安卓APP頻現(xiàn)“釣魚(yú)鏈接” 移動(dòng)互聯(lián)網(wǎng)時(shí)代信息安全如何保障？

新華社廣州1月17日電（記者 胡林果）隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，過(guò)去PC端常見(jiàn)的“釣魚(yú)網(wǎng)站”不知不覺(jué)轉(zhuǎn)移到了手機(jī)上。近期，網(wǎng)絡(luò)安全平臺(tái)曝出國(guó)內(nèi)多個(gè)知名APP被“克隆”，攻擊者向用戶發(fā)送惡意“釣魚(yú)鏈接”，利用盜取的信息進(jìn)行非法操作，安卓系統(tǒng)成為該類APP漏洞的“重災(zāi)區(qū)”。APP漏洞緣何而起？用戶又該如何進(jìn)行防范？對(duì)此，記者進(jìn)行了調(diào)查。

克隆軟件多發(fā)　安卓用戶頻頻中招

騰訊安全玄武實(shí)驗(yàn)室于近日正式對(duì)外披露移動(dòng)攻擊威脅模型——“應(yīng)用克隆”：用戶在手機(jī)上點(diǎn)擊來(lái)歷不明的鏈接，即可導(dǎo)致自己的支付寶登錄信息被“克隆”，鏈接制造者利用竊取來(lái)的登錄信息在另一臺(tái)手機(jī)上進(jìn)行直接消費(fèi)。

補(bǔ)天漏洞響應(yīng)平臺(tái)核心“白帽子”馬鑫宇向記者解釋了這一漏洞：攻擊者利用漏洞，遠(yuǎn)程獲取用戶隱私數(shù)據(jù)（包括手機(jī)應(yīng)用數(shù)據(jù)、照片、文件等敏感信息），還可竊取用戶登錄憑證，在受害者毫無(wú)察覺(jué)的情況下實(shí)現(xiàn)對(duì)APP用戶賬戶的完全控制。“相當(dāng)于另外復(fù)制一個(gè)你當(dāng)前登陸信息的操作。”馬鑫宇說(shuō)。

騰訊方面針對(duì)安卓系統(tǒng)應(yīng)用商店APP的測(cè)試顯示，在200個(gè)移動(dòng)應(yīng)用中有27個(gè)存在該漏洞，多個(gè)主流APP均在列。11個(gè)APP對(duì)該漏洞作了修復(fù)。

安全工程師紀(jì)崇廉表示，“應(yīng)用克隆”漏洞涉及的APP廣泛，這些知名應(yīng)用覆蓋的用戶數(shù)量巨大，如果該漏洞被不法分子利用，極有可能造成重大用戶隱私泄漏或資金被盜。

APP開(kāi)發(fā)周期短　安全責(zé)任意識(shí)不到位

業(yè)內(nèi)人士認(rèn)為，安卓APP遭遇“應(yīng)用克隆”漏洞、“釣魚(yú)鏈接”高發(fā)的原因主要在于以下三個(gè)方面：

第一，安卓系統(tǒng)自身的安全性問(wèn)題。馬鑫宇表示，由于安卓操作系統(tǒng)具有開(kāi)源性，市場(chǎng)上不同廠商可根據(jù)不同需求對(duì)原生底層代碼進(jìn)行修改，間接造成安卓操作系統(tǒng)的不安全，給漏洞APP的出現(xiàn)提供了“土壤”。

第二，APP開(kāi)發(fā)者經(jīng)驗(yàn)不足，開(kāi)發(fā)周期短，進(jìn)入安卓市場(chǎng)前未進(jìn)行充分監(jiān)測(cè)。據(jù)紀(jì)崇廉介紹，大部分情況下，一款A(yù)PP是多個(gè)開(kāi)發(fā)者協(xié)同完成的，開(kāi)發(fā)者的個(gè)人經(jīng)驗(yàn)參差不齊導(dǎo)致一款A(yù)PP各模塊安全問(wèn)題不統(tǒng)一。

另外，大部分APP的開(kāi)發(fā)周期較短，開(kāi)發(fā)者缺乏時(shí)間對(duì)APP安全問(wèn)題進(jìn)行系統(tǒng)化、體系化的研究，導(dǎo)致代碼中存在嚴(yán)重的業(yè)務(wù)邏輯漏洞、不安全參數(shù)濫用等安全問(wèn)題。

第三，APP企業(yè)未對(duì)用戶登錄進(jìn)行限制，缺乏系統(tǒng)的風(fēng)險(xiǎn)判定。據(jù)了解，本次“應(yīng)用克隆”的漏洞中，同一賬號(hào)在不同手機(jī)都能同時(shí)登錄，正好暴露出該應(yīng)用未對(duì)用戶登錄進(jìn)行限制，給攻擊者提供了隱秘的環(huán)境進(jìn)行資金轉(zhuǎn)移。

開(kāi)發(fā)端加強(qiáng)安全意識(shí)　用戶自身留心防范

業(yè)內(nèi)人士認(rèn)為，APP開(kāi)發(fā)周期短、上線標(biāo)準(zhǔn)不完善、開(kāi)發(fā)者安全責(zé)任意識(shí)薄弱等問(wèn)題背后，暴露出國(guó)內(nèi)應(yīng)用開(kāi)發(fā)體系亟待規(guī)范的現(xiàn)狀。對(duì)此，馬鑫宇等人認(rèn)為，系統(tǒng)供應(yīng)商和APP開(kāi)發(fā)者均需提高安全責(zé)任意識(shí)，而相關(guān)部門(mén)對(duì)待侵犯用戶隱私等違法行為的打擊力度也亟待強(qiáng)化。

我國(guó)已于2017年6月1日開(kāi)始正式實(shí)施《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，對(duì)企業(yè)保障用戶安全、網(wǎng)絡(luò)安全都進(jìn)行了明確規(guī)定。艾媒咨詢集團(tuán)CEO張毅認(rèn)為，相關(guān)部門(mén)應(yīng)根據(jù)網(wǎng)絡(luò)安全法制定符合各地實(shí)際的網(wǎng)絡(luò)安全等級(jí)法規(guī)，將網(wǎng)絡(luò)信息安全管理的相關(guān)條例精細(xì)化并予以落實(shí)，給違法企業(yè)及個(gè)人以強(qiáng)有力的威懾。

補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家葛坤表示，從操作層面來(lái)看，無(wú)論是PC端還是移動(dòng)端，諸多漏洞能夠被成功利用的主要原因，是用戶在收到惡意信息時(shí)防范不夠，多數(shù)人未對(duì)來(lái)源進(jìn)行確認(rèn)即進(jìn)行點(diǎn)擊。

對(duì)此，葛坤等人提醒手機(jī)用戶：選擇正規(guī)平臺(tái)下載APP；收到來(lái)源不明的鏈接、二維碼，不輕易點(diǎn)開(kāi)；資金支出時(shí)需進(jìn)行二次驗(yàn)證；及時(shí)通過(guò)官方途徑更新操作系統(tǒng)和軟件。