目前国内互联网行业竞争日趋激烈,各大网络平台在博弈的过程中,往往更加重视用户体验,而忽视信息安全。而在移动互联网方面,智能手机APP也暴露出众多安全隐患,导致互联网平台成为信息泄露的重灾区。
近日,根据《2013年上半年中国信息安全综合报告》研究显示,2013年前半年,盗号、隐私信息贩售两大黑色产业链已形成规模,如QQ、网游账密、个人隐私及企业机密都已成为黑客牟取暴利的主要渠道。在移动互联网方面,因APP应用设置不当造成用户人身安全的事故时有发生,同时,一些不法分子已经开始利用微博、微信等互联网社交平台的定位功能,定向追踪用户的隐私信息,为企业及个人造成巨大安全威胁。
免费Wi-Fi应用暗藏巨大风险
在今年上半年,瑞星互联网攻防实验室在移动互联网领域重点关注了“畅无线”、“Wi-Fi免费通”、“WiFi万能钥匙”和“WIFI伴侣”等多款免费Wi-Fi应用。该类应用的主要功能是帮助网友连接中国联通、中国移动及各类商家为顾客提供的Wi-Fi热点,以达到免费“蹭网”的目的。
据瑞星安全专家分析,该类应用并非如传闻般拥有破解密码的功能,而是通过程序大量内置的手机账号及免费Wi-Fi账号来连接户外及商家的Wi-Fi热点。这种应用存在两个安全隐患:
第一,Wi-Fi应用只能提供免费的Wi-Fi热点接入服务,并不能保证这些Wi-Fi都是安全的网络。一旦有黑客熟知某一区域Wi-Fi热点账号,就有可能仿冒正规商家制造假冒账号,并进入Wi-Fi应用提供的免费热点列表,进而获取用户手机上所有信息。这些信息包括:手机短信、电子邮件、照片、通讯录、网银账密及其他电子账号和电子文档等。
第二,免费Wi-Fi应用理论上是不向用户收取费用的。虽然少数该类应用会向用户收取虚拟货币,但大部分都依靠向用户推送广告及其他APP应用实现盈利。值得注意的是,目前移动互联网市场上的应用程序——尤其是基于Android系统的应用程序,缺乏严格的安全审核制度,许多免费应用内置的广告、APP推荐,都存在很大风险。同样,Wi-Fi应用也不能保证所推送的广告或APP都是安全可靠的,钓鱼信息、恶意APP都有可能借该类应用之便大肆传播。用户一旦轻信,轻则隐私信息泄露、遭遇恶意诈骗,重则网银账密不保、银行卡内钱款被洗劫一空。
APP应用设置不当严重威胁人身安全
据媒体报道,今年5月,沈阳一女孩因在微信中上传自己的照片,被不法分子盯梢,下班后出地铁站时被尾随,凶手将其掐死后抛尸。“在这个案例中,不法分子并不认识被害者,却能通过微信看到被害者的照片,并确定被害者本人就在附近,原因是被害者在微信中开放了定位功能,并允许陌生人翻看自己的相册”,瑞星安全专家表示,“现在智能手机上的很多APP应用程序都有定位、分享功能,有些是因为应用程序的功能需要,有些则属私自读取用户的地理位置。事实上,该类功能给用户的人身安全带来了不小的隐患,然而很多时候,用户并不知道自己开启了这些功能,就如上述案件中,被害者可能根本不知道自己的照片可以被陌生人查看。”
其实大多数APP应用在安装、使用时都会提示用户,软件要读取用户当前的位置。然而很多用户不能理解或不重视这些提示信息的意思,在提示框出现的时候盲目点击“允许”或“确定”,以便更快打开APP应用,生怕点击了“不允许”、“取消”之后会影响APP的使用。瑞星安全专家建议,用户不要轻易允许APP应用读取、上传、分享自己当前的地理位置,如果特殊情况下需要使用该类功能,可以从手机的系统设置中找到开关,随用随开,用完立即关闭。
移动社交分享成网络“跟踪”数据源
近几年,社交平台逐渐转向移动互联网。目前,以微博、微信为代表的社交类应用程序,已成为智能手机中最常见的应用,网民可以利用该类应用在互联网上分享各类文字、图片及视频信息。然而此前已有多家媒体曾在报道中指出,社交应用经常会泄露用户的隐私信息。瑞星安全专家表示,社交类应用中有一些常见的功能,都可能成为隐私信息泄露的源头,例如定位功能通常情况下用户使用定位功能是为了分享自己的位置,以便向好友推荐自己喜欢的餐馆、娱乐场所或者旅游目的地等。然而,用户的关注者却并不一定持有善意,在这种情况下,分享功能就有可能成为少数不法分子监视用户的工具。
瑞星安全专家指出,有心人可以通过类似微博这类社交平台,全面跟踪用户信息,包括用户的社交关系如何、有哪些喜好特长、近期关注哪些话题、有什么样的购物倾向、去了哪些地方。这些细节看似普通,但是很有可能使用户成为垃圾广告、钓鱼网站和网络诈骗者关注的目标,给用户的网络生活带来巨大的风险。同时,个别黑客及不法分子也会对有一定社会地位的用户进行定向“跟踪”,通过获取对方的工作生活习惯、经常出入的场所及其他隐私信息,破解与对方有关的系统账号密码,甚至获取重要保险柜、机密文件的存储地点。
互联网平台成信息泄露重灾区
今年5月份,国内知名的漏洞提交平台乌云报告了一个搜狗输入法的漏洞,该漏洞导致Google及Bing能够抓取到用户存储于搜狗服务器上的隐私信息,使得大量用户隐私外泄,从而给用户带来严重的困扰。据统计,今年上半年,仅乌云上提交的漏洞就达3,560余个,其中不乏新浪、搜狐、腾讯等大型网络平台。除此之外,一些联通的地方分站,也相继被曝出存在泄露用户信息(包括座机号码及ADSL账号等)的漏洞。
与此同时,今年上半年,全球排名分别为第一和第三的两款网站服务器Apache及Nginx也相继被曝存在重大漏洞。瑞星互联网攻防实验室出具的报告显示,这两个漏洞均可能导致大量网站遭到恶意攻击,并且泄露大量的用户账号信息。
瑞星安全专家指出,国内互联网行业竞争日趋激烈,各大网络平台在博弈的过程中,往往更加重视用户体验,而忽视信息安全。因为通常情况下,完善信息安全,就要以降低用户体验作为代价。例如在一个简单的登录流程中,多一个验证步骤,就能提高一分安全保证,但是不可避免的就会让用户感到操作上的不适,这种不适很有可能流失一部分用户,这并不是企业希望看到的结果。所以,重体验轻安全,就成为了各大互联网平台的通病。
信息安全法制化需求紧迫
从上半年发生的信息安全事故来看,事后补救、追责工作都进行得不甚理想。究其原因,主要因为企业信息安全管理不到位,企业内网的数据读取权限无级别限制,同时没有形成应有的信息安全制度。
去年年底,全国人民代表大会常务委员会通过了《关于加强网络信息保护的决定》。这一决定对打击网络非法活动、保护企业及个人的信息安全,有着极大的推动作用。然而,面对高速发展的互联网技术,这些法律条文中所规范的准则还远远不能对互联网攻击、网络泄密、网银盗窃等行为起到威慑作用。政府应尽快建立健全相关标准和法律,做到有标准、有法律、可衡量、可管控。