國內安全機構近日披露，部分安卓APP存在安全漏洞，用戶賬戶信息可被復制并消費——

“應用克隆”威脅帶給移動安全哪些警示

點擊手機短信里一條鏈接，打開后看似是正常的搶紅包頁面，但無論你是否點擊紅包，支付寶應用都已被“克隆”到了另一部手機上，攻擊者可以隨意點開你的支付寶消費……國內安全機構近日披露，檢測發(fā)現(xiàn)國內安卓應用市場約有十分之一的APP存在漏洞，支付寶、攜程、餓了么等多個主流APP均在列，并且這種漏洞易被“應用克隆”攻擊。

雖然支付寶等應用漏洞已基本修復，但“克隆應用”威脅模型的曝出令人們震驚不已。業(yè)界人士分析，該攻擊模型基于移動應用的基本設計特點，幾乎所有應用均適用該模型。在這種攻擊模型視角下，很多以前認為威脅不大、廠商不重視的安全問題，都可以輕松“克隆”用戶賬戶，竊取隱私信息、盜取資金。用戶如何應對手機應用被“克隆”？“應用克隆”威脅的背后，又折射出哪些移動互聯(lián)的新風險？日前，記者對此進行了探訪。

1. “應用克隆”的神秘面紗

國內安卓應用市場研究人員監(jiān)測了約200個應用，發(fā)現(xiàn)其中27個存在漏洞，18個可被遠程攻擊。國家互聯(lián)網(wǎng)應急中心網(wǎng)絡安全處副處長李佳表示，國家信息安全漏洞共享平臺在2017年12月7日接到騰訊應用檢測報告，并迅速安排技術人員驗證、為漏洞分配編號，在2017年12月10日向27家具體應用發(fā)送點對點的漏洞安全通報和漏洞修復方案。“發(fā)出通報后不久，我們收到了支付寶、百度外賣、國美等大部分APP廠商的主動反饋，并表示已在進行漏洞修復進程。”

“應用克隆”的可怕之處在于：與以往的攻擊不同，它實際上并不依靠傳統(tǒng)木馬病毒，也不需要用戶下載“李鬼”應用，而是可以利用漏洞直接“克隆”。“就像過去想進入他人的酒店房間，需要把鎖弄壞，但現(xiàn)在的方式是復制了一張你的酒店房卡，不但能隨時進出，還能以你的名義在酒店消費。”騰訊安全玄武實驗室負責人于旸說。

不過，“好消息”同樣存在：一方面，被曝出的“應用克隆”漏洞只對安卓系統(tǒng)有效，蘋果手機目前不受影響；另一方面，目前尚未出現(xiàn)已知案例利用這種途徑對用戶發(fā)起攻擊。

用戶如何防范這種攻擊？“攻擊短信用戶幾乎無從分辨，普通用戶防范的問題還比較頭疼。”于旸坦言。不過，攻擊者發(fā)送短信或二維碼情況較多，用戶要少點擊別人發(fā)來的鏈接，對不太確信的二維碼也不要出于好奇掃描，最重要的一點是要關注官方升級，包括操作系統(tǒng)與移動應用的官方升級。

2. 新風險讓移動安全問題更復雜

如今，操作系統(tǒng)在攻防對抗中增加了大量防御功能，傳統(tǒng)漏洞攻擊實施難度不斷增加。這是否意味著移動操作系統(tǒng)漏洞威脅的減輕？“這只是錯覺！”在于旸看來，移動應用有許多不同于傳統(tǒng)軟件的特點。比如，PC時代系統(tǒng)安全十分重要，而“端云一體”的移動時代還涉及用戶賬號體系和數(shù)據(jù)的安全，要保護好這些僅靠系統(tǒng)安全還遠遠不夠。

“由于移動互聯(lián)的自身特點，會引入更多安全的新變量和‘耦合點’，這些很有可能結合出新風險。”于旸說，某個單純的節(jié)點可能都沒問題，但這些點相互耦合形成復雜的網(wǎng)狀，使得移動安全更加復雜多面。

“市場上各類應用眾多，但安全標準不統(tǒng)一，移動應用缺乏規(guī)范的安全標識，用戶也無法清晰獲知應用是否安全。”在日前舉辦的第二十屆亞洲反病毒大會上，國家計算機病毒應急處理中心常務副主任陳建民介紹，各類流氓軟件中竊取個人隱私情況達95%以上，手機應用木馬病毒、盜版應用等問題也十分普遍。

另外，不少移動應用的隱私政策普遍存在問題，也帶來不少安全隱患。《南方都市報》日前發(fā)布的《2017個人信息保護年度報告》顯示，在近三年工信部公布的466款不良移動應用中，有些被責令下架后經(jīng)過包裝可能再次上線；另外，研究人員對1500多個APP與網(wǎng)站的隱私政策測評發(fā)現(xiàn)，普遍存在平臺透明度低的情況，隱私政策存在用戶權利條款缺失、文本雷同、更新緩慢、暗藏格式條款等弊病。

3. 建立“移動安全新思維”

“安全領域問題都不能指望一招徹底解決，因為它涉及了多個因素，必須采取一系列的縱深防御措施才能出現(xiàn)好的結果。”于旸說。

騰訊安全玄武實驗室在“應用克隆”威脅研究中發(fā)現(xiàn)，其涉及的部分技術曾有研究人員提及過，但在業(yè)界并未引起足夠重視。“大部分移動應用在設計上都沒有考慮這種攻擊方式。”于旸表示，移動互聯(lián)網(wǎng)時代安全廠商必須意識到各種新技術、新設計會帶來更多新問題，必須建立“移動安全新思維”，才能避免在安全方面積重難返。

面對移動應用領域出現(xiàn)的各類安全威脅，于旸表示，絕對不能說依靠某一環(huán)節(jié)和單純讓用戶提高防范意識就能解決問題，也不能依賴某一兩家廠商扭轉態(tài)勢，只有手機生產(chǎn)商、應用開發(fā)商以及包括安全行業(yè)整個鏈條上的每個環(huán)節(jié)攜手共同努力，才能為移動互聯(lián)網(wǎng)行業(yè)發(fā)展創(chuàng)造健康的環(huán)境。

目前，相關部門也在不斷推進安全風險的共聯(lián)、共治。李佳表示，在這次事件中發(fā)揮作用的國家信息安全共享平臺已聯(lián)合了國內的重大信息系統(tǒng)單位，如基礎電信運營商、安全廠商以及相關互聯(lián)網(wǎng)企業(yè)等60家單位，共享各自發(fā)現(xiàn)的漏洞并及時通報消息。截至目前，共收錄軟硬件產(chǎn)品漏洞10萬起，具體事件型漏洞30萬起，黨政機關和重要信息系統(tǒng)漏洞6.9萬起。

(光明網(wǎng)記者 李政葳)