安卓系統曝“致命”漏洞！別人可以拿自己手機，偷你的錢。

這個漏洞比較恐怖的事並不是病毒或者單獨的讓你掃描二維碼，它存在很多的不同的已有的APP和路徑裡進行一個連結。比如讓你開啟一個紅包，當你點開這個紅包，你就已經中毒，你的手機裡的支付二維碼被克隆的對方的手機中，而且可以完全用於支付。為中央電視臺記者當場驗證。1月9日，騰訊安全玄武實驗室與知道創宇404實驗室披露攻擊威脅模型——“應用克隆”。在這個攻擊模型視角下，很多曾被認為威脅不大、根本不重視的安全問題，都可以輕鬆“克隆”使用者賬戶，竊取隱私資訊，盜取賬號及資金等。

“攻擊者”向用戶傳送一條含惡意連結的簡訊

記者發現，中了“克隆攻擊”之後，使用者手機應用中的資料都被神奇地複製到了攻擊者手機上。兩臺手機看上去一模一樣。那麼，這臺“”克隆手機“”能不能正常消費呢？記者到商場買了點東西透過克隆來的二維碼，記者真的輕鬆地掃碼消費成功。在被克隆的手機上看到，這筆消費已經悄悄出現在支付寶賬單中。

因為小額掃碼支付不需要密碼，一旦中了克隆攻擊，攻擊者就完全可以用自己的手機，花別人的錢。

此次，騰訊安全玄武實驗室發現的漏洞至少涉及國內安卓應用市場十分之一的APP，如支付寶、餓了麼等多個主流APP均存在漏洞，該漏洞幾乎影響國內所有安卓使用者。

目前，“應用克隆”這一漏洞只對安卓系統有效，蘋果手機則不受影響。另外，騰訊表示目前尚未有已知案例利用這種途徑發起攻擊。

“應用克隆”有多可怕？

騰訊安全玄武實驗室負責人於暘表示，該攻擊模型基於移動應用一些基本設計特點導致，所以幾乎所有移動應用都適用該攻擊模型。

“應用克隆”可怕之處在於：和以往木馬攻擊不同，它實際上並不依靠傳統木馬病毒，也不需要使用者下載“冒名頂替”常見應用的“李鬼”應用。

騰訊相關負責人比喻：“這就像過去想進入你的酒店房間，需要把鎖弄壞，但現在是複製了一張你的房卡，不但能隨時進出，還能以你的名義在酒店消費。”

現金被人偷了，就是當面發現有時也證明是自己的錢。而手機支付不同於現金的是，無論錢被誰轉走都會留下痕跡的。就像很多小賊偷了銀行卡即使知道密碼也不會去使用的。除非你碰到真正的駭客，在進到CIA的主機時順便從你手機裡搞幾斤肉吃，並且抹掉所有的痕跡。所以這不排除是某些別有用心的機構放出來唬人的。不過我還是希望我能中招。因為我的支付寶上過保險。坐等馬雲賠我100萬。嘎嘎