安卓App存在“应用克隆”风险，行业如何应对？

近日，腾讯安全玄武实验室负责人于旸披露了一移动攻击威胁模型——“应用克隆”。负责人在现场利用支付宝漏洞展示了攻击效果：在安卓8.1.0的手机上，“攻击者”向用户发送一条包含恶意链接的手机短信，用户只要一点击，其支付宝账户就会被立即“克隆"到对方的手机上，然后“攻击者”就可以利用偷来的信息进行消费。

更可怕的是，不仅仅支付宝会受此威胁，我们常用的饿了么、美团等将近十分之一的安卓应用都在面临上号被克隆的威胁。黑客完全可以克隆出一个头像、ID、芝麻信用等各种信息完全一样的支付宝，然后肆无忌惮的消费。而短信只是一种方式，二维码、新闻推送等都可能被黑客作为攻击手段。

玄武实验室表示，由于经历有限，此次只在国内200个常用app中进行检测，发现了27个漏洞，比例超过了10%。在发现漏洞后，玄武实验室⑴时间向厂商做了通报，并给出了修复建议。目前部分app的漏洞已经修复，但是并没有完全修复。并且这次检测的只是少部分app，不知道应用市场里成百上千的app还有哪些不为人知的安全隐患。

有很多应用市场和公司都希望玄武实验室能帮助检测或提供扫描方案，对此玄武实验室这样回应道：

1、由于该问题的复杂性，不可能通过自动扫描来判断是否存在该漏洞。否则我们用阿图因系统就能完成对全网应用的检查，而不只是仅检查 200 个应用。简单通过函数扫描得出的结果，既会出现大量误报，又会出现大量漏报。唯一能判断有无漏洞的方式就是人工检测。

2、对我们帮助检测的应用，根据和CNVD的沟通，我们也会统一提交给 CNVD，然后由 CNVD 通知厂商。

安卓这个漏洞，和微软很像，Windows实现了很多协议和功能，但这些协议和功能是由不同的人设计和实现的。这些协议单独看起来都没什么问题。但操作系统是需要整合这些协议一起工作的。这时候漏洞就出现了。除了微软，苹果也层出现过类似情况，并多次公开致谢玄武实验室的漏洞收割贡献。由此可以看出，不仅是安卓，苹果系统也并不见得有多安全。

说到底，这些安全隐患不能归咎于某个app或者某个手机厂商，也不单单是一个纯粹技术攻防的战场，而是整个行业的问题。就国内大环境来说，BAT和360都需要在安全领域肩负起一定的社会责任，和相关部门一起，构建一整套有效的安全预警和修复的机制。这次纰漏威胁的目的，也是希望更多的手机厂商能重视安全并做好自检，不能放过任何一个细小的安全隐患。玄武实验室也表示，只要需要技术支持，玄武实验室将义不容辞。

值得庆幸的是，不管是苹果还是微软这些大公司的主流做法都是欢迎公开漏洞。公开漏洞较大的意义就是让厂商能够及时自查。

技术是一把双刃剑，能推动整个社会的进步但同时也可能会被黑色产业利用，这时候就需要多维度联防联控，打破信息孤岛。