部分安卓APP存漏洞 用户账户信息可被复制并消费

2.新风险让移动安全问题更复杂

如今，操作系统在攻防对抗中增加了大量防御功能，传统漏洞攻击实施难度不断增加。这是否意味着移动操作系统漏洞威胁的减轻？“这只是错觉！”在于旸看来，移动应用有许多不同于传统软件的特点。比如，PC时代系统安全十分重要，而“端云一体”的移动时代还涉及用户账号体系和数据的安全，要保护好这些仅靠系统安全还远远不够。

“由于移动互联的自身特点，会引入更多安全的新变量和‘耦合点’，这些很有可能结合出新风险。”于旸说，某个单纯的节点可能都没问题，但这些点相互耦合形成复杂的网状，使得移动安全更加复杂多面。

“市场上各类应用众多，但安全标准不统一，移动应用缺乏规范的安全标识，用户也无法清晰获知应用是否安全。”在日前举办的第二十届亚洲反病毒大会上，国家计算机病毒应急处理中心常务副主任陈建民介绍，各类流氓软件中窃取个人隐私情况达95%以上，手机应用木马病毒、盗版应用等问题也十分普遍。

另外，不少移动应用的隐私政策普遍存在问题，也带来不少安全隐患。《南方都市报》日前发布的《2017个人信息保护年度报告》显示，在近三年工信部公布的466款不良移动应用中，有些被责令下架后经过包装可能再次上线；另外，研究人员对1500多个APP与网站的隐私政策测评发现，普遍存在平台透明度低的情况，隐私政策存在用户权利条款缺失、文本雷同、更新缓慢、暗藏格式条款等弊病。

3.建立“移动安全新思维”

“安全领域问题都不能指望一招彻底解决，因为它涉及了多个因素，必须采取一系列的纵深防御措施才能出现好的结果。”于旸说。

腾讯安全玄武实验室在“应用克隆”威胁研究中发现，其涉及的部分技术曾有研究人员提及过，但在业界并未引起足够重视。“大部分移动应用在设计上都没有考虑这种攻击方式。”于旸表示，移动互联网时代安全厂商必须意识到各种新技术、新设计会带来更多新问题，必须建立“移动安全新思维”，才能避免在安全方面积重难返。

面对移动应用领域出现的各类安全威胁，于旸表示，绝对不能说依靠某一环节和单纯让用户提高防范意识就能解决问题，也不能依赖某一两家厂商扭转态势，只有手机生产商、应用开发商以及包括安全行业整个链条上的每个环节携手共同努力，才能为移动互联网行业发展创造健康的环境。

目前，相关部门也在不断推进安全风险的共联、共治。李佳表示，在这次事件中发挥作用的国家信息安全共享平台已联合了国内的重大信息系统单位，如基础电信运营商、安全厂商以及相关互联网企业等60家单位，共享各自发现的漏洞并及时通报消息。截至目前，共收录软硬件产品漏洞10万起，具体事件型漏洞30万起，党政机关和重要信息系统漏洞6.9万起。

(光明网记者 李政葳)