腾讯公布安卓漏洞:点个链接,支付账户的钱就没了

1月9日，腾讯安全玄武实验室和知道创宇404实验室联合公布安卓漏洞：安卓手机用户点击了恶意链接（可能是新闻，可能是二维码，也可能是抢了个红包，红包其实就是一种链接），其支付账户权限就会被“克隆”到另外的手机上，黑客就可以利用这台手机进行消费，把支付账户的钱都转走。

根据腾讯的检测，在随机挑选的200款主流APP中，有27款存在类似问题，领域集中在电商、支付、旅行，其中某最大支付平台、某流行订餐APP都存在类似漏洞。

该漏洞存在于目前所有版本的安卓系统之上。需要指出的是，尽管国内众多厂商拥有自己的定制版安卓系统，但因为基于安卓系统定制，也会存在该问题。

国家互联网应急中心网络安全处副处长李佳指出，中心在获取到漏洞的相关情况之后，安排了相关的技术人员对漏洞进行了验证，并且也为漏洞分配了漏洞编号（CVE201736682），于2017年12月10号向27家具体的APP发送了点对点的漏洞安全通报，同时提供了漏洞的详细情况以及建立了修复方案。

据黑奇士了解，腾讯安全此次公布的不仅仅是一个漏洞，而是一种利用多种常见漏洞组合起来的攻击模式。

腾讯安全玄武实验室负责人于旸表示，该攻击模型是基于移动应用的一些基本设计特点导致的，几乎所有移动应用都适用该攻击模型。在这个攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。

于旸介绍，在玄武安全研究团队研究过程中，发现由于现在手机操作系统本身对漏洞攻击已有较多防御措施，所以一些安全问题常常被APP厂商和手机厂商忽略。

腾讯安全玄武实验室在研究过程中发现，“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过，但显然在业界并未引起足够重视。这些被人忽视的漏洞和攻击手法组合，就会发挥出巨大的为例，可以窃取账户资金等。

据了解，该攻击手法基于安卓系统，遍及所有安卓版本，要想彻底解决，只能等待Google的系统更新。

安全专家指出，对于普通安卓用户，常见的防护措施基本不起作用，只能等待相关APP厂商进行更新。但因为安卓市场的碎片化，更新频率各不相同，有些不会主动推送更新版本，因此用户会面临巨大的安全威胁。

黑奇士向安卓用户建议：

1、在各大厂商未彻底解决安全问题之前，最好采用一些非技术类的措施来降低自己的损失，例如，把支付宝支付每日限额调降到200元，超出之后进行手机号码验证，这样会相对安全一些。

2、电商、旅行、外卖类涉及到支付的APP，如果怀疑存在漏洞，请注意官网安全公告，并随时查看官方的版本更新。

3、不要认为“我用的某国产手机，不是安卓系统”，苹果之外的手机除了老人机之外，多数是安卓系统，不管他怎么宣传安全，都会有安卓系统问题，一定不要掉以轻心。

-----------------------------------------

下面这段话只代表黑奇士观点：每当看到这种安卓漏洞，总有一种无能为力的感觉。以前PC上有病毒，骂微软；现在Google在国外，想骂都找不到人去骂。

在猎豹的时候，安全组的同事跟我说，Google负责安卓安全的只有几十个人，报上去的漏洞除非影响到本土用户，否则基本是不会被处理的。作为安卓手机最大的市场，中国用户是被彻底忽视的，这就是我们的悲哀之处。

安卓手机出安全问题，Google有责任，定制厂商有责任，应用市场有责任，责任人太多，就会变成大家都没责任。“你买了某某的手机，去骂某某客服吧。。”苦笑

有时候真想破罐破摔的说，你们去买苹果手机吧，什么500万摄像头照亮你的美，什么年轻人的第一个手机，哪里有你账户里的钱更可爱、更重要？安卓天生就有安全问题啊！你普通用户想安全都没办法，像这次攻击，只能等待厂商们良心发现，否则你就是砧板上的鱼肉。

想让你买手机的时候，就是500万摄像头照亮你的美；出了问题，就是500万后悔药没法要回你的钱。（这句话，你们懂的，不惹麻烦。。。摄像头的分辨率低了。。。）

但是，只是想想，大家不可能都去用苹果，总有用安卓的用户，他们的安全也得保证。

------

1月14日，腾讯2018守护者计划大会将在北京举办，黑奇士受邀参加，面对面与专家们交流黑灰产防护、反欺诈技术方案等。大家有啥想让我带去问的，欢迎在文章下面留言。

---------------

本文不接受赞赏。。。毕竟安卓用户已经很惨鸟。。。

----------

点击“阅读原文”，查看cncert的漏洞报告