APP處處皆陷阱 個人隱私還有沒有安全自媒體
(圖片來源:新華社)
搜狐科技 文/丁丁
小丁呀,明天上午10點到我辦公室來一下!
我的卡壞了,款請打到,2222 2222 2222 2222 222張三。
以往,這樣的電話或短信,全部都是陌生號碼。稍一點防范意識的人,很容易就能識破這類騙局。但現在則不一樣了,你再接到這樣的電話或短信,聯系人可能真的就是你的上司或熟人的名字,讓人防不勝防。
這都是因為最近黑客發現了一個名為WormHole蟲洞的安全漏洞。利用這個漏洞,在手機聯網的情況下,攻擊者可以遠程給受感染的Android手機安裝APP應用、遠程啟動任意應用、獲取用戶GPS地理位置、手機IMEI信息,甚至可以隨意更改通信錄聯系人信息。
據稱,Android平臺的百度全家桶APP基本悉數帶有此WormHole漏洞。由于百度系列APP用戶數量非常大,受這一漏洞影響的手機可能達上億部。根據烏云漏洞平臺的顯示,這一漏洞已經得到百度官方確認。同時,來自烏云網的信息顯示,華為手機也因為這一漏洞受到影響。據搜狐科技了解,因百度輸入法、百度地圖等APP也在很多手機中進行預裝,預計受到影響的手機品牌還有更多。
為何最近安全事件頻發?
最近跟個人信息安全的事情挺多的。
近一個月來,從蘋果Xcode、游戲引擎Unity和Cocos-2d等工具被植入后門供開發者下載用來開發應用程序,到有米SDK涉嫌使用私有API收集用戶設備信息,近300款應用被蘋果商店下架;從幽靈推病毒ROOT用戶手機繞過安全軟件推廣APP,到網易郵箱被曝有漏洞可能有數億賬號信息被泄露......
不過,瑞星安全專家唐威并不認為近期出現的安全事件比原來的威脅性更大。唐威對搜狐科技表示,從信息安全監測情況來看,近幾年來移動安全威脅確實呈爆發增長的趨勢。僅僅2015年上半年,就新增病毒樣本近2000萬個,超過2億人次用戶被感染。不過,由于Android系統經常鬧病毒,大多數人已經習以為常。最近蘋果系統連續被曝光了幾次安全威脅,引起很多人的關注,主要是因為普通人一般認為蘋果系統是沒有病毒或安全漏洞的,加上蘋果在很多人心目中已經被“神化”,因此一旦蘋果系統出現一些問題,往往就引起媒體及公眾更多的關注目光。
安全漏洞影響被過分夸大
一位不愿具名的安全人士則對搜狐科技表示,不少漏洞,包括百度APP中存在的WormHole漏洞,其實是被安全廠商和媒體過分夸大了。安全公司發現漏洞后,給大眾說明風險,并告訴相關企業及用戶怎么解決就行了,但現在不少安全公司對涉及知名企業的安全漏洞不斷做夸大,搞得人心惶惶。
這位人士表示,安全廠商出于各種目的考慮,一般會針對某一漏洞的特性,窮舉各種可能存在的安全威脅。前段時間蘋果XCode工具被人注入惡意代碼后,騰訊安全應急響應中心認為受影響的用戶數量超過一億人。但從事后的實際影響來看,并沒有多少用戶反映自己的個人信息安全受到威脅。
網易郵箱被曝出漏洞后,漏洞報告人當時認為有數億網易郵箱用戶的個人信息受到影響,但從國家互聯網應急中心發布的通報來看,根據漏洞報告人披露的泄露數據,國家互聯網應急中心認為還無法支持“網易郵箱過億數據泄露”這一判斷。
這位安全企業人士對搜狐科技透露,根據他們對百度WormHole漏洞的分析來看,這一漏洞的利用價值并沒有想像的那么大。
APP開發流程不規范致用戶遭殃
事實證明,并沒有完全安全的系統或應用程序,黑客是否會破解一個系統或應用,完全要看破解之后是否能給黑客帶來價值。
眾所周知,業界普遍有種說法是MAC系統、Linux系統非常安全。但從黑客角度來看,當地一個系統用戶量很少時,即使破解了,也給其帶來不了多少價值。CIH病毒作者陳盈豪對搜狐科技表示,對黑客而言,破解Windows、Android、iOS等用戶基數大的系統或應用,甚至利用漏洞盜取企業或個人用戶的信息,能讓黑客有更大成就感,他們也能從這些行為中獲得更大價值。
一位安全行業人士對搜狐科技表示,現在很多應用開發公司對安全重視程度并不高。這主要表現在兩個方面,一是在流程管理方面,二是在應用開發方面。
以蘋果XcodeGhost事件為例,事件發生后,安全廠商及受波及的應用開發公司,幾乎都避重就輕,只注重技術層面的分析,而沒有從根源上認識到程序開發過程中因流程不規范而導致的這些問題。如果應用開發團隊都是用官方的套件做開發并在之后的審核等流程中做有效的控制,根本不會出現這樣的問題。
這件事情暴露了很多知名互聯網公司內部IT安全管理、代碼復審等環節存在嚴重不規范的問題。因為這些企業的原因,導致用戶設備信息甚至個人信息泄露,需要引起業界足夠的重視。
金融P2P應用安全堪憂
隨著互聯網金融的發展,企業不重視安全的問題,在移動支付、理財類應用上也日益突出。
據搜狐科技了解,目前除了銀行類APP應用及第一梯隊互聯網公司的金融類應用安全性更有保障外,其它中小企業的金融P2P、理財類等應用或多或少都存在安全隱患。
一家安全企業日前給搜狐科技完整演示了四五家P2P及理財應用中還沒有正式對外披露的漏洞。
從這家安全企業演示的過程來看,一家位于廣州的互聯網金融公司,其一款基金類應用甚至明?發送用戶的賬號和密碼。用戶的姓名、?份證、預留?機號碼、銀?卡號也同樣使用明?傳輸,存在極大安全風險。
這家金融公司旗下另一款理財類應用,雖然數據傳輸進行了加密,但全程使用http協議,而沒有采用業界普遍使用的https協議,數據存在傳輸過程中被劫持并篡改的風險。
另一家位于深圳的金融理財公司,其APP在驗證用戶?份時,姓名及?份證號也同樣使用明?傳輸。更奇葩的是,在驗證用戶身份時,這款APP對姓名并沒有做校驗,只要身份證號曾經在這個APP上注冊過,輸入任意姓名+真實身份證號就能驗證通過。
與其教育用戶,不如從源頭保證安全
趨勢科技安全研究副總裁Rik Ferguson對搜狐科技表示,Android系統的開放性及碎片化,使得這個系統存在大量的漏洞,也讓惡意代碼有了生存空間。但Google一直不愿承認惡意代碼的問題。Android平臺的用戶也有很多人無法意識到這個問題的存在,無法或者也沒有能力去花更多時間和精力保護他們設備的安全。
Rik Ferguson表示,從用戶方面來講,因為大部分用戶本身不懂技術,而且他們對于安全甚至對于手機本身也不是怎么感興趣,所以要想從用戶方去解決安全問題,不見得是一個好的方案。Ferguson認為,安全廠商與制造商、運營商、互聯網服務商、應用開發企業等渠道加強合作,確保各平臺及管道是安全的,從源頭去保護用戶的信息安全,會更加現實。
此前CSDN、天涯等網站的數據庫被黑,QQ群數據被黑客公開,多家商旅網站數據庫被黑客拖庫等事件,以及這次網易郵箱漏洞事件,也從側面說明,在保護用戶個人信息安全方面,安全機構、企業等平臺的責任更大。
個人如何保護信息安全?
更安全的安全機制是保護個人信息安全的有效機制,但這也不是說個人用戶就可以高枕無憂了。
IDC最新的數據統計報告顯示,蘋果手機全球占比在2015年第二季度出貨量呈季節性下降的趨勢,占比為13.9%,出貨量為4750萬部;Android系統手機占比為82.8%,出貨量約為2.828億部。
CNNIC最新報告顯示,截至2015年6月,我國手機網民規模達5.94億,較2014年12月增加3679萬人。盡管手機、PAD等終端增長放緩,但移動互聯網用戶數量仍保持較高的增長速度。
龐大的用戶基數,也使得黑色產業鏈更關注個人信息的收集與利用。瑞星安全專家唐威表示,個人信息安全的保護一直被大眾所忽略。很多用戶認為,自己的電腦或手機上安裝了安全軟件就萬事大吉了,其實,有了安全軟件的保護,還遠遠不夠。
在IDG主辦的第四屆Android全球開發者大會上,一位做APP推廣的從業人員對搜狐科技披露,國內很多Android應用都試圖獲取更多的用戶信息。由于國內大多數品牌Android手機出廠時都內置了安全軟件,惡意應用一般會被安全軟件自動攔截。不過,為了能繞過安全軟件,不少做推送的廠商都跟國內外安全廠商接洽,以避免其應用被安全軟件自動攔截。如果這類軟件沒有特別過分的行為,一般安全廠商往往會設置相應的規則,允許這類軟件默認獲取用戶的設備信息等后臺行為。據搜狐科技了解,這樣的做法在十年前的PC互聯網時代曾經很普遍,當時國內外不少安全軟件廠商的產品,曾對占據用戶桌面、瀏覽器及任務欄中的流氓軟件不聞不問。
唐威表示,對于個人消費者而言,使用安全性更高的密碼并定期更新;謹慎使用社交應用,不點擊朋友圈里的不明網絡鏈接;從官方網站下載APP應用;不隨意連接公共場所的無線網絡等措施,可以在一定程度上保證自己的信息安全。不過,這些措施也不是萬能的,企業及用戶從根源上樹立必要的安全意識才是最重要的。
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。