电子报旧版 2018年01月18日 上一期 下一期
3上一篇  4下一篇  
返回本版列表    点击率:  字体: 放大  默认  缩小  
经 济
8 6/8 5 6 7 > >|
PDF版
本版面文章
· “中国加速度”持续推动世界经济前行
· 安卓APP频现“钓鱼链接”,盗取个人信息
· 银联:中老年及“90后”更需关注移动支付安全
· 央企负债率再降 约400户实现出清
· 营改增减税近2万亿,今年坚决不收“过头税”
· 人民币汇率创新高旅游换汇正当时

  相关文章: 
安卓APP频现“钓鱼链接”,盗取个人信息

( 2018-01-18 ) 稿件来源:新华每日电讯 经 济
 
  据新华社广州1月17日电(记者胡林果)随着移动互联网的发展,过去PC端常见的“钓鱼网站”不知不觉转移到了手机上。近期,网络安全平台曝出国内多个知名APP被“克隆”,攻击者向用户发送恶意“钓鱼链接”,利用盗取的信息进行非法操作,安卓系统成为该类APP漏洞的“重灾区”。APP漏洞缘何而起?用户又该如何进行防范?对此,记者进行了调查。

克隆软件多发

安卓用户频频中招



  腾讯安全玄武实验室于近日正式对外披露移动攻击威胁模型——“应用克隆”:用户在手机上点击来历不明的链接,即可导致自己的支付宝登录信息被“克隆”,链接制造者利用窃取来的登录信息在另一台手机上进行直接消费。

  补天漏洞响应平台核心“白帽子”马鑫宇向记者解释了这一漏洞:攻击者利用漏洞,远程获取用户隐私数据(包括手机应用数据、照片、文件等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。“相当于另外复制一个你当前登录信息的操作。”马鑫宇说。

  腾讯方面针对安卓系统应用商店APP的测试显示,在200个移动应用中有27个存在该漏洞,多个主流APP均在列。11个APP对该漏洞作了修复。

  安全工程师纪崇廉表示,“应用克隆”漏洞涉及的APP广泛,这些知名应用覆盖的用户数量巨大,如果该漏洞被不法分子利用,极有可能造成重大用户隐私泄漏或资金被盗。

APP开发周期短

安全责任意识不到位



  业内人士认为,安卓APP遭遇“应用克隆”漏洞、“钓鱼链接”高发的原因主要在于以下三个方面:

  第一,安卓系统自身的安全性问题。马鑫宇表示,由于安卓操作系统具有开源性,市场上不同厂商可根据不同需求对原生底层代码进行修改,间接造成安卓操作系统的不安全,给漏洞APP的出现提供了“土壤”。

  第二,APP开发者经验不足,开发周期短,进入安卓市场前未进行充分监测。据纪崇廉介绍,大部分情况下,一款APP是多个开发者协同完成的,开发者的个人经验参差不齐导致一款APP各模块安全问题不统一。

  另外,大部分APP的开发周期较短,开发者缺乏时间对APP安全问题进行系统化、体系化的研究,导致代码中存在严重的业务逻辑漏洞、不安全参数滥用等安全问题。

  第三,APP企业未对用户登录进行限制,缺乏系统的风险判定。据了解,本次“应用克隆”的漏洞中,同一账号在不同手机都能同时登录,正好暴露出该应用未对用户登录进行限制,给攻击者提供了隐秘的环境进行资金转移。

开发端加强安全意识

用户自身留心防范



  马鑫宇等人认为,系统供应商和APP开发者均需提高安全责任意识,而相关部门对待侵犯用户隐私等违法行为的打击力度也亟待强化。

  我国已于2017年6月1日开始正式实施《中华人民共和国网络安全法》,对企业保障用户安全、网络安全都进行了明确规定。艾媒咨询集团CEO张毅认为,相关部门应根据网络安全法制定符合各地实际的网络安全等级法规,将网络信息安全管理的相关条例精细化并予以落实,给违法企业及个人以强有力的威慑。

  补天漏洞响应平台安全专家葛坤表示,从操作层面来看,无论是PC端还是移动端,诸多漏洞能够被成功利用的主要原因,是用户在收到恶意信息时防范不够,多数人未对来源进行确认即进行点击。

  对此,葛坤等人提醒手机用户:选择正规平台下载APP;收到来源不明的链接、二维码,不轻易点开;资金支出时需进行二次验证;及时通过官方途径更新操作系统和软件。

 

安卓APP频现“钓鱼链接”,盗取个人信息

( 2018-01-18 ) 稿件来源: 新华每日电讯经 济
  相关文章: 

   
 
 请注意:



·遵守中华人民共和国有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。
·新华每日电讯拥有管理笔名和留言的一切权利。
·您在新华每日电讯留言板发表的言论,新华每日电讯有权在网站内转载或引用。
·新华每日电讯新闻留言板管理人员有权保留或删除其管辖留言中的任意内容。
·如您对管理有意见请向留言板管理员反映。