日前，一个能够影响90%以上APP的“寄生兽”漏洞被360手机安全研究团队vulpeckerteam捕获，包括百度、腾讯、阿里等众多厂商的APP产品都受该漏洞影响，为推动厂商关注APP安全，HackPWN安全极客狂欢节将专门设置奖金，面向所有安全极客征集流行APP的安全漏洞。

　　图：“寄生兽”漏洞影响90%以上APP

APP是目前网络用户享受智能生活的重要工具，APP一旦爆发漏洞被黑客利用并入侵手机，黑客不仅可以直接在用户的手机中植入木马，更可以轻松盗取用户的短信、照片、银行账户密码等关键信息。按照风险评估，该漏洞的经济价值难以估量，而社会危害则更加巨大。

据北京安赛创想安全能力中心主任张傲介绍，目前该漏洞的细节还没有被公布，不过按其公布的视频推测，安卓程序如果没有验证当前进程的文件签名，或没有对进程间的内存读写权限进行控制，第三方恶意程序就可以通过链接库文件劫持或进程注入、修改wifi数据等的方式修改程序行为及通信数据。

测试人员选取了搜狗输入法、百度输入法、UC浏览器、高德地图、微信SDK等热门APP进行测试，根据录制的视频显示，黑客可以利用“寄生兽”漏洞通过这些APP对用户的手机进行控制，并植入木马程序。这些APP均有大公司开发，安全系数相对较高，但在“寄生兽”漏洞面前依然毫无招架之力。那些由小团队开发的APP安全情况则更加不容乐观。

　　图：APP安全成HACKPWN关注的重点主题之一

随着移动互联的持续扩张，APP承载的是更多企业的终端梦。用户手机安装APP以后，企业即埋下一颗种子，可持续与用户保持联系。可是种子是种下了，可要是它本身就不安全怎么办？事实上，APP安全早已引起业界的重点关注，去年年底，北京即将先行试点APP管理办法，研究制定《北京市APP应用程序公众信息服务发展管理暂行办法》。

在近日举办的“HackPwn安全极客狂欢节”中，APP安全也成为了关注的重点主题之一。据了解，HackPwn安全极客狂欢节重点关注智能生活的安全问题，在启动仪式，组委会的安全专家现场演示了特斯拉、比亚迪、奔驰等多款汽车的入侵和破解过程，并演示了利用已发现的安全漏洞，在不使用物理钥匙的情况下，成功实现对汽车远程操控。

据悉，对于即将到来的智能生活时代，安全问题更是不容轻视，而APP作为智能生活的第一入口，一旦出现安全隐患，由现代科技创建的智慧生活大厦将瞬间倾覆。对此，HackPwn将专门设立奖金，面向所有安全极客征集各种生活类APP的漏洞，以此推动各大厂商关注APP的安全。

对于已被发现的“寄生兽”漏洞，安全专家给用户提出的安全建议是，不要接入不安全的公众wiffi，下载APP应该通过正规渠道下载，就可以初步避免遭到损失。而对于APP开发者来说，则应对程序文件进行签名验证，并对网络间的交互数据进行校验，可以避免受到攻击。