目前國內互聯(lián)網(wǎng)行業(yè)競爭日趨激烈,各大網(wǎng)絡(luò )平臺在博弈的過(guò)程中,往往更加重視用戶(hù)體驗,而忽視信息安全。而在移動(dòng)互聯(lián)網(wǎng)方面,智能手機APP也暴露出眾多安全隱患,導致互聯(lián)網(wǎng)平臺成為信息泄露的重災區。
近日,根據《2013年上半年中國信息安全綜合報告》研究顯示,2013年前半年,盜號、隱私信息販售兩大黑色產(chǎn)業(yè)鏈已形成規模,如QQ、網(wǎng)游賬密、個(gè)人隱私及企業(yè)機密都已成為黑客牟取暴利的主要渠道。在移動(dòng)互聯(lián)網(wǎng)方面,因APP應用設置不當造成用戶(hù)人身安全的事故時(shí)有發(fā)生,同時(shí),一些不法分子已經(jīng)開(kāi)始利用微博、微信等互聯(lián)網(wǎng)社交平臺的定位功能,定向追蹤用戶(hù)的隱私信息,為企業(yè)及個(gè)人造成巨大安全威脅。
免費Wi-Fi應用暗藏巨大風(fēng)險
在今年上半年,瑞星互聯(lián)網(wǎng)攻防實(shí)驗室在移動(dòng)互聯(lián)網(wǎng)領(lǐng)域重點(diǎn)關(guān)注了“暢無(wú)線(xiàn)”、“Wi-Fi免費通”、“WiFi萬(wàn)能鑰匙”和“WIFI伴侶”等多款免費Wi-Fi應用。該類(lèi)應用的主要功能是幫助網(wǎng)友連接中國聯(lián)通、中國移動(dòng)及各類(lèi)商家為顧客提供的Wi-Fi熱點(diǎn),以達到免費“蹭網(wǎng)”的目的。
據瑞星安全專(zhuān)家分析,該類(lèi)應用并非如傳聞般擁有破解密碼的功能,而是通過(guò)程序大量?jì)戎玫氖謾C賬號及免費Wi-Fi賬號來(lái)連接戶(hù)外及商家的Wi-Fi熱點(diǎn)。這種應用存在兩個(gè)安全隱患:
第一,Wi-Fi應用只能提供免費的Wi-Fi熱點(diǎn)接入服務(wù),并不能保證這些Wi-Fi都是安全的網(wǎng)絡(luò )。一旦有黑客熟知某一區域Wi-Fi熱點(diǎn)賬號,就有可能仿冒正規商家制造假冒賬號,并進(jìn)入Wi-Fi應用提供的免費熱點(diǎn)列表,進(jìn)而獲取用戶(hù)手機上所有信息。這些信息包括:手機短信、電子郵件、照片、通訊錄、網(wǎng)銀賬密及其他電子賬號和電子文檔等。
第二,免費Wi-Fi應用理論上是不向用戶(hù)收取費用的。雖然少數該類(lèi)應用會(huì )向用戶(hù)收取虛擬貨幣,但大部分都依靠向用戶(hù)推送廣告及其他APP應用實(shí)現盈利。值得注意的是,目前移動(dòng)互聯(lián)網(wǎng)市場(chǎng)上的應用程序——尤其是基于A(yíng)ndroid系統的應用程序,缺乏嚴格的安全審核制度,許多免費應用內置的廣告、APP推薦,都存在很大風(fēng)險。同樣,Wi-Fi應用也不能保證所推送的廣告或APP都是安全可靠的,釣魚(yú)信息、惡意APP都有可能借該類(lèi)應用之便大肆傳播。用戶(hù)一旦輕信,輕則隱私信息泄露、遭遇惡意詐騙,重則網(wǎng)銀賬密不保、銀行卡內錢(qián)款被洗劫一空。
APP應用設置不當嚴重威脅人身安全
據媒體報道,今年5月,沈陽(yáng)一女孩因在微信中上傳自己的照片,被不法分子盯梢,下班后出地鐵站時(shí)被尾隨,兇手將其掐死后拋尸。“在這個(gè)案例中,不法分子并不認識被害者,卻能通過(guò)微信看到被害者的照片,并確定被害者本人就在附近,原因是被害者在微信中開(kāi)放了定位功能,并允許陌生人翻看自己的相冊”,瑞星安全專(zhuān)家表示,“現在智能手機上的很多APP應用程序都有定位、分享功能,有些是因為應用程序的功能需要,有些則屬私自讀取用戶(hù)的地理位置。事實(shí)上,該類(lèi)功能給用戶(hù)的人身安全帶來(lái)了不小的隱患,然而很多時(shí)候,用戶(hù)并不知道自己開(kāi)啟了這些功能,就如上述案件中,被害者可能根本不知道自己的照片可以被陌生人查看。”
其實(shí)大多數APP應用在安裝、使用時(shí)都會(huì )提示用戶(hù),軟件要讀取用戶(hù)當前的位置。然而很多用戶(hù)不能理解或不重視這些提示信息的意思,在提示框出現的時(shí)候盲目點(diǎn)擊“允許”或“確定”,以便更快打開(kāi)APP應用,生怕點(diǎn)擊了“不允許”、“取消”之后會(huì )影響APP的使用。瑞星安全專(zhuān)家建議,用戶(hù)不要輕易允許APP應用讀取、上傳、分享自己當前的地理位置,如果特殊情況下需要使用該類(lèi)功能,可以從手機的系統設置中找到開(kāi)關(guān),隨用隨開(kāi),用完立即關(guān)閉。
移動(dòng)社交分享成網(wǎng)絡(luò )“跟蹤”數據源
近幾年,社交平臺逐漸轉向移動(dòng)互聯(lián)網(wǎng)。目前,以微博、微信為代表的社交類(lèi)應用程序,已成為智能手機中最常見(jiàn)的應用,網(wǎng)民可以利用該類(lèi)應用在互聯(lián)網(wǎng)上分享各類(lèi)文字、圖片及視頻信息。然而此前已有多家媒體曾在報道中指出,社交應用經(jīng)常會(huì )泄露用戶(hù)的隱私信息。瑞星安全專(zhuān)家表示,社交類(lèi)應用中有一些常見(jiàn)的功能,都可能成為隱私信息泄露的源頭,例如定位功能通常情況下用戶(hù)使用定位功能是為了分享自己的位置,以便向好友推薦自己喜歡的餐館、娛樂(lè )場(chǎng)所或者旅游目的地等。然而,用戶(hù)的關(guān)注者卻并不一定持有善意,在這種情況下,分享功能就有可能成為少數不法分子監視用戶(hù)的工具。
瑞星安全專(zhuān)家指出,有心人可以通過(guò)類(lèi)似微博這類(lèi)社交平臺,全面跟蹤用戶(hù)信息,包括用戶(hù)的社交關(guān)系如何、有哪些喜好特長(cháng)、近期關(guān)注哪些話(huà)題、有什么樣的購物傾向、去了哪些地方。這些細節看似普通,但是很有可能使用戶(hù)成為垃圾廣告、釣魚(yú)網(wǎng)站和網(wǎng)絡(luò )詐騙者關(guān)注的目標,給用戶(hù)的網(wǎng)絡(luò )生活帶來(lái)巨大的風(fēng)險。同時(shí),個(gè)別黑客及不法分子也會(huì )對有一定社會(huì )地位的用戶(hù)進(jìn)行定向“跟蹤”,通過(guò)獲取對方的工作生活習慣、經(jīng)常出入的場(chǎng)所及其他隱私信息,破解與對方有關(guān)的系統賬號密碼,甚至獲取重要保險柜、機密文件的存儲地點(diǎn)。
互聯(lián)網(wǎng)平臺成信息泄露重災區
今年5月份,國內知名的漏洞提交平臺烏云報告了一個(gè)搜狗輸入法的漏洞,該漏洞導致Google及Bing能夠抓取到用戶(hù)存儲于搜狗服務(wù)器上的隱私信息,使得大量用戶(hù)隱私外泄,從而給用戶(hù)帶來(lái)嚴重的困擾。據統計,今年上半年,僅烏云上提交的漏洞就達3,560余個(gè),其中不乏新浪、搜狐、騰訊等大型網(wǎng)絡(luò )平臺。除此之外,一些聯(lián)通的地方分站,也相繼被曝出存在泄露用戶(hù)信息(包括座機號碼及ADSL賬號等)的漏洞。
與此同時(shí),今年上半年,全球排名分別為第一和第三的兩款網(wǎng)站服務(wù)器Apache及Nginx也相繼被曝存在重大漏洞。瑞星互聯(lián)網(wǎng)攻防實(shí)驗室出具的報告顯示,這兩個(gè)漏洞均可能導致大量網(wǎng)站遭到惡意攻擊,并且泄露大量的用戶(hù)賬號信息。
瑞星安全專(zhuān)家指出,國內互聯(lián)網(wǎng)行業(yè)競爭日趨激烈,各大網(wǎng)絡(luò )平臺在博弈的過(guò)程中,往往更加重視用戶(hù)體驗,而忽視信息安全。因為通常情況下,完善信息安全,就要以降低用戶(hù)體驗作為代價(jià)。例如在一個(gè)簡(jiǎn)單的登錄流程中,多一個(gè)驗證步驟,就能提高一分安全保證,但是不可避免的就會(huì )讓用戶(hù)感到操作上的不適,這種不適很有可能流失一部分用戶(hù),這并不是企業(yè)希望看到的結果。所以,重體驗輕安全,就成為了各大互聯(lián)網(wǎng)平臺的通病。
信息安全法制化需求緊迫
從上半年發(fā)生的信息安全事故來(lái)看,事后補救、追責工作都進(jìn)行得不甚理想。究其原因,主要因為企業(yè)信息安全管理不到位,企業(yè)內網(wǎng)的數據讀取權限無(wú)級別限制,同時(shí)沒(méi)有形成應有的信息安全制度。
去年年底,全國人民代表大會(huì )常務(wù)委員會(huì )通過(guò)了《關(guān)于加強網(wǎng)絡(luò )信息保護的決定》。這一決定對打擊網(wǎng)絡(luò )非法活動(dòng)、保護企業(yè)及個(gè)人的信息安全,有著(zhù)極大的推動(dòng)作用。然而,面對高速發(fā)展的互聯(lián)網(wǎng)技術(shù),這些法律條文中所規范的準則還遠遠不能對互聯(lián)網(wǎng)攻擊、網(wǎng)絡(luò )泄密、網(wǎng)銀盜竊等行為起到威懾作用。政府應盡快建立健全相關(guān)標準和法律,做到有標準、有法律、可衡量、可管控。
