制作一个恶意网站，使用户的点击秘密地被重新定向到一个合法网站，就像窃取用户的密码和其他数据那样，这是可行的。许多网络开发人员增加了保护措施，在正常网站上阻止这种战术，但是，斯坦福大学的研究人员们警告说，通过iPhone这样的移动设备而进入到移动互联网上，还没有足够的保护措施来阻止相似的技术。

　　因此，智能手机用户可能会以为自己在查找一场棒球比赛的比分，但实际上却按到了一个隐藏页面的按钮上，确认了一笔汇款。

　　移动用户尤其容易受到这种把戏的威胁。一方面，智能手机的用户界面上，显示网页是否安全的部分一般是出现在浏览器栏里，通常在屏幕最大化时不予显示。因为浏览器通常充满了手机的整个屏幕，攻击者就可以“在屏幕上想画什么就画什么，用户并不知道什么是真的，什么是从攻击者那里来的，”斯坦福大学安全实验室的博士后研究员艾利•伯斯坦（Elie Bursztein）说。

　　伯斯坦说，首先，移动设备正成为越来越大的目标，因为人们在它们上面花费着越来越多的时间，交换着越来越多的重要数据。“人们在手机上购物，使用Facebook和Twitter，用不了多久，他们就会在手机上处理银行业务了，”他说。

　　在上周举行的攻击性技术专题研讨会上，伯斯坦和斯坦福大学的其他研究人员们提交了他们的发现。他们称这类攻击为“触屏劫持（tapjacking），”，它是从攻击电脑浏览器的类似方式“点击劫持（clickjacking）”引申而来的。

　　“这是一帮小黑客们凑到一起造成的大麻烦，”一家专注于移动设备安全的公司——Lookout的技术总监凯文•马哈菲（Kevin Mahaffey）说，“要想解决这个问题，需要大量协调一致的努力。”

　　“点击劫持”是在2008年的一份报告中，由两名研究人员——SecTheory公司的罗伯特•汉森（Robert Hansen）和白帽安全公司的杰罗麦亚•格罗斯曼（Jeremiah Grossman）提出的。他们展示了恶意用户界面覆盖——通常是利用看不见的浏览器框来捕获用户的操作指令——是如何导致受害者以为他们是在一个网页上操作，而实际上他们的点击却被另一个完全不同的页面所抓获。用户的电脑不一定感染了病毒或木马，他们只需要进入过一个被攻击者控制的、展示内容的网站，例如一个Flash广告。

　　浏览器生产商可以通过禁止网页进入其他领域来防止这类问题。但是，这会破坏很多用于合法目的的使用，包括广告。于是，浏览器生产商给予网站开发工程师们一定的权限，可以进行编程，使得只有来自他们允许的外部网站内容得到运行。

　　开发人员们还可以运行“破坏框” (frame-busting)代码，以防止网站建立展示其它页面的“隐形框架”。不过，虽然很多网站已经实施了这种防止“点击劫持”的手段，为移动设备制作的网站却很少有这样防御措施。斯坦福大学的研究人员发现，Alexa前500最受欢迎网站中，有1/7的网站装有“破坏框”代码。超过一半的Alexa前500强网站都有一个专门为移动设备而建的门户网站，但只有两家移动网站有“破坏框”防御措施。

　　“移动网站的安全性应该像非移动网站那样同等地严肃对待，否则，坏事就可能发生，”伯斯坦说。

　　除了类似“点击劫持”的标准攻击外，“触屏劫持”还可以让攻击者攫取用户家中无线网络的信息。从那里，攻击者可以确定无线网络的物理位置。这种技术在手机上简直是横冲直撞，安全顾问克雷格•黑夫纳（Craig Heffner）说，他在最近的黑帽大会上提出了路由器的安全问题。