随着移动互联网的发展,过去PC端常见的“钓鱼网站”不知不觉转移到了手机上。近期,网络安全平台曝出国内多个知名APP被“克隆”,攻击者向用户发送恶意“钓鱼链接”,利用盗取的信息进行非法操作,安卓系统成为该类APP漏洞的“重灾区”。APP漏洞缘何而起?用户又该如何进行防范?
用户在手机上点击来历不明的链接,即可导致自己的支付宝登录信息被“克隆”,链接制造者利用窃取来的登录信息在另一台手机上进行直接消费。腾讯方面针对安卓系统应用商店APP的测试显示,在200个移动应用中有27个存在该漏洞,多个主流APP均在列。11个APP对该漏洞作了修复。
“应用克隆”漏洞涉及的APP广泛,这些知名应用覆盖的用户数量巨大,如果该漏洞被不法分子利用,极有可能造成重大用户隐私泄漏或资金被盗。
APP开发周期短 安全责任意识不到位
安卓APP遭遇“应用克隆”漏洞、“钓鱼链接”高发的原因主要在于以下四个方面:
第一,安卓系统自身的安全性问题。由于安卓操作系统具有开源性,市场上不同厂商可根据不同需求对原生底层代码进行修改,间接造成安卓操作系统的不安全,给漏洞APP的出现提供了“土壤”。
第二,APP开发者经验不足,开发周期短,进入安卓市场前未进行充分监测。大部分情况下,一款APP是多个开发者协同完成的,开发者的个人经验参差不齐导致一款APP各模块安全问题不统一。另外,大部分APP的开发周期较短,开发者缺乏时间对APP安全问题进行系统化、体系化的研究,导致代码中存在严重的业务逻辑漏洞、不安全参数滥用等安全问题。
第三,APP企业未对用户登录进行限制,缺乏系统的风险判定。据了解,本次“应用克隆”的漏洞中,同一账号在不同手机都能同时登录,正好暴露出该应用未对用户登录进行限制,给攻击者提供了隐秘的环境进行资金转移。
第四,APP企业未对APP进行认证保护,开发一个APP时应进行代码软件数字签名的认证服务。通过对代码的数字签名可以减少软件下载时弹出的安全警告,保证代码完整性和不被恶意篡改,使厂商信息对下载用户公开可见,从而建立良好的软件品牌信誉度。
开发端加强安全意识 用户自身留心防范
APP开发周期短、上线标准不完善、开发者安全责任意识薄弱等问题背后,暴露出国内应用开发体系亟待规范的现状。系统供应商和APP开发者均需提高安全责任意识,而相关部门对待侵犯用户隐私等违法行为的打击力度也亟待强化。
无论是PC端还是移动端,诸多漏洞能够被成功利用的主要原因,是用户在收到恶意信息时防范不够,多数人未对来源进行确认即进行点击。
提醒手机用户:选择正规平台下载APP,下载经过代码签名认证的APP;收到来源不明的链接、二维码,不轻易点开;资金支出时需进行二次验证;及时通过官方途径更新操作系统和软件。
领取优惠
提交成功!