警惕你的支付应用被“克隆”！10%安卓APP被曝存安全漏洞

　　如何防范：不随意扫码点链，做好操作系统、APP官方升级

　　对于“应用克隆”风险，用户如何防范？“其实，普通用户防范的问题还是比较头疼的。”于旸介绍，比如，这种攻击短信用户几乎无从分辨，看起来与其他短信没有什么区别；有可能发来短信的攻击者号码不在用户的好友通讯录名单里，虽然是未知号码，但很多垃圾短信可以通过伪基站伪造成银行号码等。

　　“安全领域问题其实都不能指望谁给一条妙计，然后一招彻底解决问题，因为它涉及了多个因素，采取一系列的纵深防御措施才能出现比较好的状态。”于旸补充说。

　　周景平表示，黑客或攻击者可以在各种场景利用这一漏洞实施侵害，比较常见的可能是发短信或二维码诱导用户点击、扫描，对于一些普通用户来说，首先别人发来的链接少点，对于不太确信的二维码也不要出于好奇扫描。“最重要的一点是，要关注官方升级，包括操作系统与APP的官方升级”。

　　一旦用户遭遇“应用克隆”风险侵害，监管部门如何实现有效追责或溯源？“攻击行为除了攻击路径外，还要有一个是获利路径。前者可以通过一些技术方式隐藏，但获利路径相对来说比较难隐藏。因此，很多网络犯罪案件的侦破其实都是循着获利路径作为线索。”于旸说。

　　央视节目截图

　　移动互联时代，新风险让安全问题更加复杂

　　在过去的十几年里，操作系统在攻防对抗中增加了大量安全防御功能，传统漏洞攻击思路的实施难度比过去大大增加。这是否意味着移动操作系统的漏洞威胁没有那么大了？“只是一种错觉！”在于旸看来，PC时代的安全思维对移动时代来说是不够的，移动设备有诸多不同于PC的特点，而移动应用也有许多不同于传统软件的特点。比如，PC时代最重要的是系统自身的安全，而移动设备系统自身的安全性比PC要高很多，但在端云一体的移动时代最重要的其实是用户账号体系和数据的安全，要保护好这些仅靠系统自身安全远远不够。

　　“移动自身特点引入了更多的新变量和‘耦合点’，这些有可能结合出新的风险。不能单说某一个特点有问题，但这些特点会相互的耦合，形成一个非常复杂的网状，使得移动时代的安全问题更加复杂、涉及面也更多。”腾讯安全玄武实验室在研究过程中发现，“应用克隆”中涉及的部分技术此前知道创宇404实验室和一些国外研究人员也曾提及过，但在业界并未引起足够重视。

　　“目前，大部分移动应用在设计上都没有考虑这种攻击方式。”于旸表示，移动互联网时代安全厂商必须意识到各种新技术新设计会带来更多新问题，安全厂商要建立“移动安全新思维”，才能避免最终在安全上积重难返。

　　对于这种安全意识问题，于旸认为，其实在整个互联网领域普遍存在，绝对不能说依靠某一环节和用户多注意一点，也不是一个厂商、两个厂商的问题。最终解决这个问题，只有手机生产商、应用开发商，也包括安全行业的整个链条上的每个环节携手共同努力，才能为移动互联网行业发展创造健康环境。

　　目前，相关部门也在推进安全风险的共治。李佳表示，在此次事件中发挥作用的国家信息安全共享平台，已联合了国内的重大信息系统单位，如基础电信运营商、安全厂商和软件厂商以及相关互联网企业等60家技术组合、成员单位，共享发现的漏洞及时通报消息。“截至目前，共收录了软硬件产品漏洞超10万起，具体事件型漏洞超过30万起，党政机关和重要信息系统漏洞超过了6.9万起……”李佳说。

　　【延伸】

　　网络安全威胁三类处置措施

　　随着互联网及数字经济的发展，网络安全问题越来越突出。工信部网络安全管理局网络与数据安全处处长付景广介绍，既有黑客地下产业链的各种各样攻击，传统互联网上有，移动互联网上也更为严重；也有来自国家级的有组织攻击，攻击手法越来越复杂。

　　对于网络安全威胁，政府部门定义了四大类：第一，互联网上存在的各类恶意IP、恶意运营；第二，各种形式的恶意程序，包括PC应用程序和移动应用程序；第三，线网上存在的各种漏洞隐患；第四，线网上已受控的安全问题，经常会发现有一些IP和服务器被植入木马，可能相关主体还不知情。

　　对于这些网络安全威胁情况，付景广介绍了三大类处置措施：第一类，对域名、IP进行关停、阻断和消除，跟黑客打消耗战和持久战；第二类，对存在漏洞的主体，无论是党政机关的网站还是商业网站、APP，发现漏洞研判认定确实存在，要求相关主体进行整改；第三类，发现对应用程序的传播源应用商店，对其后台IP地址都要采取相关细节处置。