我们发现了一个手机漏洞，挺重要的

随手点击手机短信中的一条不明链接，自己的帐号就被不法分子克隆了，个人隐私甚至个人财产都可以在另一台手机上被“无感”盗用……

看似不可能的事情，今天就发生在眼前。

玄武实验室以某APP为例展示了“应用克隆”攻击的效果

这项攻击威胁模型被称为—— “应用克隆”。

今天下午，腾讯 安全玄武实验室与知道创宇404实验室，在联合召开的技术研究成果发布会上展示了这一重大研究成果，正式对外披露“应用克隆”。

在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松 “克隆”用户账户 ， 窃取隐私信息 ， 盗取账号及资金等 。

经过测试，“应用克隆”对大多数移动应用都有效， 在 200个移动应用中发现27个存在漏洞，比例超过10% 。 玄武实验室此次发现的漏洞至少涉及国内 安卓应用市场十分之一的APP ，如支付宝、饿了么等多个主流APP均存在漏洞， 所以该漏洞几乎影响国内所有安卓用户。

在发现这些漏洞后，腾讯安全玄武实验室通过CNCERT （国家互联网应急中心） 向厂商通报了相关信息 ， 并给出了修复方案 。目前支付宝、饿了么等主流APP已主动修复了该漏洞 （用户可升级到最新版本） 。

腾讯安全玄武实验室负责人于旸 表示，该攻击模型基于移动应用的一些基本设计特点导致的，所以 几乎所有移动应用都适用该攻击模型 。

在发布会现场，玄武实验室以某APP为例展示了“应用克隆”攻击的效果：在升级到最新安卓8.1.0的手机上，利用其自身的漏洞，“攻击者”向用户发送一条包含恶意链接的手机短信，用户一旦点击，其账户一秒钟就被“克隆”到“攻击者”的手机中，然后“攻击者”就可以任意查看用户信息，并可直接操作该应用。

于旸介绍，在玄武安全研究团队研究过程中，发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施，所以一些安全问题常常被APP厂商和手机厂商忽略。 而只要对这些貌似威胁不大的安全问题进行组合，就可以实现“应用克隆”攻击。

在发现这些漏洞后，腾讯安全玄武实验室通过CNCERT （国家互联网应急中心） 向厂商通报了相关信息，并给出了修复方案，避免该漏洞被不法分子利用。另外， 玄武实验室将提供 “玄武支援计划”协助处理 。

于旸表示，由于对该漏洞的检测无法自动化完成，必须人工分析，玄武实验室无法对整个安卓应用市场进行检测，所以通过此次新闻发布会，希望更多的APP厂商关注并自查产品是否仍存在相应漏洞，并进行修复。对用户量大、涉及重要数据的APP，玄武实验室也愿意提供相关技术援助。