，检测发现国内安卓应用市场十分之一的App存在漏洞而容易被进行“应用克隆”攻击，甚至国内用户上亿的多个主流App均存在这类漏洞，几乎影响国内所有安卓用户。

国家信息安全漏洞共享平台(CNVD)表示，攻击者利用该漏洞，可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息)，还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对App用户账户的完全控制。由于该组件广泛应用于安卓平台，导致大量App受影响，构成较为严重的攻击威胁。

腾讯安全玄武实验室负责人于旸表示，该“应用克隆”的移动攻击威胁模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。

“传统的利用软件漏洞进行攻击的思路，一般是先用漏洞获得控制，再植入后门。好比想长期进出你酒店的房间，就要先悄悄尾随你进门，再悄悄把锁弄坏，以后就能随时进来。现代移动操作系统已经针对这种模式做了防御，不是说不可能再这样攻击，但难度极大。如果我们换一个思路：进门后，找到你的酒店房卡，复制一张，就可以随时进出了。不但可以随时进出，还能以你的名义在酒店里消费。目前，大部分移动应用在设计上都没有考虑这种攻击方式。”于旸说。

基于该攻击模型，腾讯安全玄武实验室以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10%。

国家互联网应急中心网络安全处副处长李佳表示，在获取到漏洞的相关情况之后，中心安排了相关的技术人员对漏洞进行了验证，并且也为漏洞分配了漏洞编号(CVE201736682)，于2017年12月10号向27家具体的App发送了漏洞安全通报，提供漏洞详细情况及建立了修复方案。目前有的App已经有修复了，有的还没有修复。