点击短信中链接或扫二维码，都可能中招

腾讯安全玄武实验室负责人于旸介绍，攻击者完全可以把与攻击相关的代码，隐藏在一个看起来很正常的页面里面，你打开的时候，你肉眼看见的是正常的网页，可能是个新闻，可能是个视频、可能是个图片，但实际上攻击代码悄悄的在后面执行。

有时候，点开链接还可能看起来是一款常用APP的推广页面：

现场展示：用户点击一下短信中的链接，看起来是打开了一个正常的携程页面，此时攻击者已经完整的克隆了用户。个人隐私信息，这个账户都可以查看到的

专家表示，只要手机应用存在漏洞，一旦点击短信中的攻击链接，或者扫描恶意的二维码，APP中的数据都可能被复制。

目前，“应用克隆”这一漏洞只对安卓系统有效，苹果手机则不受影响。

如何进行防范？

据中新网报道，国家互联网应急中心网络安全处副处长李佳表示，在获取到漏洞的相关情况之后，中心安排了相关的技术人员对漏洞进行了验证，并且也为漏洞分配了漏洞编号(CVE201736682)，于2017年12月10号向27家具体的APP发送了漏洞安全通报，提供漏洞详细情况及建立了修复方案。目前有的APP已经有修复了，有的还没有修复。

1月9日，国家信息安全漏洞共享平台发布公告称，安卓 WebView控件存在跨域访问高危漏洞。

国家信息安全漏洞共享平台（CNVD）接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞。

攻击者利用该漏洞，可远程获取用户隐私数据（包括手机应用数据、照片、文档等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。

由于该组件广泛应用于Android平台，导致大量APP受影响，构成较为严重的攻击威胁。

普通用户最关心的则是如何能对这一攻击方式进行防范。知道创宇404实验室负责人回答记者提问时表示，普通用户的防范比较头疼，但仍有一些通用的安全措施：

一是别人发给你的链接少点，不太确定的二维码不要出于好奇去扫；

更重要的是，要关注官方的升级，包括你的操作系统和手机应用，真的需要及时升级。