1月9日, 腾讯安全玄武实验室宣布, 新近发现了一种新型的移动攻击威胁模型, 并将其命名为 '应用克隆' . 发布会上, 玄武实验室以支付宝APP为例展示了 '应用克隆' 攻击的 '效果' : 在升级到最新安卓8.1.0的手机上, '攻击者' 向用户发送一条包含恶意链接的手机短信, 用户一旦点击, 其支付宝账户瞬间就被 '克隆' 到 '攻击者' 的手机中, 然后 '攻击者' 在自己手机上可以任意查看用户账户信息, 并可进行消费.
值得一提的是, 存在 '应用克隆' 漏洞的并非支付宝APP一家, 玄武实验室负责人于旸指出, 大量主流APP都存在该漏洞, 玄武实验室检测了国内安卓系统中的200个知名APP, 其中27家存在该漏洞, 占比超过13%, 其中包括聚美优品, 国美, 墨迹天气, 一点资讯, 携程, 百度外卖, 京东到家, 饿了么, WiFi万能钥匙, 小米生活, 同程旅游, 百度旅游, 豆瓣, 驴妈妈, 赶集网, 易车, 咕咚, 虎扑等.
对此, 有业界人士指出, 这些知名APP的技术团队实力都较强, 况且如此, 数量更为庞大非一线APP, 存在漏洞的比例应该只高不低, 如果不采取紧急措施, 在网络领域发生 '黑天鹅' 的比例, 甚至要远高于资本市场.
由于并非个例且事关重大, 玄武实验室于2017年12月7日将上述27家APP的漏洞情况上报到国家信息安全漏洞共享平台 (CNVD) . CNVD随即安排相关技术人员对漏洞进行了验证并分配了漏洞编号 (CNE201736682) . 12月10日, CNVD向漏洞涉及的27家APP发送了点对点的漏洞安全通报, 同时提供了漏洞的详细情况及建立了修复方案.
国家互联网应急中心网络安全处副处长李佳表示: '今天, 我想代表国家互联网应急中心和CNVD对玄武实验室所做的工作表示感谢. 玄武实验室这些年来已经向我们CNVD平台报送了超过190起的通用软件漏洞. 这次玄武实验室发现的新型病毒对安卓系统的一种攻击方式, 可以说影响范围特别大, 危害也是巨大的, 刚才通过相关的演示也看到了. 玄武实验室在第一时间向我们平台报送了相关的漏洞, 可以说为我们对相关的事件应急响应提供了宝贵的时间' .
尽管CNVD已于12月10日对27家APP进行了点对点的通报, 不过, 截至发布会召开时, 时隔1个月, 还有不少APP未修复漏洞或未予反馈. '发出通报后不久, CNVD就收到了支付宝, 百度外卖, 国美等大部分APP的反馈, 表示他们已经在修复漏洞' , 李佳表示, '由于各个团队的技术能力有差距, 目前有的APP已经修复漏洞了, 有的APP还没有修复. 截至到1月8日, 还没有收到反馈的APP包括京东到家, 饿了么, 聚美优品, 豆瓣, 易车, 铁友火车票, 虎扑, 微店等10家厂商. 在此, 也希望这10家没有及时反馈的企业切实加强网络安全运营能力, 落实网络安全法规的主体责任要求' .
作为被举例演示的APP,记者从支付宝相关负责人处了解到, 支付宝已在一个月前对APP进行了升级, 修复了这一安卓漏洞, 支付宝用户的账户安全不会受到影响.
不过, 令人费解的是, 此番被点名的10家APP中, 多家APP在接受记者采访时表示, 并未获得来自CNVD有关该漏洞的通知. 同时亦表示, 如果获得了通知, 肯定会积极反馈和修复.
需要提及的是, 此前勒索病毒之所以能在短时间内波及全球, 其中一个重要原因就是警示信息沟通不及时.
受精力所限, 此次玄武试验室只是选取了较为知名的200个APP进行了测试, 且13%存在 '应用克隆' 漏洞. 不难想见, 还有大量存在漏洞的APP在 '裸奔' , 使用这些APP的用户的手机随时可能遭到攻击. '还有很多APP,他们有问题, 但是他们自己不知道, 没有任何一个人有精力把全中国的APP都检查一遍, 更多的是需要厂商自查, 这才是我们此次披露的意义' , 于旸表示.