致命支付漏洞出现 超级可怕再也不敢乱点红包了

爱抢红包的各位朋友了，安卓系统一种致命支付漏洞出现了，这个漏洞会窃取你的用户信息，然后获取你的消费码进行消费支付，简直太可怕了，各位亲们千万不要乱点网站链接或者抢一些来路不明的红包，不然很容易就中招了。

作为全球最大的移动操作系统，Android以其开放和多元而深受全球用户青睐，市场份额占据八成以上。但正因如此，Android系统的安全性也成为一大隐患。今天，中国联通公众号发文《惊！安卓新漏洞暴露支付账户安全隐患……》，曝光了一种“应用克隆”的漏洞，引发Android手机用户关注。

“应用克隆”攻击模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。在应用克隆攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。基于该攻击模型，以某个常被厂商忽略的安全问题进行检查，在200个移动应用中发现27个存在漏洞，比例超过10%。

“应用克隆”之所以能引起Android手机用户的恐慌情绪，主要在于其能“克隆”用户账户、窃取隐私信息、盗取账号及资金……例如，在手机上点击某个网站链接，打开的是一个看似正常的抢红包页面，此时无论你是否点击红包，你的支付应用已经在另一台手机上被“克隆”。一旦攻击者进一步获取到你的用户名和密码，便可以点开支付应用的付款码消费。

据安全人员检测，目前已经发现27款主流应用存在类似问题，主要集中在电商、支付和旅行等领域。“应用克隆”仅对Android系统有效，iOS设备并未受影响。

对于普通用户来说，除了等待Google的系统更新和应用厂商的修复升级外，还需要注意几点：将支付宝一类的支付应用，每日支付限额调整为200元；电商、旅行和外卖应用注意升级更新官方最新版本；目前国内市场除了部分老年机和iOS设备外，大部分为Android系统手机，不要有“我用的国产手机不是Android系统”的错误认知；最重要的是不要贪图小便宜，点击来历不明的红包链接。

据悉，“克隆漏洞”早在2012年便已经被发现，2017年底由腾讯安全玄武实验室通报给工信部，今年春节前后央视还对此进行了专门报道。