“应用克隆”这一漏洞只对安卓系统有效,苹果手机则不受影响。腾讯表示,目前尚无已知案例利用这种途径发起攻击。
与此同时,这一消息也被及时以各种方式传递出去,但反馈的情况却“参差不齐”。工信部网络安全管理局网络与数据安全处处长付景广表示,接到腾讯的通报后,“我们也组织相关单位和专家开展了认真分析和研判”。
国家互联网应急中心网络安全处副处长李佳则介绍说,2017年12月7日,腾讯将27个可被攻击的应用报告给了国家信息安全漏洞共享平台。在经过相关技术人员验证后,国家信息安全漏洞共享平台为这一漏洞分配了编号,并于2017年12月10日向这27个应用设计的企业发送了点对点安全通报。
“在发出通报后不久,就收到了包括支付宝、百度外卖、国美等大部分厂商的主动反馈,表示他们已开始修复漏洞,但截至2018年1月8日,还未收到京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商的相关反馈。”于旸表示,截至1月9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用作了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。
在1月9日技术研究成果发布会现场演示中,仍然可以用这种方式“克隆”携程安卓版手机应用,在“克隆”后尚能看到用户的交易记录。
这从某种意义上显示出国内部分手机应用厂商安全意识薄弱。于旸坦言:“我们也看了一部分国外应用,受这个漏洞影响的应用总体占比较国内少很多。从我十几年的网络安全领域从业经验来看,国内厂商和开发者,在安全意识上与国外同行相比确实有一定差距。”
普通用户最关心的则是如何能对这一攻击方式加以防范。知道创宇404实验室负责人周景平回答记者提问时表示:“普通用户的防范比较头疼,但仍有一些通用的安全措施。一是别人发给你的链接轻易不要点开,不太确定的二维码不要出于好奇心就去扫,更重要的是要随时关注官方的升级,及时升级手机操作系统和应用软件。”
