1月9日, 騰訊安全玄武實驗室宣布, 新近發現了一種新型的移動攻擊威脅模型, 並將其命名為 '應用克隆' . 發布會上, 玄武實驗室以支付寶APP為例展示了 '應用克隆' 攻擊的 '效果' : 在升級到最新安卓8.1.0的手機上, '攻擊者' 向用戶發送一條包含惡意連結的手機簡訊, 用戶一旦點擊, 其支付寶賬戶瞬間就被 '克隆' 到 '攻擊者' 的手機中, 然後 '攻擊者' 在自己手機上可以任意查看用戶賬戶資訊, 並可進行消費.
值得一提的是, 存在 '應用克隆' 漏洞的並非支付寶APP一家, 玄武實驗室負責人於暘指出, 大量主流APP都存在該漏洞, 玄武實驗室檢測了國內安卓系統中的200個知名APP, 其中27家存在該漏洞, 佔比超過13%, 其中包括聚美優品, 國美, 墨跡天氣, 一點資訊, 攜程, 百度外賣, 京東到家, 餓了麼, WiFi萬能鑰匙, 小米生活, 同程旅遊, 百度旅遊, 豆瓣, 驢媽媽, 趕集網, 易車, 咕咚, 虎撲等.
對此, 有業界人士指出, 這些知名APP的技術團隊實力都較強, 況且如此, 數量更為龐大非一線APP, 存在漏洞的比例應該只高不低, 如果不採取緊急措施, 在網路領域發生 '黑天鵝' 的比例, 甚至要遠高於資本市場.
由於並非個例且事關重大, 玄武實驗室於2017年12月7日將上述27家APP的漏洞情況上報到國家資訊安全漏洞共用平台 (CNVD) . CNVD隨即安排相關技術人員對漏洞進行了驗證並分配了漏洞編號 (CNE201736682) . 12月10日, CNVD向漏洞涉及的27家APP發送了點對點的漏洞安全通報, 同時提供了漏洞的詳細情況及建立了修複方案.
國家互聯網應急中心網路安全處副處長李佳表示: '今天, 我想代表國家互聯網應急中心和CNVD對玄武實驗室所做的工作表示感謝. 玄武實驗室這些年來已經向我們CNVD平台報送了超過190起的通用軟體漏洞. 這次玄武實驗室發現的新型病毒對安卓系統的一種攻擊方式, 可以說影響範圍特別大, 危害也是巨大的, 剛才通過相關的演示也看到了. 玄武實驗室在第一時間向我們平台報送了相關的漏洞, 可以說為我們對相關的事件應急響應提供了寶貴的時間' .
儘管CNVD已於12月10日對27家APP進行了點對點的通報, 不過, 截至發布會召開時, 時隔1個月, 還有不少APP未修複漏洞或未予反饋. '發出通報後不久, CNVD就收到了支付寶, 百度外賣, 國美等大部分APP的反饋, 表示他們已經在修複漏洞' , 李佳表示, '由於各個團隊的技術能力有差距, 目前有的APP已經修複漏洞了, 有的APP還沒有修複. 截至到1月8日, 還沒有收到反饋的APP包括京東到家, 餓了麼, 聚美優品, 豆瓣, 易車, 鐵友火車票, 虎撲, 微店等10家廠商. 在此, 也希望這10家沒有及時反饋的企業切實加強網路安全運營能力, 落實網路安全法規的主體責任要求' .
作為被舉例演示的APP,記者從支付寶相關負責人處了解到, 支付寶已在一個月前對APP進行了升級, 修複了這一安卓漏洞, 支付寶用戶的賬戶安全不會受到影響.
不過, 令人費解的是, 此番被點名的10家APP中, 多家APP在接受記者採訪時表示, 並未獲得來自CNVD有關該漏洞的通知. 同時亦表示, 如果獲得了通知, 肯定會積極反饋和修複.
需要提及的是, 此前勒索病毒之所以能在短時間內波及全球, 其中一個重要原因就是警示資訊溝通不及時.
受精力所限, 此次玄武試驗室只是選取了較為知名的200個APP進行了測試, 且13%存在 '應用克隆' 漏洞. 不難想見, 還有大量存在漏洞的APP在 '裸奔' , 使用這些APP的用戶的手機隨時可能遭到攻擊. '還有很多APP,他們有問題, 但是他們自己不知道, 沒有任何一個人有精力把全中國的APP都檢查一遍, 更多的是需要廠商自查, 這才是我們此次披露的意義' , 於暘表示.