看起来像是普通的推广或者信息消息，但是用户点击链接后会跳转到相应的活动页面。整个过程没有任何异常，但是，用户的App账号信息或者个人相册已经被“克隆”到了攻击者的手机里。

近日，一种针对安卓系统的隐私窃取方法被曝光。据了解，“克隆漏洞”于2012年首次被发现，并于2017年底被腾讯安全宣武实验室通报给工信部。目前已编号为CNE201736682，国家信息安全漏洞共享平台(CNVD)已通知存在漏洞的App厂商进行排查修复。1月9日，CNVD针对“克隆漏洞”发布公告，综合评级为“高风险”，并给出修复建议。

“目前有10家App厂商没有收到修复反馈，包括JD。COM的家，饿了，聚美优品，豆瓣，车易，铁友火车票，虎扑，典韦等。”对此，国家互联网应急中心网络安全处副处长李佳告诉南方记者，对于拒不修复的，将按照《网络安全法》采取强制措施。

27款应用发现“克隆漏洞”。

“我们在国内安卓应用市场检测了约200个应用，发现存在27个问题，其中18个应用可以远程攻击，即通过短信链接进行复制。其他9个应用只能在本地被攻击，也就是说，类似的克隆功能可以通过手机上加载的恶意应用来实现，”腾讯安全宣武安全实验室负责人杨宇表示。

虽然还没有黑客利用这个漏洞窃取用户隐私的案例，但荀彧认为，这个漏洞应该引起广泛关注，普通用户要有防范态度，而App厂商和手机厂商要提前修复，防患于未然。

网络安全公司于闯的首席安全官周景平告诉南方记者：“普通用户很难在这种攻击发生时进行防范，因为在现实场景中，攻击者会将自己伪装成各种场景，包括链接短信和扫描二维码访问网页。周景平建议普通用户从以下几个方面做好防范：“别人发的链接少，不确定的二维码不要出于好奇扫描；其次，要注意官方升级，操作系统和各种app要及时升级。”

目前，8个应用程序已完全修复。

据悉，这个“克隆漏洞”只存在于安卓系统中。目前，无论是安卓系统的安全团队，还是安卓手机厂商的技术团队，都没有对此漏洞做出回应。

“操作系统的架构很难改变，需要考虑的因素比较多，很难针对每一个漏洞进行调整”，但周景平建议，比如系统可以给开发App的个人和厂商一些提示，在呼吁开发时，会提示可能存在克隆攻击的风险，以及如何安全开发。"

据了解，CNVD于去年12月10日向涉及漏洞的27家A pp企业发送漏洞安全通报，同时提供修复解决方案。据李佳介绍，通知发出一周后，我收到了包括支付宝、百度外卖、国美等在内的大部分app的主动反馈。表明它已经在修复漏洞。

杨宇说：“截至2018年1月9日，27个易受攻击的app中有11个已经修复，但其中3个尚未完全修复。此外，“目前未收到反馈的A pp厂商包括JD.COM家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、典韦等10家厂商”，李佳告诉南方记者，对于拒修者将按照《网络安全法》采取强制措施。南方记者马宁宁撰写。

原标题：安卓系统“克隆漏洞”曝光可盗取App账号信息和个人相册。