随着移动互联网的发展，互联网用户信息风险也越来越呗关注。最近有网络安全平台曝出国内多个知名APP被“克隆”，攻击者向用户发送恶意“钓鱼链接”，利用盗取的信息进行非法操作，安卓系统成为该类APP漏洞的“重灾区”。那么APP漏洞缘何而起？用户又该如何进行防范呢？

      克隆软件多发 安卓用户频频中招

      腾讯安全玄武实验室于近日正式对外披露移动攻击威胁模型——“应用克隆”：用户在手机上点击来历不明的链接，即可导致自己的支付宝登录信息被“克隆”，链接制造者利用窃取来的登录信息在另一台手机上进行直接消费。攻击者利用漏洞，远程获取用户隐私数据（包括手机应用数据、照片、文件等敏感信息），还可窃取用户登录凭证，在受害者毫无察觉的情况下实现对APP用户账户的完全控制。“相当于另外复制一个你当前登陆信息的操作。”相关人士说。

      腾讯方面针对安卓系统应用商店APP的测试显示，在200个移动应用中有27个存在该漏洞，多个主流APP均在列。11个APP对该漏洞作了修复。

      安全工程师纪崇廉表示，“应用克隆”漏洞涉及的APP广泛，这些知名应用覆盖的用户数量巨大，如果该漏洞被不法分子利用，极有可能造成重大用户隐私泄漏或资金被盗。

      业内人士认为，安卓APP遭遇“应用克隆”漏洞、“钓鱼链接”高发的原因主要在于以下三个方面：

      第一，安卓系统自身的安全性问题。马鑫宇表示，由于安卓操作系统具有开源性，市场上不同厂商可根据不同需求对原生底层代码进行修改，间接造成安卓操作系统的不安全，给漏洞APP的出现提供了“土壤”。

      第二，APP开发者经验不足，开发周期短，进入安卓市场前未进行充分监测。据纪崇廉介绍，大部分情况下，一款APP是多个开发者协同完成的，开发者的个人经验参差不齐导致一款APP各模块安全问题不统一。

      第三，APP企业未对用户登录进行限制，缺乏系统的风险判定。据了解，本次“应用克隆”的漏洞中，同一账号在不同手机都能同时登录，正好暴露出该应用未对用户登录进行限制，给攻击者提供了隐秘的环境进行资金转移。

      开发端加强安全意识 用户自身留心防范

      业内人士认为，APP开发周期短、上线标准不完善、开发者安全责任意识薄弱等问题背后，暴露出国内应用开发体系亟待规范的现状。对此，马鑫宇等人认为，系统供应商和APP开发者均需提高安全责任意识，而相关部门对待侵犯用户隐私等违法行为的打击力度也亟待强化。

      我国已于2017年6月1日开始正式实施《中华人民共和国网络安全法》，对企业保障用户安全、网络安全都进行了明确规定。艾媒咨询集团CEO张毅认为，相关部门应根据网络安全法制定符合各地实际的网络安全等级法规，将网络信息安全管理的相关条例精细化并予以落实，给违法企业及个人以强有力的威慑。补天漏洞响应平台安全专家葛坤表示，从操作层面来看，无论是PC端还是移动端，诸多漏洞能够被成功利用的主要原因，是用户在收到恶意信息时防范不够，多数人未对来源进行确认即进行点击。

      所以在此提醒手机用户，要选择正规平台下载APP；收到来源不明的链接、二维码，不轻易点开；资金支出时需进行二次验证；及时通过官方途径更新操作系统和软件。