­　　看似一條普通的促銷或資訊類短信，但用戶點擊鏈接后會跳轉(zhuǎn)至相應活動頁面。全程并無異常，然而該用戶的App賬戶信息或個人相冊已經(jīng)被“克隆”到攻擊者的手機中。

­　　近日，一款針對安卓系統(tǒng)的隱私竊取手段被曝光。據(jù)了解，“克隆漏洞”于2012年首次被發(fā)現(xiàn)，2017年底由騰訊安全玄武實驗室通報給工信部，目前已被編號為CNE201736682，并由國家信息安全漏洞共享平臺(簡稱CNVD)通知存在漏洞的App廠商對之進行排查、修復。1月9日，CNVD針對“克隆漏洞”發(fā)布公告，將該漏洞綜合評級為“高危”，并給出了修復建議。

­　　“目前還沒有收到修復反饋的App廠商包括京東到家、餓了么、聚美優(yōu)品、豆瓣、易車、鐵友火車票、虎撲、微店等10家”，國家互聯(lián)網(wǎng)應急中心網(wǎng)絡安全處副處長李佳向南都記者表示，對于拒不修復的將會按照《網(wǎng)絡安全法》采取強制措施。

­　　27家App查出“克隆漏洞”

­　　“我們在國內(nèi)安卓應用市場上檢測了大概200個應用，發(fā)現(xiàn)有27個存在問題，其中18個App可以被遠程攻擊，即通過短信鏈接復制。另外9個App只能從本地被攻擊，即通過手機上裝載的惡意應用實現(xiàn)類似 克隆 功能”，騰訊安全玄武安全實驗室負責人于旸稱。

­　　盡管目前尚未發(fā)現(xiàn)有黑客利用該漏洞竊取用戶隱私案例，但于旸認為，該漏洞應引起廣泛關注，普通用戶應對此有防范心理，而App廠商和手機廠商則應提前修復以防范于未然。

­　　“這類攻擊真實發(fā)生的時候普通用戶很難防范”，網(wǎng)絡安全公司知道創(chuàng)宇首席安全官周景平向南都記者表示，因為在現(xiàn)實的場景下，攻擊者會偽裝成各種各樣的場景，包括鏈接短信、掃描二維碼訪問網(wǎng)頁等。周景平建議，普通用戶應該從以下方面進行防范，“別人發(fā)的鏈接少點，不太確定的二維碼不要出于好奇掃碼；其次要關注官方的升級，操作系統(tǒng)、各類App要及時升級。”

­　　目前8個應用完全修復

­　　據(jù)悉，該“克隆漏洞”僅存在于安卓系統(tǒng)中。目前，無論是安卓系統(tǒng)的安全團隊還是各個安卓手機廠商的技術團隊都尚未對此漏洞作出回應。

­　　“操作系統(tǒng)的架構(gòu)更改比較困難，考慮因素更多，很難針對每一款漏洞都作出調(diào)整”，但周景平建議，比如對開發(fā)App的個人和廠商作系統(tǒng)能夠出些提示，在調(diào)用開發(fā)時提示可能存在克隆攻擊的風險，需要怎么安全開發(fā)。”

­　　據(jù)了解，CNVD去年12月10號向漏洞涉及的27家A pp企業(yè)發(fā)送漏洞安全通報，同時提供了修復方案。據(jù)李佳介紹，通知發(fā)出一周后，收到了包括支付寶、百度外賣、國美等等大部分A pp的主動反饋，表示已經(jīng)在修復漏洞的進程中。

­　　“截至2018年1月9日，27款存在漏洞的A pp中有11個已進行修復，但其中有三個沒有完全修復”，于旸稱。此外，“目前還沒有收到反饋的A pp廠商包括京東到家、餓了么、聚美優(yōu)品、豆瓣、易車、鐵友火車票、虎撲、微店等10家廠商”，李佳向南都記者表示，對于拒不修復的將會按照《網(wǎng)絡安全法》采取強制措施。采寫：南都記者馬寧寧