2011年06月02日 10:49 来源:中国经济网
现在,计算机用户似乎越来越善于发现那些试图窃取他们密码的假网站。但是对于那些使用??移动电话上网的用户,由于受到移动电话操作系统的局限,这些用户往往更容易受到“钓鱼”威胁,从而遭受损失。
在加州大学伯克利分校的研究人员最近分析了100个移动手机的应用程序,并找出15个技术漏洞。这些程序是运行在Android和iPhone手机操作系统上的。诈骗者可以用这些漏洞来写窃取的受害者的用户名和密码,例如恶意程序随着Facebook和Twitter网站下载到手机的操作系统中。
这份研究着重强调了当前的棘手问题,就是用户越来越关注当他们使用手机上网时的安全,他们需要更多的安全保障承诺。可问题是移动用户在填写自己的密码和用户名时很少接受培训,例如如何识别移动应用程序的合法行。
当一个手机应用程序第一次访问某个网站的时候,例如:如果想要在Twitter(一个社交型网站)上利用iPhone手机分享团购的东西,该应用程序通常会弹出一个窗口,请用户登录到该网站。但是,手机用户通常是没有办法肯定要登录的这个网站是合法的,手机的主人通常只能做的是在Twitter网站弹出的窗口中填写他们的用户名和密码。
PC浏览器有Web地址栏、绿色警示灯和其它特征,可以帮助互联网用户知道他们是否在被网络的钓鱼者欺骗,但是这种方法在手机的世界却是行不通的。因为手机的存储空间与显示界面只有这么大,无法提供类似于普通计算机上网保护措施的这些方法。在随后的测试中,研究人员已经证明:由于移动电话的屏幕小,移动电话用户辨别网站的真伪几乎是不可能的。
伯克利研究人员称,犯罪份子开发一款恶意或者间谍程序是很容易的,正是因为他们利用了手机的局限性,使用户直接登陆一个钓鱼网站并输入自己的密码。整个操作过程看起来和真的网站一样。
加利福尼亚大学伯克利分校计算机科学教授大卫·瓦格纳认为,直到移动应用程序有更好的方式进行相互鉴别之前,上述风险可能是一个非常难以解决的问题。他说:“之所以写这篇文章是因为我们看到了潜在的风险,可是我们却没有一个很好的解决方案。”在他们的论文中,瓦格纳和合著者阿德里安娜得出结论:“几大网站(特别是Facebook和Twitter)的移动用户的密码可能处于危险之中。”
Markus Jakobsson是PayPal(国际支付工具)公司的首席科学家。他的主要工作就是保障消费安全。他在智能手机操作系统上开发了一种被称为“假冒杀手”的软件。该软件将持续跟踪监视应用程序和网站登录凭证的合法性,并从根本上阻止假冒网站的“钓鱼”。Markus Jakobsson认为,未来一年,随着手机数量的激增,使用手机网上冲浪的人将越来越多,这将有可能带来手机欺骗的高发期。
根据反网络钓鱼工作组主席Dave Jevans的调查显示,到目前为止专门针对手机用户钓鱼攻击的网站还不是很多。但是他认为当手机用户关闭手机邮箱的时候,“钓鱼”电子邮件的威胁却更为严重。手机上的反钓鱼技术与Windows平台上相比,还处于绝对的劣势。然而Jevans表示,在涉及移动设备时,他更担心的是手机恶意应用程序而不是“钓鱼”电子邮件。
手机制造商例行的安全检查是极为必要的,这样可以阻止手机用户从他们的应用程序商店下载恶意程序。但是,犯罪分子如果一开始将发布的程序变相合法化,然后利用服务器或交换机跳转到另一个网络地址,这就变成一个窃取网络密码的“钓鱼”程序。移动安全软件供应商首席技术官和创始人Kevin Mahaffey说:“这是安全控制产业界都不得不面对的移动恶意软件带来的全新变化。”(中国贸促会电子信息行业分会供稿编译:陈禹)
译自:2011年5月31日【美国】www.itworld.com
更多精彩内容参见“中国经济网-国际频道-国际IT行业资讯”
(责任编辑:郭彩萍)
分享到: |