2018年1月9日下午，騰訊七大實驗室之一的玄武實驗室宣布發現了攻擊威脅模型“應用克隆”，讓支付寶、京東到家、餓了么、攜程等27款App的安卓版紛紛中招。

黑客可以利用該漏洞遠程“克隆”一個跟你賬戶一模一樣的App，還順便幫你花錢甚至干各種讓你無法想象的勾當。

目前，支付寶等部分App已經修復了該漏洞，但還有10款App尚未修復，另外，部分已經修復的App仍然存在修復不完全的情況。

需要強調的是，該漏洞僅存在于上述App的安卓版，iPhone上的這些App不受影響，并且截至目前，還沒有發現該漏洞被黑客利用的實際案例。

玄武實驗室在現場演示了兩款App被克隆、攻擊的過程，一款是支付寶，一款是攜程。

以支付寶為例，黑客向用戶發送一條隱藏著攻擊信息的短信，并以紅包加以引誘，用戶在這種情況下點開短信里的鏈接，他看到的是一個真實的搶紅包頁面，但攻擊者卻在另一個手機上復制了該用戶完整的支付寶賬戶信息，包括頭像、用戶名等完全一樣，也可以查看用戶的芝麻信用分，還可以用支付寶的付款碼進行消費。

在演示中，攻擊者成功幫助用戶消費了325元。

當我問TK，黑客是否可以連用戶的支付密碼也“克隆”過去時，他告訴我：“就支付寶而言，密碼是拿不到的?！钡盅a充了一句：“但有些App因為還存在其它漏洞，在克隆后，再配合其它漏洞真的可以拿到密碼，完完全全控制賬號。”

萬幸的是，TK告訴我，包括支付寶在內的這些存在“應用克隆”漏洞隱患的App目前都還是安全的，還沒有發現利用該漏洞攻擊用戶的行為，“至少我們沒有知道的案例會通過這種途徑發起攻擊?！钡裉焖麄児剂酥缶驼f不準了。

支付寶相關負責人告訴我，他們接到通知后立馬進行了修復。

短信只是其中一種誘導方式，該漏洞還可以被黑客隱藏在二維碼、新聞頁面等，只要用戶不小心點到了就會中招。

在演示攻擊攜程App的時候，大體操作跟攻擊支付寶類似。有意思的是，支付寶和攜程這兩款App背后站著阿里和百度，騰訊的兩個勁敵。

據悉，該漏洞發現的時間是在2017年年底，應該在11月底或12月初。因為12月初的時候，TK跟我說他們近期會公布一個影響非常大的發現，但他沒有透露任何細節。今晚，TK承認這個漏洞就是他當初說的“重大發現”。

這個漏洞的發現最初只是他的一個想法，隨后他們團隊對200款左右的App安卓版進行了監測，發現有27款App可以被該漏洞攻擊。12月7日，玄武實驗室把該漏洞以及可能被攻擊的App提交給了國家互聯網應急中心。

國家互聯網應急中心網絡安全處副處長李佳披露了從收到漏洞提交到驗證到通知廠商修復的整個過程，以及修復情況——

CNVD在獲取到漏洞的相關情況之后，第一時間安排了相關的技術人員對漏洞進行了驗證，也為漏洞分配了漏洞編號，是CNVD-2017-36682，并且也于2017年的12月10號向這次漏洞涉及到的27家App的相關企業發送了點對點的漏洞安全通報。同時，在通報中也向各個企業提供了漏洞的詳細情況以及建立了修復方案。

在發出通報后不久CNVD又收到了包括支付寶、百度外賣還有國美等等大部分App的這種主動反饋，表示他們已經在漏洞的修復進程中。可能是由于各個團隊的技術能力有差距，剛才看到目前有的APP已經有修復了，有的還沒有修復。

截止到昨天，目前包括京東到家、餓了么、聚美優品、豆瓣、易車、鐵友火車票、虎撲、微店等10家廠商還沒有收到他們的相關反饋。在這兒也希望這10家沒有及時反饋的企業切實的加強網絡安全運營能力，落實網絡安全法規的主體責任要求。當本公司的產品出現了重大的安全漏洞或者隱患的時候能夠第一時間的進行響應和解決修復，能夠切實的維護和保障廣大用戶的權利。

在TK提供一張PPT上，清晰地顯示已徹底修復的包括支付寶、餓了么、Wi-Fi萬能鑰匙、小米生活、百度旅游、墨跡天氣、驢媽媽旅游、咕咚；

修復不完全的App包括一點資訊、卡牛信用管家、亞馬遜中國版；

尚未修復該漏洞的就多了，包括百度外賣、攜程、京東到家、聚美優品、國美、12306智能火車票、vivo應用市場、豆瓣、同程旅游等。

這就引申出一個問題，即原本黑客并沒有發現這個漏洞，玄武實驗室此時公布了這個漏洞，對于那些尚未修復的App而言，黑客完全可以立即發起對其攻擊，這一定程度上，玄武反而成了幫兇。

騰訊玄武實驗室負責人TK

虎嗅把這個疑惑拋給了TK，他解釋道：“這個話題其實是安全界已經討論了十幾年的話題，關于漏洞披露的問題，這里面是有矛盾的。假使我今天發現了今天就披露，完全沒有給廠商留出修復的時間，這個肯定是有問題的。我們報告了之后等廠商修復，一天不修等一天，一年不修等一年，這也是有問題的?！?/p>

TK說，具體到今天公布的“應用克隆”，它影響的不只是一兩家廠商，安卓應用市場里有幾十萬、上百萬款應用，他們只是檢查了200款，也不可能全檢查一遍?！巴ㄟ^我們公布了這個漏洞讓更多廠商對自家應用自查，這其實就是披露的意義。你知道問題是一回事，然后你整個去實現攻擊又是一回事，所以漏洞披露是需要權衡的一個過程?！盩K向我解釋道。

我相信這些安全人員都有一種浪漫的情懷來做這樣一件事情，但通過我的觀察，騰訊對這樣一款漏洞的公布舉行這樣一場發布會，本質上除了警告這些App廠商提高安全等級、修復漏洞之外，還可能是為了宣傳騰訊在安全領域的技術實力。1月14日騰訊安全還有一場更盛大的峰會“2018年守護者計劃大會”在北京舉行，屆時馬化騰將從深圳跑來北京為該峰會站臺。

今天晚上7點半，國家互聯網應急中心在旗下的CNVD（國家信息安全漏洞共享平臺）對該漏洞（官方稱其為“Android WebView存在跨域訪問漏洞”）進行公告，對漏洞進行了分析，并給出了“高?！钡陌踩u級以及修復建議：

在宣布上述27款App安全漏洞的同時，TK也強調了手機廠商在其中的責任，“發現所有測試的手機當中都存在幾個月之前就已經公開披露的漏洞?！?/p>

在其公布的一份名單中，包括三星、華為、小米、OPPO、vivo等手機廠商都存在修復漏洞滯后的現象，包括它們的最新旗艦機型。

“由于現在移動操作系統的安全設計，讓我們可能麻痹了很長時間，覺得漏洞的危險已經沒有之前那么大了，但是我們要說‘這是一種錯覺’，我們對漏洞的這種警惕意識仍然是必要的?！盩K呼吁手機廠商和應用開發者，“絕對不能夠因為在一個時間段或者說過去的五六年里漏洞攻擊感覺沒有那么多了，而放松對它的警惕，以至于在編程的時候，很多已知的這種安全原則不再去遵循或者說你在做系統的很多已知漏洞，應該修復的時候不修復。從更大的格局上講其實是不利于移動互聯網整個行業的健康發展。”

TK說：“洪水來臨的時候沒有一滴雨滴是無辜的?！?/p>