现在，计算机用户似乎越来越善于发现那些试图窃取他们密码的假网站。但是对于那些使用??移动电话上网的用户，由于受到移动电话操作系统的局限，这些用户往往更容易受到“钓鱼”威胁，从而遭受损失。

　　在加州大学伯克利分校的研究人员最近分析了100个移动手机的应用程序，并找出15个技术漏洞。这些程序是运行在Android和iPhone手机操作系统上的。诈骗者可以用这些漏洞来写窃取的受害者的用户名和密码，例如恶意程序随着Facebook和Twitter网站下载到手机的操作系统中。

　　这份研究着重强调了当前的棘手问题，就是用户越来越关注当他们使用手机上网时的安全，他们需要更多的安全保障承诺。可问题是移动用户在填写自己的密码和用户名时很少接受培训，例如如何识别移动应用程序的合法行。

　　当一个手机应用程序第一次访问某个网站的时候，例如：如果想要在Twitter(一个社交型网站)上利用iPhone手机分享团购的东西，该应用程序通常会弹出一个窗口，请用户登录到该网站。但是，手机用户通常是没有办法肯定要登录的这个网站是合法的，手机的主人通常只能做的是在Twitter网站弹出的窗口中填写他们的用户名和密码。

　　PC浏览器有Web地址栏、绿色警示灯和其它特征，可以帮助互联网用户知道他们是否在被网络的钓鱼者欺骗，但是这种方法在手机的世界却是行不通的。因为手机的存储空间与显示界面只有这么大，无法提供类似于普通计算机上网保护措施的这些方法。在随后的测试中，研究人员已经证明：由于移动电话的屏幕小，移动电话用户辨别网站的真伪几乎是不可能的。

　　伯克利研究人员称，犯罪份子开发一款恶意或者间谍程序是很容易的，正是因为他们利用了手机的局限性，使用户直接登陆一个钓鱼网站并输入自己的密码。整个操作过程看起来和真的网站一样。

　　加利福尼亚大学伯克利分校计算机科学教授大卫·瓦格纳认为，直到移动应用程序有更好的方式进行相互鉴别之前，上述风险可能是一个非常难以解决的问题。他说：“之所以写这篇文章是因为我们看到了潜在的风险，可是我们却没有一个很好的解决方案。”在他们的论文中，瓦格纳和合著者阿德里安娜得出结论：“几大网站(特别是Facebook和Twitter)的移动用户的密码可能处于危险之中。”

　　Markus Jakobsson是PayPal(国际支付工具)公司的首席科学家。他的主要工作就是保障消费安全。他在智能手机操作系统上开发了一种被称为“假冒杀手”的软件。该软件将持续跟踪监视应用程序和网站登录凭证的合法性，并从根本上阻止假冒网站的“钓鱼”。Markus Jakobsson认为，未来一年，随着手机数量的激增，使用手机网上冲浪的人将越来越多，这将有可能带来手机欺骗的高发期。

　　根据反网络钓鱼工作组主席Dave Jevans的调查显示，到目前为止专门针对手机用户钓鱼攻击的网站还不是很多。但是他认为当手机用户关闭手机邮箱的时候，“钓鱼”电子邮件的威胁却更为严重。手机上的反钓鱼技术与Windows平台上相比，还处于绝对的劣势。然而Jevans表示，在涉及移动设备时，他更担心的是手机恶意应用程序而不是“钓鱼”电子邮件。

　　手机制造商例行的安全检查是极为必要的，这样可以阻止手机用户从他们的应用程序商店下载恶意程序。但是，犯罪分子如果一开始将发布的程序变相合法化，然后利用服务器或交换机跳转到另一个网络地址，这就变成一个窃取网络密码的“钓鱼”程序。移动安全软件供应商首席技术官和创始人Kevin Mahaffey说：“这是安全控制产业界都不得不面对的移动恶意软件带来的全新变化。”（中国贸促会电子信息行业分会供稿编译：陈禹）

　　译自：2011年5月31日【美国】www.itworld.com

　　更多精彩内容参见“中国经济网-国际频道-国际IT行业资讯”

　　（责任编辑：郭彩萍）