年轻人互联网创业项目信息安全各个领域暗藏大量“黑天鹅” 多达13%-智能手机App遗重大安全漏洞

1月底9日，搜狐安全玄武的实验室宣告，新近找到了一种新型的行进反击严重威胁建模，并将其名称为“应用于克隆”。招待会上，玄武的实验室以支付宝App为例展出了“应用于克隆”反击的“效果”：在升级到最新安卓8.1.0的智能手机上，“攻击者”向使用者发送到一条包括蓄意URL的手机短信，使用者一旦页面，其支付宝帐户瞬间就被“克隆”到“攻击者”的智能手机中的，然后“攻击者”在自己智能手机上可以给定查看使用者帐户数据，并可进行消费者。

值得一提的是，不存在“应用于克隆”安全漏洞的并非支付宝App一家，玄武的实验室主管于�认为，大量主流App都不存在该安全漏洞，玄武的实验室检验了国外安卓该系统中的的200个著名App，其中27家不存在该安全漏洞，占到比多达13%-，其中还包括聚美优品、国美、墨迹天气状况、一点的资讯、携程、百度外卖、京东到家、饿了么、Wi-Fi万能钥匙、小米生活、同程旅游观光、百度旅游观光、豆瓣、驴妈妈、赶集网、易车、咕咚、豹扑等。

回应，有业内人士认为，这些著名App的新技术团队战斗力都很强，况且如此，数目更加可观非一线App，不存在安全漏洞的比率应当只低不较低，如果不采行措施，在互联网各个领域再次发生“黑天鹅”的比率，甚至要远高于资产消费市场。

由于并非个例且事关重大，玄武的实验室于2017年12月底7日将上述27家App的安全漏洞状况请示到国家数据漏洞共享平台（CNVD）。CNVD旋即安排相关技术人员对安全漏洞进行了检验并重新分配了安全漏洞序号（CNE201.36682）。12月底10日，CNVD向安全漏洞牵涉到的27家App发送到了点对点的安全漏洞安全通知，同时提供了安全漏洞的详细情况及创建了修缮计划。

国家网络紧急中心信息安全一处处长李佳回应：“现在，我想要代表国家网络紧急中心和CNVD对玄武的实验室所做的工作感谢。玄武的实验室这些年来早已向我们CNVD平台报送了多达190起的通用软件安全漏洞。这次玄武的实验室找到的新型病原体对安卓该系统的一种招式，可以说道负面影响范围内特别大，损害也是极大的，刚才通过相关的演示也看见了。玄武的实验室在第一星期向我们平台报送了相关的安全漏洞，可以说道为我们对相关的事件紧急响应提供了宝贵的星期”。

尽管CNVD已于12月底10日对27家App进行了点对点的通知，不过，截至招待会开会时，睽违1个月底，还有不少App并未修缮安全漏洞或不予反馈。“发出通知后旋即，CNVD就接到了支付宝、百度外卖、国美等大部份App的反馈，回应他们早已在修缮安全漏洞”，李佳回应，“由于各个团队的新技术战斗能力有相差，目前有的App早已修缮安全漏洞了，有的App还没修缮。截至到1月底8日，还没接到反馈的App还包括京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、豹扑、微店等10家厂家。在此，也期望这10家没第一时间反馈的中小企业切实加强信息安全营运战斗能力，落实信息安全规章的主体法律责任拒绝”。

作为被举例演示的App,名记者从支付宝相关主管一处认识到，支付宝已在一个月之前对App进行了升级，修缮了这一安卓安全漏洞，支付宝使用者的帐户安全会严重影响。

不过，令人费解的是，此番被点名的10家App中的，多家App在接受名记者专访时回应，未取得来自CNVD有关该安全漏洞的通报。同时亦回应，如果取得了通报，认同不会大力反馈和修缮。

必须提到的是，在此之前诈骗病原体之所以能在短时间内内波及全世界，其中一个最重要因素就是警示信息沟通不第一时间。

不受心力所限，此次玄武试验室只是选取了更为著名的200个App进行了试验，且13%-不存在“应用于克隆”安全漏洞。不难想见，还有大量不存在安全漏洞的App在“裸奔”，用于这些App的使用者的智能手机随时有可能遭反击。“还有很多App,他们有难题，但是他们自己不告诉，没任何一个人有心力把全中国的App都检验一遍，更好的是必须厂家自查，这才是我们此次透露的涵义”，于�回应。