視頻中演示著這樣的情景：在手機上“點擊”一個網站鏈接，打開的是一個看似完全正常的搶紅包頁面，但無論你是否點擊紅包，你的整個支付寶應用已經在另一臺手機上被“克隆”，甚至包括你的用戶名和密碼，攻擊者甚至可以點開支付寶付款碼消費。

盡管現在支付寶已經修復了這一漏洞，但騰訊安全玄武實驗室與知道創宇404實驗室9日披露的攻擊威脅模型“應用克隆”仍令人震驚。騰訊安全玄武實驗室負責人于旸表示：該攻擊模型是基于移動應用的一些基本設計特點導致的，所以幾乎所有移動應用都適用該攻擊模型，據他們的研究，市面上200多款常見安卓應用中，有27款應用可被此方式攻擊，占比超過10%。

↑騰訊安全玄武實驗室負責人于旸

你的手機會被影響嗎？有什么防范的方法？在這個“可怕”的攻擊威脅背后，又折射出怎樣的移動互聯網時代安全新形勢？

“應用克隆”的前世今生

“應用克隆”的可怕之處在于：和以往的木馬攻擊不同，它實際上并不依靠傳統的木馬病毒，也不需要用戶下載“冒名頂替”常見應用的“李鬼”應用。于旸比喻說：“這就像過去想進入你的酒店房間，需要把鎖弄壞，但現在的方式是復制了一張你的酒店房卡，不但能隨時進出，還能以你的名義在酒店消費。”

但“好消息”同樣存在，一方面，“應用克隆”這一漏洞只對安卓系統有效，蘋果手機則不受影響。另一方面，騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。

與此同時，這一消息也被及時以各種方式傳遞出去，但反饋的情況卻“參差不齊”。工信部網絡安全管理局網絡與數據安全處處長付景廣表示，接到騰訊的通報后，“我們也組織相關的單位和專家進行了認真分析和研判”，國家互聯網應急中心網絡安全處副處長的李佳則介紹說，2017年12月7日，騰訊將27個可被攻擊的應用報告給了國家信息安全漏洞共享平臺，在經過相關技術人員驗證后，國家信息安全漏洞共享平臺為這一漏洞分配了編號CNE201736682，并于10日向這27個應用設計的企業發送了點對點安全通報：”在發出通報后不久就收到了包括支付寶、百度外賣，國美等大部分廠商的主動反饋，表示他們已開始漏洞修復，但截至8日，京東到家、餓了么、聚美優品、豆瓣、易車、鐵友火車票、虎撲、微店等10家廠商還未收到相關反饋。”于旸也表示，截至9日上午，共有支付寶、餓了么、小米生活、WIFI萬能鑰匙等11個手機應用進行了修復，但其中亞馬遜（中國版）、卡牛信用管家、一點資訊等3個應用修復不全。而在9日技術研究成果發布會現場演示中，仍然可以用這種方式“克隆”攜程安卓版手機應用，在“克隆”后尚能看到用戶的交易記錄。

↑玄武實驗室9日檢測結果

這從某種意義上顯示出國內部分手機應用廠商安全意識的薄弱。于旸坦言：“我們也看了一部分國外應用，受這個漏洞的影響的應用占總體比例比國內少不少。從我十幾年的網絡安全領域從業經驗來看，國內廠商和開發者，在安全意識上和國外同行相比確實有一定差距。”

而普通用戶最關心的則是如何能對這一攻擊方式進行防范。知道創宇404實驗室負責人周景平回答本報記者提問時表示：“普通用戶的防范比較頭疼，但仍有一些通用的安全措施。一是別人發給你的鏈接少點，不太確定的二維碼不要出于好奇去掃，更重要的是要關注官方的升級，包括你的操作系統和手機應用，真的需要及時升級。”

聯合作戰的“硬幣”兩面

除了巨大的危害，另一個令人吃驚的事實是，這一攻擊方式并非一直潛藏在黑暗之中。于旸表示：“查閱以往的技術資料整個攻擊當中涉及的每一個風險點，其實都有人提過。”其中的關鍵風險，周景平甚至在2013年3月就在自己的博客中進行了安全提示，他表示：“那時我還把這個問題報給了當時的安卓官方，但沒有給我任何信息反饋，對方甚至連郵件都沒有回復我。”

那么為什么這種危害巨大的攻擊方式此前卻既未被安全廠商發覺，也未有攻擊案例發生？“這是新的多點耦合產生的漏洞。”于旸打了一個比喻，“這就像是網線插頭上有個凸起，結果路由器在插口位置上正好設計了一個重置按鈕。“網線本身沒有問題，路由器也沒有問題，但結果是你一插上網線，路由器就重啟。多點耦合也是這樣，每一個問題都是已知的，但組合起來卻帶來了額外風險。”他還介紹說，在2016年還發現過另外一個漏洞，一共利用了9個不同網絡協議和操作系統的特點，這些特點組合在一起，惡意文檔甚至不用打開，”插上U盤看一下目錄就能傳播。”

多點耦合的出現，其實正意味著網絡安全形勢的變化。硬幣的一面是漏洞“聯合作戰”的“乘法效應”，另一面則是防守者們形成的合力。在電腦時代，最重要的是系統自身的安全，而包括手機在內的移動設備系統自身的安全性比電腦要高很多，但在端云一體的移動時代，最重要的其實是用戶賬號體系和數據的安全。而保護好這些，光搞好系統自身安全遠遠不夠，需要手機廠商、應用開發商、網絡安全研究者等多方攜手。

這也是管理部門的思路。李佳表示，在此次事件中發揮作用的國家信息安全共享平臺正是基于“建立信息安全漏洞共享的知識庫”的目的而生，“目前聯合了國內的重大信息系統單位，基礎的電信運營商和安全廠商和軟件廠商以及相關的互聯網企業等，一共有60家的技術組合、用戶組和成員單位，大家共享發現的漏洞，及時通報消息。截止目前一共收錄了軟硬件產品的漏洞目前超過10萬，針對具體事件型漏洞超過了30萬，黨政機關和重要信息系統漏洞超過了6.9萬起。”

付景廣也表示，在去年9月工信部印發的《公共互聯網網絡安全威脅監測與處置辦法》同樣體現出這樣的原則。“比如我們提出了及時發現的原則，要凝聚各方力量，無論是安全企業還是互聯網企業還是技術應用企業，都歡迎大家提交發現的成果，同時還有科學研判的原則，包括國家互聯網應急中心和其他科研機構乃至有能力的企業，都要對發現的問題進行研判，確保它的的確是惡意的，在這種基礎上進行進一步的處置。”

“新面孔”帶來新風險

“應用克隆”是個尚未形成危害就被捕捉到的漏洞，但是然后呢？

著名安全專家、網絡安全廠商RSA前總裁阿密特·莫蘭有句名言：“新的網絡安全威脅形勢下，防御者如同拿著舊地圖在海上航行。”新硬件、新技術、新服務的出現和交叉融合，催生了“新面孔”，也帶來了新的風險。

比如硬件風險。此前剛剛公布的CPU硬件漏洞就屬于這樣的風險，它其實是設計漏洞，像是在藍圖的時候就畫錯了，這類風險，即使在操作系統端加以防護也于事無補。此外，數以億計的物聯網設備，如智能盒子、安防攝像頭、家用路由器等，其芯片執行漏洞、流量劫持漏洞、藍牙蠕蟲漏洞等底層威脅已在2017年暴露無遺，隨著聯網設備的指數級增長，2018年物聯網設備的安全威脅將愈演愈烈。

此外還有針對人工智能的攻擊。美國加州大學伯克利分校教授宋曉冬介紹說，兩張人眼看起來一模一樣的熊貓圖片，一張被神經網絡正確識別為“熊貓”，另外一張卻因為被加上了人眼難以察覺的微小擾動，就被神經網絡以99.3%的置信度識別為“長臂猿”，這就是可以“愚弄”人工智能的對抗樣本。“用對抗樣本攻擊人工智能，其實就是從最核心的算法層面來攻擊它。可以設想，一旦無人駕駛的汽車識別了被對抗樣本改造過的交通標示，將帶來嚴重的后果。幸好從目前來看，針對自動駕駛的對抗樣本對抗性很差。”

（責編：李靜）

推薦閱讀：如何設置查找我的iphone