目前國內(nèi)互聯(lián)網(wǎng)行業(yè)競爭日趨激烈,各大網(wǎng)絡平臺在博弈的過程中,往往更加重視用戶體驗,而忽視信息安全。而在移動互聯(lián)網(wǎng)方面,智能手機APP也暴露出眾多安全隱患,導致互聯(lián)網(wǎng)平臺成為信息泄露的重災區(qū)。
近日,根據(jù)《2013年上半年中國信息安全綜合報告》研究顯示,2013年前半年,盜號、隱私信息販售兩大黑色產(chǎn)業(yè)鏈已形成規(guī)模,如QQ、網(wǎng)游賬密、個人隱私及企業(yè)機密都已成為黑客牟取暴利的主要渠道。在移動互聯(lián)網(wǎng)方面,因APP應用設置不當造成用戶人身安全的事故時有發(fā)生,同時,一些不法分子已經(jīng)開始利用微博、微信等互聯(lián)網(wǎng)社交平臺的定位功能,定向追蹤用戶的隱私信息,為企業(yè)及個人造成巨大安全威脅。
免費Wi-Fi應用暗藏巨大風險
在今年上半年,瑞星互聯(lián)網(wǎng)攻防實驗室在移動互聯(lián)網(wǎng)領域重點關注了“暢無線”、“Wi-Fi免費通”、“WiFi萬能鑰匙”和“WIFI伴侶”等多款免費Wi-Fi應用。該類應用的主要功能是幫助網(wǎng)友連接中國聯(lián)通、中國移動及各類商家為顧客提供的Wi-Fi熱點,以達到免費“蹭網(wǎng)”的目的。
據(jù)瑞星安全專家分析,該類應用并非如傳聞般擁有破解密碼的功能,而是通過程序大量內(nèi)置的手機賬號及免費Wi-Fi賬號來連接戶外及商家的Wi-Fi熱點。這種應用存在兩個安全隱患:
第一,Wi-Fi應用只能提供免費的Wi-Fi熱點接入服務,并不能保證這些Wi-Fi都是安全的網(wǎng)絡。一旦有黑客熟知某一區(qū)域Wi-Fi熱點賬號,就有可能仿冒正規(guī)商家制造假冒賬號,并進入Wi-Fi應用提供的免費熱點列表,進而獲取用戶手機上所有信息。這些信息包括:手機短信、電子郵件、照片、通訊錄、網(wǎng)銀賬密及其他電子賬號和電子文檔等。
第二,免費Wi-Fi應用理論上是不向用戶收取費用的。雖然少數(shù)該類應用會向用戶收取虛擬貨幣,但大部分都依靠向用戶推送廣告及其他APP應用實現(xiàn)盈利。值得注意的是,目前移動互聯(lián)網(wǎng)市場上的應用程序——尤其是基于Android系統(tǒng)的應用程序,缺乏嚴格的安全審核制度,許多免費應用內(nèi)置的廣告、APP推薦,都存在很大風險。同樣,Wi-Fi應用也不能保證所推送的廣告或APP都是安全可靠的,釣魚信息、惡意APP都有可能借該類應用之便大肆傳播。用戶一旦輕信,輕則隱私信息泄露、遭遇惡意詐騙,重則網(wǎng)銀賬密不保、銀行卡內(nèi)錢款被洗劫一空。
APP應用設置不當嚴重威脅人身安全
據(jù)媒體報道,今年5月,沈陽一女孩因在微信中上傳自己的照片,被不法分子盯梢,下班后出地鐵站時被尾隨,兇手將其掐死后拋尸。“在這個案例中,不法分子并不認識被害者,卻能通過微信看到被害者的照片,并確定被害者本人就在附近,原因是被害者在微信中開放了定位功能,并允許陌生人翻看自己的相冊”,瑞星安全專家表示,“現(xiàn)在智能手機上的很多APP應用程序都有定位、分享功能,有些是因為應用程序的功能需要,有些則屬私自讀取用戶的地理位置。事實上,該類功能給用戶的人身安全帶來了不小的隱患,然而很多時候,用戶并不知道自己開啟了這些功能,就如上述案件中,被害者可能根本不知道自己的照片可以被陌生人查看。”
其實大多數(shù)APP應用在安裝、使用時都會提示用戶,軟件要讀取用戶當前的位置。然而很多用戶不能理解或不重視這些提示信息的意思,在提示框出現(xiàn)的時候盲目點擊“允許”或“確定”,以便更快打開APP應用,生怕點擊了“不允許”、“取消”之后會影響APP的使用。瑞星安全專家建議,用戶不要輕易允許APP應用讀取、上傳、分享自己當前的地理位置,如果特殊情況下需要使用該類功能,可以從手機的系統(tǒng)設置中找到開關,隨用隨開,用完立即關閉。
移動社交分享成網(wǎng)絡“跟蹤”數(shù)據(jù)源
近幾年,社交平臺逐漸轉(zhuǎn)向移動互聯(lián)網(wǎng)。目前,以微博、微信為代表的社交類應用程序,已成為智能手機中最常見的應用,網(wǎng)民可以利用該類應用在互聯(lián)網(wǎng)上分享各類文字、圖片及視頻信息。然而此前已有多家媒體曾在報道中指出,社交應用經(jīng)常會泄露用戶的隱私信息。瑞星安全專家表示,社交類應用中有一些常見的功能,都可能成為隱私信息泄露的源頭,例如定位功能通常情況下用戶使用定位功能是為了分享自己的位置,以便向好友推薦自己喜歡的餐館、娛樂場所或者旅游目的地等。然而,用戶的關注者卻并不一定持有善意,在這種情況下,分享功能就有可能成為少數(shù)不法分子監(jiān)視用戶的工具。
瑞星安全專家指出,有心人可以通過類似微博這類社交平臺,全面跟蹤用戶信息,包括用戶的社交關系如何、有哪些喜好特長、近期關注哪些話題、有什么樣的購物傾向、去了哪些地方。這些細節(jié)看似普通,但是很有可能使用戶成為垃圾廣告、釣魚網(wǎng)站和網(wǎng)絡詐騙者關注的目標,給用戶的網(wǎng)絡生活帶來巨大的風險。同時,個別黑客及不法分子也會對有一定社會地位的用戶進行定向“跟蹤”,通過獲取對方的工作生活習慣、經(jīng)常出入的場所及其他隱私信息,破解與對方有關的系統(tǒng)賬號密碼,甚至獲取重要保險柜、機密文件的存儲地點。
互聯(lián)網(wǎng)平臺成信息泄露重災區(qū)
今年5月份,國內(nèi)知名的漏洞提交平臺烏云報告了一個搜狗輸入法的漏洞,該漏洞導致Google及Bing能夠抓取到用戶存儲于搜狗服務器上的隱私信息,使得大量用戶隱私外泄,從而給用戶帶來嚴重的困擾。據(jù)統(tǒng)計,今年上半年,僅烏云上提交的漏洞就達3,560余個,其中不乏新浪、搜狐、騰訊等大型網(wǎng)絡平臺。除此之外,一些聯(lián)通的地方分站,也相繼被曝出存在泄露用戶信息(包括座機號碼及ADSL賬號等)的漏洞。
與此同時,今年上半年,全球排名分別為第一和第三的兩款網(wǎng)站服務器Apache及Nginx也相繼被曝存在重大漏洞。瑞星互聯(lián)網(wǎng)攻防實驗室出具的報告顯示,這兩個漏洞均可能導致大量網(wǎng)站遭到惡意攻擊,并且泄露大量的用戶賬號信息。
瑞星安全專家指出,國內(nèi)互聯(lián)網(wǎng)行業(yè)競爭日趨激烈,各大網(wǎng)絡平臺在博弈的過程中,往往更加重視用戶體驗,而忽視信息安全。因為通常情況下,完善信息安全,就要以降低用戶體驗作為代價。例如在一個簡單的登錄流程中,多一個驗證步驟,就能提高一分安全保證,但是不可避免的就會讓用戶感到操作上的不適,這種不適很有可能流失一部分用戶,這并不是企業(yè)希望看到的結(jié)果。所以,重體驗輕安全,就成為了各大互聯(lián)網(wǎng)平臺的通病。
信息安全法制化需求緊迫
從上半年發(fā)生的信息安全事故來看,事后補救、追責工作都進行得不甚理想。究其原因,主要因為企業(yè)信息安全管理不到位,企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)讀取權(quán)限無級別限制,同時沒有形成應有的信息安全制度。
去年年底,全國人民代表大會常務委員會通過了《關于加強網(wǎng)絡信息保護的決定》。這一決定對打擊網(wǎng)絡非法活動、保護企業(yè)及個人的信息安全,有著極大的推動作用。然而,面對高速發(fā)展的互聯(lián)網(wǎng)技術,這些法律條文中所規(guī)范的準則還遠遠不能對互聯(lián)網(wǎng)攻擊、網(wǎng)絡泄密、網(wǎng)銀盜竊等行為起到威懾作用。政府應盡快建立健全相關標準和法律,做到有標準、有法律、可衡量、可管控。