1月9日，騰訊匯。

下午3點(diǎn)的騰訊安全有一場(chǎng)發(fā)布會(huì)，不到2點(diǎn)，主要演講人騰訊玄武實(shí)驗(yàn)室負(fù)責(zé)人 TK（于旸） 已經(jīng)到位，知道創(chuàng)宇404Team的老大黑哥(周景平)也現(xiàn)身了。

會(huì)前，據(jù)知道創(chuàng)宇一位市場(chǎng)部人士向雷鋒網(wǎng)宅客頻道透露，黑哥幾年前發(fā)現(xiàn)了一個(gè)漏洞，報(bào)給了谷歌，但是谷歌沒搭理他。

“是一點(diǎn)回音都沒有嗎 ？”雷鋒網(wǎng)宅客頻道問。

“是，好像是說谷歌覺得可能不是它那邊的責(zé)任?！痹撊耸空f。

下午3點(diǎn)25分，原計(jì)劃開始的發(fā)布會(huì)還沒開始。

騰訊方面同時(shí)傳來了信息:：騰訊玄武實(shí)驗(yàn)室上報(bào)了一個(gè)重大漏洞，這屬于一個(gè)應(yīng)用克隆的漏洞，騰訊方面還提出了漏洞利用方法。

這也透露了一個(gè)信息，這個(gè)漏洞應(yīng)該是影響安卓系統(tǒng)的多款應(yīng)用，不然工信部領(lǐng)導(dǎo)不會(huì)來站臺(tái)。

3點(diǎn)半左右，發(fā)布會(huì)開始，懸念揭曉。

在手機(jī)上點(diǎn)擊一個(gè)網(wǎng)站鏈接，你可以看到一個(gè)看上去正常的支付寶搶紅包頁(yè)面，但噩夢(mèng)從你點(diǎn)擊鏈接就開始——此時(shí)你的支付寶的信息全部可以在攻擊者的機(jī)器上呈現(xiàn)，攻擊者借此完全可以用你的支付寶消費(fèi)。

你一無所知。

這是當(dāng)前利用漏洞傳遞惡意代碼的一種典型方式。TK稱，在手機(jī)上點(diǎn)擊惡意鏈接，有漏洞的應(yīng)用就會(huì)被完全控制。

這是一種“應(yīng)用克隆”漏洞攻擊。

有意思的是，整套攻擊中涉及的風(fēng)險(xiǎn)點(diǎn)其實(shí)都是已知的。2013年3月，黑哥在他的博客里就提到了這種風(fēng)險(xiǎn)。

TK 稱，多點(diǎn)耦合產(chǎn)生了可怕漏洞，所謂多點(diǎn)耦合，是A點(diǎn)看上去沒問題，B點(diǎn)看上去也沒問題，但是A和B組合起來，就組成了一個(gè)大問題。

說白了，是一個(gè)系統(tǒng)的設(shè)計(jì)問題。

移動(dòng)設(shè)備普遍使用了可信計(jì)算、漏洞緩解、權(quán)限隔離等安全技術(shù)，但移動(dòng)技術(shù)自身的各種特點(diǎn)又給安全引入了更多的新變量，新產(chǎn)量可能耦合出新風(fēng)險(xiǎn)。

這種應(yīng)用克隆漏洞就是這種類型的漏洞。目前，支付寶該漏洞已修復(fù)。

黑哥介紹，其實(shí)在2012年3月，他就已經(jīng)形成了克隆攻擊的思路。當(dāng)時(shí)他新買了臺(tái)設(shè)備，發(fā)現(xiàn)微博數(shù)據(jù)移到另外一臺(tái)手機(jī)上，手機(jī)上會(huì)自動(dòng)完成登陸的過程。發(fā)現(xiàn)問題后，他再次進(jìn)行測(cè)試，然后將漏洞詳情報(bào)給了安卓官方，但是谷歌連郵件都沒回復(fù)。

黑哥一怒之下在博客上進(jìn)行發(fā)布，但谷歌方面現(xiàn)在依然沒有完全修復(fù)該漏洞。

在發(fā)布會(huì)現(xiàn)場(chǎng)，TK 發(fā)布了演示視頻，實(shí)現(xiàn)了克隆賬戶和竊取用戶照片的攻擊效果。

目前，據(jù)騰訊方面的研究，市面上 200 多款安卓應(yīng)用中，27款 App 有此漏洞。漏洞列表及影響如下,其中18個(gè)可被遠(yuǎn)程攻擊，9個(gè)只能從本地攻擊。2017年12月7日，騰訊將27個(gè)漏洞報(bào)告給了國(guó)家信息安全漏洞共享平臺(tái)(cnvd) ，截止到2018年1月9日，有11個(gè) App 進(jìn)行了修復(fù)，但其中3個(gè)修復(fù)存在缺陷。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）網(wǎng)絡(luò)安全處副處長(zhǎng)李佳介紹，支付寶、百度外賣、國(guó)美等已經(jīng)就該漏洞進(jìn)行反饋，截止到昨天，還未收到京東到家、虎撲等十家廠商的反饋。

以下為TK 和黑哥的采訪記錄，雷鋒網(wǎng)略有刪減和整理。

1.什么時(shí)候發(fā)現(xiàn)的這些漏洞？

TK：我們今天看到影響的是若干款 App ，其實(shí)整個(gè)發(fā)現(xiàn)是陸陸續(xù)續(xù)的一個(gè)過程，不是一次性的一個(gè)過程。最初發(fā)現(xiàn)就是去年年底。

2.廠商怎么修補(bǔ)？

TK：漏洞本身是我們發(fā)現(xiàn)的，我們發(fā)現(xiàn)后及時(shí)通報(bào)給了國(guó)家相關(guān)的主管部門，然后通過主管部門去通知應(yīng)用廠商修補(bǔ)。

3.針對(duì)支付寶，有實(shí)際攻擊案例嗎？

TK：沒有，至少我們沒有知道的案例。雖然有可能通過這種途徑發(fā)起攻擊，但是我們并不知道是否有人真的有發(fā)起這種攻擊。

4.普通用戶可以防范嗎？

黑哥：普通用戶防范的問題還是比較頭疼的，剛才的視頻演示也只是一個(gè)場(chǎng)景，第一個(gè)視頻中，攻擊者發(fā)了一個(gè)短信，讓你去點(diǎn)，還有一種場(chǎng)景是可以掃一個(gè)二維碼，也是誘使你訪問一個(gè)網(wǎng)頁(yè)。其實(shí)對(duì)于一些普通用戶來說，首先別人發(fā)給你的鏈接，少點(diǎn)，不太確定的二維碼，不要掃一掃。最重要的一點(diǎn)是，關(guān)注官方的升級(jí)，包括操作系統(tǒng)和 App 的官方升級(jí)。

TK：如果用戶今天打開你的手機(jī)，然后把這些已經(jīng)修復(fù)的 App 升級(jí)到最新版，其實(shí)就已經(jīng)不再受這些漏洞的影響了。

5.這里的多點(diǎn)耦合到底是什么意思？

TK：多點(diǎn)耦合不是一個(gè)漏洞，是一種思路。舉一個(gè)例子，你可能想跟蹤一個(gè)人，但是你跟蹤這一個(gè)人，可能你只掌握他一方面的信息是比較困難的，如果你只掌握了他鞋子的品牌和尺寸，可能不能精確定位一個(gè)人。如果把一個(gè)人的各方面特征放在一起時(shí)，可以形成綜合性的準(zhǔn)確判定，但整體的判定是由一系列的細(xì)節(jié)形成的。

剛才講的今天大家看到的展示里，最終大家看到的我們控制應(yīng)用產(chǎn)生的效果是克隆這種方式。要用這個(gè)漏洞去實(shí)現(xiàn)克隆，這個(gè)漏洞本身是由多個(gè)耦合點(diǎn)形成的漏洞，和克隆結(jié)合起來也成了耦合整個(gè)鏈條中的環(huán)節(jié)，成了齒輪中的一個(gè)，最終達(dá)到了這樣一整套的東西。

6.你第一次是向谷歌提交的，這意味著其實(shí)有通過官方版安卓系統(tǒng)修復(fù)的可能性嗎？

黑哥：我們做漏洞攻防研究的首先是攻，對(duì)于個(gè)人來說，在發(fā)現(xiàn)攻擊方式的時(shí)候更多的想到的是攻，至于這個(gè)問題到底要誰解決，最起碼那個(gè)時(shí)候沒有想那么多。只是說這個(gè)東西很普遍，或許在操作平臺(tái)系統(tǒng)上面有對(duì)應(yīng)的防御機(jī)制能夠做這種東西。但是這種設(shè)計(jì)上的，說缺陷或者是個(gè)性也好，設(shè)計(jì)上的問題要在操作層面系統(tǒng)去解決的話，他們（編者注：指谷歌）也很頭痛。

即使你把這個(gè)問題解決了，說不定還有其他的問題，需要不停地改架構(gòu)之類。就算把安全問題解決了，會(huì)不會(huì)給用戶的性能帶來一些問題？例如，這兩天 CPU 的漏洞。很多人還在思考，操作系統(tǒng)修復(fù)漏洞時(shí)會(huì)降低用戶的 CPU 使用率。它會(huì)降低性能，這樣很多人就會(huì)去思考，這個(gè)漏洞打的補(bǔ)丁到底是打還是不打？很多問題沒有一個(gè)明確的答案。

安卓廠商有可能比較積極一點(diǎn)的是，認(rèn)可這確實(shí)是一個(gè)大問題，而且是普遍存在的。有可能做得比較好一點(diǎn)的廠商會(huì)來一個(gè)提示，或者安卓廠商認(rèn)為在不影響其他用戶使用的功能和性能下，有必要修復(fù)，廠商可以做修補(bǔ)，但大平臺(tái)考慮的問題更多，不完全是安全性的問題。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。