图灵汇官网

【科技环球网报道 记者 张明宇】在1月9日的公开发布中，腾讯安全玄武实验室揭示了一种新型移动攻击模式——“应用克隆”。此模型旨在利用某些厂商忽视的安全漏洞，对200款移动应用进行审查后，发现了其中27款存在漏洞，占比超过10%。若不法分子利用此漏洞，可以轻松克隆获取用户账号权限，进而盗取个人信息及资产。

腾讯安全玄武实验室负责人于旸强调，移动互联网时代面临的安全挑战更为复杂，需要采用移动思维来审视移动安全问题，以准确评估风险。这一漏洞利用方式在受害者察觉之前即可实现对应用账户的完全控制，影响广泛且隐蔽。

在“应用克隆”攻击框架下，攻击者能够远程访问用户的隐私数据，包括手机应用数据、照片、文档等敏感信息，同时窃取登录凭证。由于该漏洞广泛应用于Android平台，导致大量应用受到影响，构成了严重的安全威胁。

值得注意的是，用户在应用被“克隆”后，通常不会接收到任何安全警告，其在日常使用过程中可能会造成个人隐私泄露、财产损失等后果。于旸表示，这一安全漏洞难以被用户察觉，且几乎适用于所有移动应用，以往被认为威胁较小的安全问题，通过组合应用也可轻易克隆用户账户，窃取隐私信息及资金。

腾讯安全玄武实验室已通过CNCERT向相关厂商通报了漏洞详情，并提供了修复方案，防止不法分子利用这一漏洞。国家互联网应急中心的技术人员验证了漏洞，并为之分配了CVE编号（CVE201736682），向27家具体应用发送了详细的漏洞安全通报，并提供了修复指南。

鉴于漏洞的普遍性和严重性，腾讯安全玄武实验室推出了“玄武支援计划”以协助解决。于旸指出，面对安全问题，仅依靠用户警觉或单个环节的努力是不够的，整个产业链的协同合作才是最佳状态。

为了应对移动互联网安全的新挑战，于旸首次提出“移动安全新思维”，即采用移动思维来评估移动安全风险。他认为，PC时代的安全观念对于移动互联网而言已经过时，需要关注移动设备的独特性以及应用的特性，以适应不断演变的安全形势。

腾讯安全联合实验室，集科恩、玄武、湛泸、云鼎、反病毒、反诈骗、移动安全等七大实验室之力，专注于安全技术研究与攻防体系构建，其工作范围覆盖互联网关键领域的安全防范与保障。实验室在车联网安全、物联网安全、人工智能、云安全、自研杀毒引擎、安全人才培养、社会责任等方面取得了显著进展。

腾讯副总裁马斌表示，随着腾讯安全联合实验室在多个领域持续输出安全能力，赋能行业与企业，将促进互联网安全生态的快速成长与发展。