最近“XX神器”手機病毒在全國爆發(fā)，人們驚呼狼來了的同時，智能手機時代更嚴(yán)重的安全危機正在悄然滋生。安全研究人員發(fā)現(xiàn)，部分流行APP存在云端漏洞，黑客可利用漏洞攻擊手機APP的云端服務(wù)器，批量盜取用戶手機數(shù)據(jù)。

360網(wǎng)站安全檢測平臺抽樣分析，國內(nèi)常見的2000款手機APP中，有298個APP存在云端漏洞，占比高達(dá)14.7%，影響用戶達(dá)數(shù)億規(guī)模。

圖：黑客利用APP的API接口入侵云平臺服務(wù)器

據(jù)介紹，手機APP主要是通過服務(wù)器進(jìn)行系統(tǒng)交互和數(shù)據(jù)存儲的，而手機APP與服務(wù)器之間有單獨的API接口進(jìn)行連接。一旦API接口存在安全漏洞，黑客就能入侵到手機APP的服務(wù)器后臺，盜取APP云端存儲的數(shù)據(jù)。

與手機病毒攻擊方式相比，黑客對云端漏洞的攻擊更隱蔽、影響范圍也更廣。因為只要有一定安全意識，不點擊“XX神器”短信的病毒鏈接，手機就不會中毒;但是黑客的云端攻擊卻繞過了手機，直接入侵手機APP服務(wù)器，無論用戶手機多么安全也無法阻止數(shù)據(jù)泄露，只有手機APP服務(wù)商做好安全防范才能從根本上解決問題。

360網(wǎng)站安全總監(jiān)趙武表示，盡管云端漏洞對手機APP用戶威脅極大，部分APP廠商對此卻沒有予以重視，甚至成為安全防護(hù)的盲區(qū)。例如，今年上半年某知名網(wǎng)站泄露部分用戶的信用卡敏感信息，就是因為手機APP與網(wǎng)站服務(wù)器API接口的“云端”漏洞導(dǎo)致的。

360網(wǎng)站安全檢測平臺測試發(fā)現(xiàn)，市面上常見的2000個手機APP中，有298個手機APP的API接口存在漏洞，更有34個手機APP的接口存在高危漏洞，導(dǎo)致黑客可直接登錄APP服務(wù)器。分析發(fā)現(xiàn)，這些存在云端漏洞的手機APP涉及閱讀、游戲、打車、圖片制作、音樂、廣告統(tǒng)計等多個服務(wù)。

趙武認(rèn)為，利用手機APP云端漏洞侵入服務(wù)器，已經(jīng)成為黑客攻擊的新方向。“很多無法從網(wǎng)站入侵的黑客，轉(zhuǎn)而瞄向APP的API接口，由此入侵到云平臺的服務(wù)器，進(jìn)而拖庫(盜取用戶數(shù)據(jù)庫)或進(jìn)行惡意破壞。”

針對APP服務(wù)器端的防護(hù)，360提供了網(wǎng)站衛(wèi)士免費服務(wù)，能夠有效防止漏洞、DDoS等惡意攻擊。此外，360“庫帶計劃”近期也收到多個APP“云端”漏洞的報告，并協(xié)助相關(guān)APP廠商修復(fù)漏洞。