發現「應用克隆」攻擊模型，這是什麼？

2017年勒索病毒的餘威還未完全散盡，2018年伊始，就又爆發了多起網路安全事件，繼曝出CPU晶元級漏洞事件之後不久，騰訊安全玄武實驗室首次發現「應用克隆」攻擊模型，只需用戶點擊一個鏈接，攻擊者便可輕鬆克隆用戶的賬戶許可權，盜取用戶賬號及資金等。支付寶、攜程等國內主流APP均在受影響之列，波及幾乎全部的安卓手機用戶。

值得關注的是，本次「應用克隆」攻擊模型的搭建並非基於某一個單獨的漏洞造成的安全隱患，而是由一系列此前已公開卻被大家普遍不重視的漏洞，耦合在一起產生的風險。這背後不僅反映出在經過十多年漏洞攻防之後，大家放鬆了對漏洞的警惕；更折射出當下的移動安全防護工作亟需建立新思維來應對。

1月9日，「應用克隆」攻擊模型，在騰訊安全玄武實驗室與知道創宇聯合召開的技術研究成果發布會上，以一個三分鐘的演示視頻正式對外披露。全新的攻擊思路和意想不到的攻擊效果迅速吸引了在場行業專家及媒體人士的關注，CNCERT（國家互聯網應急中心）也在當晚21點左右正式發布安全公告，將其中涉及的漏洞分配編號，並評級為「高危」。

與其他攻擊模型不同的是，「應用克隆」攻擊模型中利用的所有安全風險點，都是幾年前就公開的。利用手機瀏覽器訪問本地文件的風險，2009年之前業界就有共識；應用內嵌瀏覽器設置不當的風險，2012年7月就有相關漏洞被披露；克隆攻擊的風險，知道創宇首席安全官周景平在2013年就公開發表過研究，並提交谷歌，但是「一直沒得到回應」。

在於暘看來，這背後隱藏的其實是網路安全在攻防十餘年之後的趨勢。他在發布會現場指出，最近十幾年來，操作系統的安全性不斷的提高，可能有一些人會產生一種錯覺，覺得漏洞的危險沒有那麼大，可能十年前的人會對漏洞更加敏感一些。