APP處處皆陷阱 個人隱私還有沒有安全自媒體
(圖片來源:新華社)
搜狐科技 文/丁丁
小丁呀,明天上午10點到我辦公室來一下!
我的卡壞了,款請打到,2222 2222 2222 2222 222張三。
以往,這樣的電話或短信,全部都是陌生號碼。稍一點防范意識的人,很容易就能識破這類騙局。但現(xiàn)在則不一樣了,你再接到這樣的電話或短信,聯(lián)系人可能真的就是你的上司或熟人的名字,讓人防不勝防。
這都是因為最近黑客發(fā)現(xiàn)了一個名為WormHole蟲洞的安全漏洞。利用這個漏洞,在手機聯(lián)網(wǎng)的情況下,攻擊者可以遠程給受感染的Android手機安裝APP應(yīng)用、遠程啟動任意應(yīng)用、獲取用戶GPS地理位置、手機IMEI信息,甚至可以隨意更改通信錄聯(lián)系人信息。
據(jù)稱,Android平臺的百度全家桶APP基本悉數(shù)帶有此WormHole漏洞。由于百度系列APP用戶數(shù)量非常大,受這一漏洞影響的手機可能達上億部。根據(jù)烏云漏洞平臺的顯示,這一漏洞已經(jīng)得到百度官方確認。同時,來自烏云網(wǎng)的信息顯示,華為手機也因為這一漏洞受到影響。據(jù)搜狐科技了解,因百度輸入法、百度地圖等APP也在很多手機中進行預(yù)裝,預(yù)計受到影響的手機品牌還有更多。
為何最近安全事件頻發(fā)?
最近跟個人信息安全的事情挺多的。
近一個月來,從蘋果Xcode、游戲引擎Unity和Cocos-2d等工具被植入后門供開發(fā)者下載用來開發(fā)應(yīng)用程序,到有米SDK涉嫌使用私有API收集用戶設(shè)備信息,近300款應(yīng)用被蘋果商店下架;從幽靈推病毒ROOT用戶手機繞過安全軟件推廣APP,到網(wǎng)易郵箱被曝有漏洞可能有數(shù)億賬號信息被泄露......
不過,瑞星安全專家唐威并不認為近期出現(xiàn)的安全事件比原來的威脅性更大。唐威對搜狐科技表示,從信息安全監(jiān)測情況來看,近幾年來移動安全威脅確實呈爆發(fā)增長的趨勢。僅僅2015年上半年,就新增病毒樣本近2000萬個,超過2億人次用戶被感染。不過,由于Android系統(tǒng)經(jīng)常鬧病毒,大多數(shù)人已經(jīng)習以為常。最近蘋果系統(tǒng)連續(xù)被曝光了幾次安全威脅,引起很多人的關(guān)注,主要是因為普通人一般認為蘋果系統(tǒng)是沒有病毒或安全漏洞的,加上蘋果在很多人心目中已經(jīng)被“神化”,因此一旦蘋果系統(tǒng)出現(xiàn)一些問題,往往就引起媒體及公眾更多的關(guān)注目光。
安全漏洞影響被過分夸大
一位不愿具名的安全人士則對搜狐科技表示,不少漏洞,包括百度APP中存在的WormHole漏洞,其實是被安全廠商和媒體過分夸大了。安全公司發(fā)現(xiàn)漏洞后,給大眾說明風險,并告訴相關(guān)企業(yè)及用戶怎么解決就行了,但現(xiàn)在不少安全公司對涉及知名企業(yè)的安全漏洞不斷做夸大,搞得人心惶惶。
這位人士表示,安全廠商出于各種目的考慮,一般會針對某一漏洞的特性,窮舉各種可能存在的安全威脅。前段時間蘋果XCode工具被人注入惡意代碼后,騰訊安全應(yīng)急響應(yīng)中心認為受影響的用戶數(shù)量超過一億人。但從事后的實際影響來看,并沒有多少用戶反映自己的個人信息安全受到威脅。
網(wǎng)易郵箱被曝出漏洞后,漏洞報告人當時認為有數(shù)億網(wǎng)易郵箱用戶的個人信息受到影響,但從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的通報來看,根據(jù)漏洞報告人披露的泄露數(shù)據(jù),國家互聯(lián)網(wǎng)應(yīng)急中心認為還無法支持“網(wǎng)易郵箱過億數(shù)據(jù)泄露”這一判斷。
這位安全企業(yè)人士對搜狐科技透露,根據(jù)他們對百度WormHole漏洞的分析來看,這一漏洞的利用價值并沒有想像的那么大。
APP開發(fā)流程不規(guī)范致用戶遭殃
事實證明,并沒有完全安全的系統(tǒng)或應(yīng)用程序,黑客是否會破解一個系統(tǒng)或應(yīng)用,完全要看破解之后是否能給黑客帶來價值。
眾所周知,業(yè)界普遍有種說法是MAC系統(tǒng)、Linux系統(tǒng)非常安全。但從黑客角度來看,當?shù)匾粋€系統(tǒng)用戶量很少時,即使破解了,也給其帶來不了多少價值。CIH病毒作者陳盈豪對搜狐科技表示,對黑客而言,破解Windows、Android、iOS等用戶基數(shù)大的系統(tǒng)或應(yīng)用,甚至利用漏洞盜取企業(yè)或個人用戶的信息,能讓黑客有更大成就感,他們也能從這些行為中獲得更大價值。
一位安全行業(yè)人士對搜狐科技表示,現(xiàn)在很多應(yīng)用開發(fā)公司對安全重視程度并不高。這主要表現(xiàn)在兩個方面,一是在流程管理方面,二是在應(yīng)用開發(fā)方面。
以蘋果XcodeGhost事件為例,事件發(fā)生后,安全廠商及受波及的應(yīng)用開發(fā)公司,幾乎都避重就輕,只注重技術(shù)層面的分析,而沒有從根源上認識到程序開發(fā)過程中因流程不規(guī)范而導(dǎo)致的這些問題。如果應(yīng)用開發(fā)團隊都是用官方的套件做開發(fā)并在之后的審核等流程中做有效的控制,根本不會出現(xiàn)這樣的問題。
這件事情暴露了很多知名互聯(lián)網(wǎng)公司內(nèi)部IT安全管理、代碼復(fù)審等環(huán)節(jié)存在嚴重不規(guī)范的問題。因為這些企業(yè)的原因,導(dǎo)致用戶設(shè)備信息甚至個人信息泄露,需要引起業(yè)界足夠的重視。
金融P2P應(yīng)用安全堪憂
隨著互聯(lián)網(wǎng)金融的發(fā)展,企業(yè)不重視安全的問題,在移動支付、理財類應(yīng)用上也日益突出。
據(jù)搜狐科技了解,目前除了銀行類APP應(yīng)用及第一梯隊互聯(lián)網(wǎng)公司的金融類應(yīng)用安全性更有保障外,其它中小企業(yè)的金融P2P、理財類等應(yīng)用或多或少都存在安全隱患。
一家安全企業(yè)日前給搜狐科技完整演示了四五家P2P及理財應(yīng)用中還沒有正式對外披露的漏洞。
從這家安全企業(yè)演示的過程來看,一家位于廣州的互聯(lián)網(wǎng)金融公司,其一款基金類應(yīng)用甚至明?發(fā)送用戶的賬號和密碼。用戶的姓名、?份證、預(yù)留?機號碼、銀?卡號也同樣使用明?傳輸,存在極大安全風險。
這家金融公司旗下另一款理財類應(yīng)用,雖然數(shù)據(jù)傳輸進行了加密,但全程使用http協(xié)議,而沒有采用業(yè)界普遍使用的https協(xié)議,數(shù)據(jù)存在傳輸過程中被劫持并篡改的風險。
另一家位于深圳的金融理財公司,其APP在驗證用戶?份時,姓名及?份證號也同樣使用明?傳輸。更奇葩的是,在驗證用戶身份時,這款A(yù)PP對姓名并沒有做校驗,只要身份證號曾經(jīng)在這個APP上注冊過,輸入任意姓名+真實身份證號就能驗證通過。
與其教育用戶,不如從源頭保證安全
趨勢科技安全研究副總裁Rik Ferguson對搜狐科技表示,Android系統(tǒng)的開放性及碎片化,使得這個系統(tǒng)存在大量的漏洞,也讓惡意代碼有了生存空間。但Google一直不愿承認惡意代碼的問題。Android平臺的用戶也有很多人無法意識到這個問題的存在,無法或者也沒有能力去花更多時間和精力保護他們設(shè)備的安全。
Rik Ferguson表示,從用戶方面來講,因為大部分用戶本身不懂技術(shù),而且他們對于安全甚至對于手機本身也不是怎么感興趣,所以要想從用戶方去解決安全問題,不見得是一個好的方案。Ferguson認為,安全廠商與制造商、運營商、互聯(lián)網(wǎng)服務(wù)商、應(yīng)用開發(fā)企業(yè)等渠道加強合作,確保各平臺及管道是安全的,從源頭去保護用戶的信息安全,會更加現(xiàn)實。
此前CSDN、天涯等網(wǎng)站的數(shù)據(jù)庫被黑,QQ群數(shù)據(jù)被黑客公開,多家商旅網(wǎng)站數(shù)據(jù)庫被黑客拖庫等事件,以及這次網(wǎng)易郵箱漏洞事件,也從側(cè)面說明,在保護用戶個人信息安全方面,安全機構(gòu)、企業(yè)等平臺的責任更大。
個人如何保護信息安全?
更安全的安全機制是保護個人信息安全的有效機制,但這也不是說個人用戶就可以高枕無憂了。
IDC最新的數(shù)據(jù)統(tǒng)計報告顯示,蘋果手機全球占比在2015年第二季度出貨量呈季節(jié)性下降的趨勢,占比為13.9%,出貨量為4750萬部;Android系統(tǒng)手機占比為82.8%,出貨量約為2.828億部。
CNNIC最新報告顯示,截至2015年6月,我國手機網(wǎng)民規(guī)模達5.94億,較2014年12月增加3679萬人。盡管手機、PAD等終端增長放緩,但移動互聯(lián)網(wǎng)用戶數(shù)量仍保持較高的增長速度。
龐大的用戶基數(shù),也使得黑色產(chǎn)業(yè)鏈更關(guān)注個人信息的收集與利用。瑞星安全專家唐威表示,個人信息安全的保護一直被大眾所忽略。很多用戶認為,自己的電腦或手機上安裝了安全軟件就萬事大吉了,其實,有了安全軟件的保護,還遠遠不夠。
在IDG主辦的第四屆Android全球開發(fā)者大會上,一位做APP推廣的從業(yè)人員對搜狐科技披露,國內(nèi)很多Android應(yīng)用都試圖獲取更多的用戶信息。由于國內(nèi)大多數(shù)品牌Android手機出廠時都內(nèi)置了安全軟件,惡意應(yīng)用一般會被安全軟件自動攔截。不過,為了能繞過安全軟件,不少做推送的廠商都跟國內(nèi)外安全廠商接洽,以避免其應(yīng)用被安全軟件自動攔截。如果這類軟件沒有特別過分的行為,一般安全廠商往往會設(shè)置相應(yīng)的規(guī)則,允許這類軟件默認獲取用戶的設(shè)備信息等后臺行為。據(jù)搜狐科技了解,這樣的做法在十年前的PC互聯(lián)網(wǎng)時代曾經(jīng)很普遍,當時國內(nèi)外不少安全軟件廠商的產(chǎn)品,曾對占據(jù)用戶桌面、瀏覽器及任務(wù)欄中的流氓軟件不聞不問。
唐威表示,對于個人消費者而言,使用安全性更高的密碼并定期更新;謹慎使用社交應(yīng)用,不點擊朋友圈里的不明網(wǎng)絡(luò)鏈接;從官方網(wǎng)站下載APP應(yīng)用;不隨意連接公共場所的無線網(wǎng)絡(luò)等措施,可以在一定程度上保證自己的信息安全。不過,這些措施也不是萬能的,企業(yè)及用戶從根源上樹立必要的安全意識才是最重要的。
1.砍柴網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;2.砍柴網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務(wù)必注明文章作者和"來源:砍柴網(wǎng)",不尊重原創(chuàng)的行為砍柴網(wǎng)或?qū)⒆肪控熑危?.作者投稿可能會經(jīng)砍柴網(wǎng)編輯修改或補充。
