危害遠超XX神器 APP雲端漏洞席捲數億手機用戶
- 發佈時間:2014-08-05 16:02:00 來源:中國新聞網 責任編輯:王磊
最近“XX神器”手機病毒在全國爆發,人們驚呼狼來了的同時,智慧手機時代更嚴重的安全危機正在悄然滋生。安全研究人員發現,部分流行APP存在雲端漏洞,駭客可利用漏洞攻擊手機APP的雲端伺服器,批量盜取用戶手機數據。
360網站安全檢測平臺抽樣分析,國內常見的2000款手機APP中,有298個APP存在雲端漏洞,佔比高達14.9%,影響用戶達數億規模。
據介紹,手機APP主要是通過伺服器進行系統交互和數據存儲的,而手機APP與伺服器之間有單獨的API介面進行連接。一旦API介面存在安全漏洞,駭客就能入侵到手機APP的伺服器後臺,盜取APP雲端存儲的數據。
與手機病毒攻擊方式相比,駭客對雲端漏洞的攻擊更隱蔽、影響範圍也更廣。因為只要有一定安全意識,不點擊“XX神器”短信的病毒連結,手機就不會中毒;但是駭客的雲端攻擊卻繞過了手機,直接入侵手機APP伺服器,無論用戶手機多麼安全也無法阻止數據洩露,只有手機APP服務商做好安全防範才能從根本上解決問題。
360網站安全總監趙武表示,儘管雲端漏洞對手機APP用戶威脅極大,部分APP廠商對此卻沒有予以重視,甚至成為安全防護的盲區。例如,今年上半年某知名網站洩露部分用戶的信用卡敏感資訊,就是因為手機APP與網站伺服器API介面的“雲端”漏洞導致的。
360網站安全檢測平臺測試發現,市面上常見的2000個手機APP中,有298個手機APP的API介面存在漏洞,更有34個手機APP的介面存在高危漏洞,導致駭客可直接登錄APP伺服器。分析發現,這些存在雲端漏洞的手機APP涉及閱讀、遊戲、打車、圖片製作、音樂、廣告統計等多個服務。
趙武認為,利用手機APP雲端漏洞侵入伺服器,已經成為駭客攻擊的新方向。“很多無法從網站入侵的駭客,轉而瞄向APP的API介面,由此入侵到雲平臺的伺服器,進而拖庫(盜取用戶數據庫)或進行惡意破壞。”
針對APP伺服器端的防護,360提供了網站衛士免費服務,能夠有效防止漏洞、DDoS等惡意攻擊。此外,360“庫帶計劃”近期也收到多個APP“雲端”漏洞的報告,並協助相關APP廠商修復漏洞。