“应用克隆”这一移动攻击威胁模型的对外披露,引发了不少网民的恐慌情绪。一些一度被认为威胁不大、厂商也不重视的安全漏洞,竟然能“克隆”用户账户、窃取隐私信息、盗取账号及资金……营造安全移动支付环境,容不得一丝侥幸。手机厂商、应用开发商、网络安全研究者应携起手来,共同落实网络安全法及其他法律法规要求,彻底堵死可能的风险与漏洞——
在手机上点击一个网站链接,打开的是一个看似完全正常的抢红包页面,但无论你是否点击红包,你的支付宝应用已经在另一台手机上被“克隆”,甚至包括你的用户名和密码,攻击者可以点开支付宝付款码消费。
尽管现在支付宝已经修复了这一漏洞,但腾讯安全玄武实验室与知道创宇404实验室1月9日披露的攻击威胁模型“应用克隆”仍令人十分震惊。腾讯安全玄武实验室负责人于旸表示:“该攻击模型是基于移动应用的一些基本特点设计的。所以,几乎所有移动应用都适用该攻击模型。”研究显示,市面上200多款常见安卓应用中,有27款应用可被这种方式攻击,占比超过10%。
岁末年初,网络安全又成为很多人热议的话题。你的手机被“克隆”了吗?有什么防范方法?在这个“可怕”的攻击威胁背后,又折射出怎样的移动互联网时代安全新形势?经济日报记者采访了相关专家。
厂商安全意识薄弱——
应用及时升级很重要
“应用克隆”的可怕之处在于,与以往的木马攻击不同,它实际上并不依靠传统的木马病毒,也不需要用户下载“冒名顶替”常见应用的“李鬼”应用。于旸比喻说:“这就像过去想进入你的酒店房间,需要把锁弄坏,但现在的方式是复制了一张你的酒店房卡,不仅能随时进出,还能以你的名义在酒店消费。”
