隨著移動互聯網的發展,過去PC端常見的“釣魚網站”不知不覺轉移到了手機上。近期,網絡安全平臺曝出國內多個知名APP被“克隆”,攻擊者向用戶發送惡意“釣魚鏈接”,利用盜取的信息進行非法操作,安卓系統成為該類APP漏洞的“重災區”。APP漏洞緣何而起?用戶又該如何進行防範?
用戶在手機上點擊來歷不明的鏈接,即可導致自己的支付寶登錄信息被“克隆”,鏈接製造者利用竊取來的登錄信息在另一臺手機上進行直接消費。騰訊方面針對安卓系統應用商店APP的測試顯示,在200個移動應用中有27個存在該漏洞,多個主流APP均在列。11個APP對該漏洞作了修復。
“應用克隆”漏洞涉及的APP廣泛,這些知名應用覆蓋的用戶數量巨大,如果該漏洞被不法分子利用,極有可能造成重大用戶隱私洩漏或資金被盜。
隨著移動互聯網的發展,過去PC端常見的“釣魚網站”不知不覺轉移到了手機上。近期,網絡安全平臺曝出國內多個知名APP被“克隆”,攻擊者向用戶發送惡意“釣魚鏈接”,利用盜取的信息進行非法操作,安卓系統成為該類APP漏洞的“重災區”。APP漏洞緣何而起?用戶又該如何進行防範?
用戶在手機上點擊來歷不明的鏈接,即可導致自己的支付寶登錄信息被“克隆”,鏈接製造者利用竊取來的登錄信息在另一臺手機上進行直接消費。騰訊方面針對安卓系統應用商店APP的測試顯示,在200個移動應用中有27個存在該漏洞,多個主流APP均在列。11個APP對該漏洞作了修復。
“應用克隆”漏洞涉及的APP廣泛,這些知名應用覆蓋的用戶數量巨大,如果該漏洞被不法分子利用,極有可能造成重大用戶隱私洩漏或資金被盜。
APP開發週期短 安全責任意識不到位
安卓APP遭遇“應用克隆”漏洞、“釣魚鏈接”高發的原因主要在於以下四個方面:
第一,安卓系統自身的安全性問題。由於安卓操作系統具有開源性,市場上不同廠商可根據不同需求對原生底層代碼進行修改,間接造成安卓操作系統的不安全,給漏洞APP的出現提供了“土壤”。
第二,APP開發者經驗不足,開發週期短,進入安卓市場前未進行充分監測。大部分情況下,一款APP是多個開發者協同完成的,開發者的個人經驗參差不齊導致一款APP各模塊安全問題不統一。另外,大部分APP的開發週期較短,開發者缺乏時間對APP安全問題進行系統化、體系化的研究,導致代碼中存在嚴重的業務邏輯漏洞、不安全參數濫用等安全問題。
第三,APP企業未對用戶登錄進行限制,缺乏系統的風險判定。據瞭解,本次“應用克隆”的漏洞中,同一賬號在不同手機都能同時登錄,正好暴露出該應用未對用戶登錄進行限制,給攻擊者提供了隱祕的環境進行資金轉移。
第四,APP企業未對APP進行認證保護,開發一個APP時應進行代碼軟件數字簽名的認證服務。通過對代碼的數字簽名可以減少軟件下載時彈出的安全警告,保證代碼完整性和不被惡意篡改,使廠商信息對下載用戶公開可見,從而建立良好的軟件品牌信譽度。
隨著移動互聯網的發展,過去PC端常見的“釣魚網站”不知不覺轉移到了手機上。近期,網絡安全平臺曝出國內多個知名APP被“克隆”,攻擊者向用戶發送惡意“釣魚鏈接”,利用盜取的信息進行非法操作,安卓系統成為該類APP漏洞的“重災區”。APP漏洞緣何而起?用戶又該如何進行防範?
用戶在手機上點擊來歷不明的鏈接,即可導致自己的支付寶登錄信息被“克隆”,鏈接製造者利用竊取來的登錄信息在另一臺手機上進行直接消費。騰訊方面針對安卓系統應用商店APP的測試顯示,在200個移動應用中有27個存在該漏洞,多個主流APP均在列。11個APP對該漏洞作了修復。
“應用克隆”漏洞涉及的APP廣泛,這些知名應用覆蓋的用戶數量巨大,如果該漏洞被不法分子利用,極有可能造成重大用戶隱私洩漏或資金被盜。
APP開發週期短 安全責任意識不到位
安卓APP遭遇“應用克隆”漏洞、“釣魚鏈接”高發的原因主要在於以下四個方面:
第一,安卓系統自身的安全性問題。由於安卓操作系統具有開源性,市場上不同廠商可根據不同需求對原生底層代碼進行修改,間接造成安卓操作系統的不安全,給漏洞APP的出現提供了“土壤”。
第二,APP開發者經驗不足,開發週期短,進入安卓市場前未進行充分監測。大部分情況下,一款APP是多個開發者協同完成的,開發者的個人經驗參差不齊導致一款APP各模塊安全問題不統一。另外,大部分APP的開發週期較短,開發者缺乏時間對APP安全問題進行系統化、體系化的研究,導致代碼中存在嚴重的業務邏輯漏洞、不安全參數濫用等安全問題。
第三,APP企業未對用戶登錄進行限制,缺乏系統的風險判定。據瞭解,本次“應用克隆”的漏洞中,同一賬號在不同手機都能同時登錄,正好暴露出該應用未對用戶登錄進行限制,給攻擊者提供了隱祕的環境進行資金轉移。
第四,APP企業未對APP進行認證保護,開發一個APP時應進行代碼軟件數字簽名的認證服務。通過對代碼的數字簽名可以減少軟件下載時彈出的安全警告,保證代碼完整性和不被惡意篡改,使廠商信息對下載用戶公開可見,從而建立良好的軟件品牌信譽度。
開發端加強安全意識 用戶自身留心防範
APP開發週期短、上線標準不完善、開發者安全責任意識薄弱等問題背後,暴露出國內應用開發體系亟待規範的現狀。系統供應商和APP開發者均需提高安全責任意識,而相關部門對待侵犯用戶隱私等違法行為的打擊力度也亟待強化。
無論是PC端還是移動端,諸多漏洞能夠被成功利用的主要原因,是用戶在收到惡意信息時防範不夠,多數人未對來源進行確認即進行點擊。
隨著移動互聯網的發展,過去PC端常見的“釣魚網站”不知不覺轉移到了手機上。近期,網絡安全平臺曝出國內多個知名APP被“克隆”,攻擊者向用戶發送惡意“釣魚鏈接”,利用盜取的信息進行非法操作,安卓系統成為該類APP漏洞的“重災區”。APP漏洞緣何而起?用戶又該如何進行防範?
用戶在手機上點擊來歷不明的鏈接,即可導致自己的支付寶登錄信息被“克隆”,鏈接製造者利用竊取來的登錄信息在另一臺手機上進行直接消費。騰訊方面針對安卓系統應用商店APP的測試顯示,在200個移動應用中有27個存在該漏洞,多個主流APP均在列。11個APP對該漏洞作了修復。
“應用克隆”漏洞涉及的APP廣泛,這些知名應用覆蓋的用戶數量巨大,如果該漏洞被不法分子利用,極有可能造成重大用戶隱私洩漏或資金被盜。
APP開發週期短 安全責任意識不到位
安卓APP遭遇“應用克隆”漏洞、“釣魚鏈接”高發的原因主要在於以下四個方面:
第一,安卓系統自身的安全性問題。由於安卓操作系統具有開源性,市場上不同廠商可根據不同需求對原生底層代碼進行修改,間接造成安卓操作系統的不安全,給漏洞APP的出現提供了“土壤”。
第二,APP開發者經驗不足,開發週期短,進入安卓市場前未進行充分監測。大部分情況下,一款APP是多個開發者協同完成的,開發者的個人經驗參差不齊導致一款APP各模塊安全問題不統一。另外,大部分APP的開發週期較短,開發者缺乏時間對APP安全問題進行系統化、體系化的研究,導致代碼中存在嚴重的業務邏輯漏洞、不安全參數濫用等安全問題。
第三,APP企業未對用戶登錄進行限制,缺乏系統的風險判定。據瞭解,本次“應用克隆”的漏洞中,同一賬號在不同手機都能同時登錄,正好暴露出該應用未對用戶登錄進行限制,給攻擊者提供了隱祕的環境進行資金轉移。
第四,APP企業未對APP進行認證保護,開發一個APP時應進行代碼軟件數字簽名的認證服務。通過對代碼的數字簽名可以減少軟件下載時彈出的安全警告,保證代碼完整性和不被惡意篡改,使廠商信息對下載用戶公開可見,從而建立良好的軟件品牌信譽度。
開發端加強安全意識 用戶自身留心防範
APP開發週期短、上線標準不完善、開發者安全責任意識薄弱等問題背後,暴露出國內應用開發體系亟待規範的現狀。系統供應商和APP開發者均需提高安全責任意識,而相關部門對待侵犯用戶隱私等違法行為的打擊力度也亟待強化。
無論是PC端還是移動端,諸多漏洞能夠被成功利用的主要原因,是用戶在收到惡意信息時防範不夠,多數人未對來源進行確認即進行點擊。
提醒手機用戶:選擇正規平臺下載APP,下載經過代碼簽名認證的APP;收到來源不明的鏈接、二維碼,不輕易點開;資金支出時需進行二次驗證;及時通過官方途徑更新操作系統和軟件。
相關推薦
