安卓APP頻現「釣魚鏈接」 信息安全如何保障?
安卓APP頻現「釣魚鏈接」 移動互聯網時代信息安全如何保障?
新華社廣州1月17日電(記者胡林果)隨著移動互聯網的發展,過去PC端常見的「釣魚網站」不知不覺轉移到了手機上。近期,網路安全平台曝出國內多個知名APP被「克隆」,攻擊者向用戶發送惡意「釣魚鏈接」,利用盜取的信息進行非法操作,安卓系統成為該類APP漏洞的「重災區」。APP漏洞緣何而起?用戶又該如何進行防範?對此,記者進行了調查。
克隆軟體多發 安卓用戶頻頻中招
騰訊安全玄武實驗室於近日正式對外披露移動攻擊威脅模型——「應用克隆」:用戶在手機上點擊來歷不明的鏈接,即可導致自己的支付寶登錄信息被「克隆」,鏈接製造者利用竊取來的登錄信息在另一台手機上進行直接消費。
補天漏洞響應平台核心「白帽子」馬鑫宇向記者解釋了這一漏洞:攻擊者利用漏洞,遠程獲取用戶隱私數據(包括手機應用數據、照片、文件等敏感信息),還可竊取用戶登錄憑證,在受害者毫無察覺的情況下實現對APP用戶賬戶的完全控制。「相當於另外複製一個你當前登陸信息的操作。」馬鑫宇說。
騰訊方面針對安卓系統應用商店APP的測試顯示,在200個移動應用中有27個存在該漏洞,多個主流APP均在列。11個APP對該漏洞作了修復。
安全工程師紀崇廉表示,「應用克隆」漏洞涉及的APP廣泛,這些知名應用覆蓋的用戶數量巨大,如果該漏洞被不法分子利用,極有可能造成重大用戶隱私泄漏或資金被盜。
APP開發周期短 安全責任意識不到位
業內人士認為,安卓APP遭遇「應用克隆」漏洞、「釣魚鏈接」高發的原因主要在於以下三個方面:
第一,安卓系統自身的安全性問題。馬鑫宇表示,由於安卓操作系統具有開源性,市場上不同廠商可根據不同需求對原生底層代碼進行修改,間接造成安卓操作系統的不安全,給漏洞APP的出現提供了「土壤」。
第二,APP開發者經驗不足,開發周期短,進入安卓市場前未進行充分監測。據紀崇廉介紹,大部分情況下,一款APP是多個開發者協同完成的,開發者的個人經驗參差不齊導致一款APP各模塊安全問題不統一。
另外,大部分APP的開發周期較短,開發者缺乏時間對APP安全問題進行系統化、體系化的研究,導致代碼中存在嚴重的業務邏輯漏洞、不安全參數濫用等安全問題。
第三,APP企業未對用戶登錄進行限制,缺乏系統的風險判定。據了解,本次「應用克隆」的漏洞中,同一賬號在不同手機都能同時登錄,正好暴露出該應用未對用戶登錄進行限制,給攻擊者提供了隱秘的環境進行資金轉移。
開發端加強安全意識 用戶自身留心防範
業內人士認為,APP開發周期短、上線標準不完善、開發者安全責任意識薄弱等問題背後,暴露出國內應用開發體系亟待規範的現狀。對此,馬鑫宇等人認為,系統供應商和APP開發者均需提高安全責任意識,而相關部門對待侵犯用戶隱私等違法行為的打擊力度也亟待強化。
我國已於2017年6月1日開始正式實施《中華人民共和國網路安全法》,對企業保障用戶安全、網路安全都進行了明確規定。艾媒諮詢集團CEO張毅認為,相關部門應根據網路安全法制定符合各地實際的網路安全等級法規,將網路信息安全管理的相關條例精細化並予以落實,給違法企業及個人以強有力的威懾。
補天漏洞響應平台安全專家葛坤表示,從操作層面來看,無論是PC端還是移動端,諸多漏洞能夠被成功利用的主要原因,是用戶在收到惡意信息時防範不夠,多數人未對來源進行確認即進行點擊。
對此,葛坤等人提醒手機用戶:選擇正規平台下載APP;收到來源不明的鏈接、二維碼,不輕易點開;資金支出時需進行二次驗證;及時通過官方途徑更新操作系統和軟體。
TAG:中國經濟網 |