网络安全领域暗藏大量“黑天鹅” 逾13%手机APP应用存重大漏洞

本篇文章1445字，读完约4分钟

■我们的记者何军

该软件起源于2017年5月，在世界各地肆虐，至今仍让人们心有余悸。然而，绝大多数手机用户可能没有意识到，他们刚刚躲过了2017年底的一次潜在抢劫。

1月9日，腾讯安全宣武实验室宣布最近发现了一种新的移动攻击威胁模型，并将其命名为应用克隆。在新闻发布会上，宣武实验室以支付宝应用为例展示了应用克隆攻击的效果:在升级到最新安卓8.1.0的手机上，攻击者向用户发送包含恶意链接的手机短信，用户点击后，其支付宝账户立即被克隆到攻击者的手机上，然后攻击者可以随意查看用户账户信息并在手机上花钱。

值得一提的是，并不是支付宝应用存在应用克隆漏洞。宣武实验室负责人魏昱指出，很多主流应用都存在这种漏洞。宣武实验室已经在国内安卓系统中检测到200个知名应用，其中有27个存在此漏洞，占13%以上，包括聚美友、国美、水墨天气、一点通、携程、百度外卖、京东家居、饥民、wifi。

对此，业内有人指出，这些知名应用的技术团队实力雄厚，而且非一线应用的数量更大，漏洞的比例应该不高。如果不采取紧急措施，网络领域的黑天鹅比例甚至会远远高于资本市场。

由于不是个案，具有重要意义，宣武实验室于2017年12月7日向国家信息安全漏洞共享平台(cnvd)报告了上述27个应用的漏洞。Cnvd立即安排相关技术人员对漏洞进行验证，并分配了漏洞号(cne201736682)。12月10日，cnvd向涉及该漏洞的27个应用程序发送了对等漏洞安全通知，提供了该漏洞的详细信息，并制定了修复计划。

国家互联网应急中心网络安全处副处长李佳说:今天，我代表国家互联网应急中心和cnvd，对宣武实验室的工作表示感谢。近年来，宣武实验室向我们的cnvd平台提交了190多个常见软件漏洞。宣武实验室发现的新病毒是对安卓系统的一种攻击方式，可以说影响很大，危害很大，刚才相关演示也看到了。宣武实验室第一时间向我们的平台报告了相关漏洞，为我们应对相关事件提供了宝贵的时间。

虽然cnvd在12月10日已经通知了27个对等应用，但截至记者招待会，仍有许多应用没有修复漏洞或在一个月后没有反馈。通知发布后不久，cnvd就收到了大多数应用的反馈，如支付宝、百度外卖、国美等。，表明他们已经修复了漏洞。李佳说，由于不同团队之间的技术能力差距，一些应用程序已经修复了漏洞，而另一些则没有。截至1月8日，尚未收到反馈的应用包括10家制造商，包括京东家园、饥饿、聚美优品、豆瓣、易车、铁友火车票、湖北和典韦。在此，我也希望这10家没有及时反馈的企业能够有效地加强网络安全运营能力，落实网络安全法规的主要责任要求。

作为一个应用的例子，记者从支付宝相关负责人那里了解到，支付宝在一个月前已经升级了这个应用，并修复了这个安卓漏洞，支付宝用户的账户安全不会受到影响。

然而，令人困惑的是，在这次被点名的10个应用中，许多应用在一次采访中表示，他们没有从cnvd得到该漏洞的通知。同时，它还表示，如果得到通知，它肯定会给予积极的反馈和修复。

值得一提的是，软件能在短时间内遍布全球的一个重要原因是预警信息的传递不及时。

受能源限制，宣武实验室只选择了200个知名应用进行测试，其中13%存在应用克隆漏洞。不难想象，仍有大量易受攻击的应用在裸奔，使用这些应用的用户的手机随时都可能遭到攻击。仍然有很多应用程序，它们有问题，但是它们不知道。荀彧说:在中国，没有人有精力检查所有的应用，但更多的制造商需要进行自我检查，这是我们披露的意义所在。

(何军)