APP漏洞折射手机安全阴影

         6月29日，工信部部长苗圩代表国务院向全国人大常委会报告《信息化建设及推动信息化和工业化深度融合发展工作情况》。报告提到，我国移动电话数量已达12.9亿，如果加上手持电脑，估计全国使用的移动设备已经远远超出这一数字。在移动互联网已经普及的时代，相关有针对性的攻击和威胁也在大幅度增长，其中APP（手机应用终端）的安全更是引人关注， 因为这些安全漏洞会给人身安全、金融安全、工作保障带来威胁，并且现在还没有引起足够的重视。
　　
　　金融APP遭遇“李鬼”
　　
　　近年来，手机用户基本上都遇到过山寨APP，“李逵遇上李鬼”，有理说不清。 山寨APP与正版只是相差毫厘， 让你分辨不出真假。一旦用户安装了这些山寨APP，很有可能造成盗取账号、流量消耗、窃取隐私、恶意扣费、远程控制、购物欺诈等危害；而每一项危害都足以导致用户泄露个人信息，甚至丢失钱财。据腾讯移动安全实验室发布的《打假英雄传之山寨APP调查数据报告》显示，网购、银行、运营商3类共231款主流APP中，遭到山寨APP侵袭的比率高达32.36%，可以说平均每3个APP中就有一个是山寨产品。
　　
　　据2014年底发布的一份《手机银行客户端安全性测评报告》显示，不少手机在反盗版这个环节存在欠缺，调查样本中的16款银行APP中有15款均有盗版版本，有的甚至有20个以上的不同盗版版本。《报告》指出，16款APP均不具备防止逆向分析和二次打包的能力，有些存在手机签名漏洞，这为篡改APP或二次打包APP创造了可能。
　　
　　一家安全公司曾截获了一个冒充成正常建设银行APP的手机病毒程序，用户登陆后会收到页面的提示，要求输入银行卡、账户密码等信息。在完成输入之后，这个假冒成建行APP的病毒程序会自动退出，并从手机桌面消失。但这个病毒程序实际上还在后台运行，并将用户所填写的银行卡账号、密码等信息发送至指定号码中，诈骗者就很容易利用这些信息对用户的银行卡账户进行盗刷。
　　
　　善融商务手机客户端是一个定位于B2C手机终端购物平台，其支付功能与建行手机银行实现系统互通。通过它，建行网站会员、建行个人网银客户、持有建行活期账户或信用卡账户的客户、建行手机银行客户等均可以使用快捷支付，账号支付、手机银行支付，以及与商城账户的任意组合方式进行便捷支付。但是该客户端尚未公开发布就遭到了山寨App 的侵袭，为了保证用户在使用手机端支付时安全放心，技术人员在支付环节需增加手势密码验证，以保证手机购物支付环节更加安全。客户成功登录善融手机端后，系统引导用户设置手势密码，用户必须完成手势密码设置才能进行支付商品等，防止客户手机被借用时，造成不必要的资金损失。
　　
　　移动威胁带来更多困扰
　　
　　今年两会期间“互联网+”战略的推出，颠覆了用户移动生活服务体验。“最美装修”、“秀美甲”、“58到家”等新锐生活服务APP纷纷进入用户的生活，并成为2015上半年上升最快的生活服务。近期大打口水仗的神州专车与Uber纷纷进入“星APP全民榜”出行旅游类榜单， 成为上半年上升较快的出行应用。多款打车应用的上榜可以看出2015年网民移动出行不再局限于滴滴打车等，Uber、滴答拼车等新锐打车应用的出现，丰富了网民的移动出行体验。
　　
　　据友盟发布的《2015年第一季度中国移动互联网趋势报告》显示， 一季度国内活跃移动设备数量已经达到了10.3亿部，与2014年第四季度相比增长4% 。与2014年6月相比，用户每天启动生活助手类App的次数增长了200%，每天启动金融理财类App的次数增长了84%，很明显，用户更为依赖这两个垂直领域的App提供的服务。
　　
　　越来越多的使用移动设备，也带来了越来越多的安全风险。2015年上半年以来，包括APP在内的多起互联网安全事件集中爆发，引起了外界的关注。其中5月底携程网及APP客户端受到了来自外界的攻击并瘫痪8小时以上，给网民们出行及生活安排带来了极大的不便。今年高考和中考结束后，专业安全人员发现一些“高考志愿填报”的相关APP应用中存在手机病毒，可私自发送短信、屏蔽回执信息、上传手机隐私信息。这些“高考志愿填报”APP内置手机病毒，伪造虚假查分网址，甚至提前截取录取结果。据腾讯安全专家马劲松称，这些所谓的“估分APP”和“高考志愿填报”等APP都是典型的“考后骗局”。
　　
　　趋势科技最新的“2015年第一季度信息安全报告”显示，移动设备恶意威胁的成长幅度以惊人速度大幅攀升，已于2015年第一季度突破500万大关。趋势科技信息安全团队发现，恶意广告是移动设备排名第一的信息安全威胁，今年三月份Google Play曾有超过2000个App可能含有恶意广告程序。此外，恶意网站也成为民众常误触的信息安全地雷之一，2015年第一季度全球共有800万用户曾访问恶意网站。
　　
　　随着移动应用更进一步深入到消费者的生活之中，移动威胁将对数字生活带来更大的困扰。趋势科技已经发现不法分子利用恶意移动程序来骗取消费者信用卡的资金，由于很多消费者仍没有意识到移动设备存在的巨大风险性，移动安全威胁的增长趋势不会停止。
　　
　　漏洞检测增强APP安全
　　
　　据统计数字显示，目前仅苹果手机的APP就达数十万种之多，安卓系统的APP也和它不相上下。同时每天还有更多新的APP发布，每天每个手机用户都会使用多个APP，那么安全到底如何来保障？这是一个大家已经意识到风险但是还未引起足够重视的问题。
　　
　　首先要从源头上也就是开发者方面做到防患于未然。为了避免一些不法分子抓住APP漏洞造成严重后果，开发者除了要严格按照规范进行编码、处理接口认真严谨，还需要提高安全意识。建议开发者可以通过漏洞扫描工具对APP进行及时的漏洞检查和修复。并使用加固保，保护应用不被破解和盗版，真正从源头保护APP的安全。
　　
　　其次APP出现了问题，就要针对这些攻击和漏洞进行检测和分析。一些APP漏洞扫描系统通过数据流跟踪、静态特征审计、智能测试及漏洞验证等三核引擎，对应用进行全方位的安全检测。能第一时间发现应用可能存在的风险，检测结果更全面、精准。
　　
　　同时要在检测的基础上提供加固措施。比如360加固保采用360强大的应用加密安全技术，能有效防止应用被破解、反编译、二次打包、恶意篡改，保护应用数据信息不会被黑客窃取。
　　
　　目前，360加固保已经成为众多开发者首选的APP应用加固产品，正在为手机游戏、移动金融、软件工具等多种类型的APP提供加固服务，所加固的APP应用已经服务于超过5亿用户。为移动开发者打造手机APP安全盾牌，保护移动应用安全和开发者的利益是360加固保不断坚持的目标。通过APP加固方法增加了病毒攻击的难度，也提高了不法分子下黑手的成本。类抽取保护为APP安全提供更好、更强大的技术保护，帮助APP开发团队解决了后顾之忧。
　　

　　最后，也是关键之一，手机用户不随便安装来路不明的APP，只有这样才能从源头躲避黑客的威胁。