互聯(lián)網(wǎng)平臺成信息泄露重災(zāi)區(qū)

　　目前國內(nèi)互聯(lián)網(wǎng)行業(yè)競爭日趨激烈，各大網(wǎng)絡(luò)平臺在博弈的過程中，往往更加重視用戶體驗，而忽視信息安全。而在移動互聯(lián)網(wǎng)方面，智能手機(jī)APP也暴露出眾多安全隱患，導(dǎo)致互聯(lián)網(wǎng)平臺成為信息泄露的重災(zāi)區(qū)。

　　近日，根據(jù)《2013年上半年中國信息安全綜合報告》研究顯示，2013年前半年，盜號、隱私信息販?zhǔn)蹆纱蠛谏�產(chǎn)業(yè)鏈已形成規(guī)模，如QQ、網(wǎng)游賬密、個人隱私及企業(yè)機(jī)密都已成為黑客牟取暴利的主要渠道。在移動互聯(lián)網(wǎng)方面，因APP應(yīng)用設(shè)置不當(dāng)造成用戶人身安全的事故時有發(fā)生，同時，一些不法分子已經(jīng)開始利用微博、微信等互聯(lián)網(wǎng)社交平臺的定位功能，定向追蹤用戶的隱私信息，為企業(yè)及個人造成巨大安全威脅。

　　免費(fèi)Wi-Fi應(yīng)用暗藏巨大風(fēng)險

　　在今年上半年，瑞星互聯(lián)網(wǎng)攻防實驗室在移動互聯(lián)網(wǎng)領(lǐng)域重點關(guān)注了“暢無線”、“Wi-Fi免費(fèi)通”、“WiFi萬能鑰匙”和“WIFI伴侶”等多款免費(fèi)Wi-Fi應(yīng)用。該類應(yīng)用的主要功能是幫助網(wǎng)友連接中國聯(lián)通、中國移動及各類商家為顧客提供的Wi-Fi熱點，以達(dá)到免費(fèi)“蹭網(wǎng)”的目的。

　　據(jù)瑞星安全專家分析，該類應(yīng)用并非如傳聞般擁有破解密碼的功能，而是通過程序大量內(nèi)置的手機(jī)賬號及免費(fèi)Wi-Fi賬號來連接戶外及商家的Wi-Fi熱點。這種應(yīng)用存在兩個安全隱患：

　　第一，Wi-Fi應(yīng)用只能提供免費(fèi)的Wi-Fi熱點接入服務(wù)，并不能保證這些Wi-Fi都是安全的網(wǎng)絡(luò)。一旦有黑客熟知某一區(qū)域Wi-Fi熱點賬號，就有可能仿冒正規(guī)商家制造假冒賬號，并進(jìn)入Wi-Fi應(yīng)用提供的免費(fèi)熱點列表，進(jìn)而獲取用戶手機(jī)上所有信息。這些信息包括：手機(jī)短信、電子郵件、照片、通訊錄、網(wǎng)銀賬密及其他電子賬號和電子文檔等。

　　第二，免費(fèi)Wi-Fi應(yīng)用理論上是不向用戶收取費(fèi)用的。雖然少數(shù)該類應(yīng)用會向用戶收取虛擬貨幣，但大部分都依靠向用戶推送廣告及其他APP應(yīng)用實現(xiàn)盈利。值得注意的是，目前移動互聯(lián)網(wǎng)市場上的應(yīng)用程序——尤其是基于Android系統(tǒng)的應(yīng)用程序，缺乏嚴(yán)格的安全審核制度，許多免費(fèi)應(yīng)用內(nèi)置的廣告、APP推薦，都存在很大風(fēng)險。同樣，Wi-Fi應(yīng)用也不能保證所推送的廣告或APP都是安全可靠的，釣魚信息、惡意APP都有可能借該類應(yīng)用之便大肆傳播。用戶一旦輕信，輕則隱私信息泄露、遭遇惡意詐騙，重則網(wǎng)銀賬密不保、銀行卡內(nèi)錢款被洗劫一空。

　　APP應(yīng)用設(shè)置不當(dāng)嚴(yán)重威脅人身安全

　　據(jù)媒體報道，今年5月，沈陽一女孩因在微信中上傳自己的照片，被不法分子盯梢，下班后出地鐵站時被尾隨，兇手將其掐死后拋尸。“在這個案例中，不法分子并不認(rèn)識被害者，卻能通過微信看到被害者的照片，并確定被害者本人就在附近，原因是被害者在微信中開放了定位功能，并允許陌生人翻看自己的相冊”，瑞星安全專家表示，“現(xiàn)在智能手機(jī)上的很多APP應(yīng)用程序都有定位、分享功能，有些是因為應(yīng)用程序的功能需要，有些則屬私自讀取用戶的地理位置。事實上，該類功能給用戶的人身安全帶來了不小的隱患，然而很多時候，用戶并不知道自己開啟了這些功能，就如上述案件中，被害者可能根本不知道自己的照片可以被陌生人查看。”

　　其實大多數(shù)APP應(yīng)用在安裝、使用時都會提示用戶，軟件要讀取用戶當(dāng)前的位置。然而很多用戶不能理解或不重視這些提示信息的意思，在提示框出現(xiàn)的時候盲目點擊“允許”或“確定”，以便更快打開APP應(yīng)用，生怕點擊了“不允許”、“取消”之后會影響APP的使用。瑞星安全專家建議，用戶不要輕易允許APP應(yīng)用讀取、上傳、分享自己當(dāng)前的地理位置，如果特殊情況下需要使用該類功能，可以從手機(jī)的系統(tǒng)設(shè)置中找到開關(guān)，隨用隨開，用完立即關(guān)閉。

　　移動社交分享成網(wǎng)絡(luò)“跟蹤”數(shù)據(jù)源

　　近幾年，社交平臺逐漸轉(zhuǎn)向移動互聯(lián)網(wǎng)。目前，以微博、微信為代表的社交類應(yīng)用程序，已成為智能手機(jī)中最常見的應(yīng)用，網(wǎng)民可以利用該類應(yīng)用在互聯(lián)網(wǎng)上分享各類文字、圖片及視頻信息。然而此前已有多家媒體曾在報道中指出，社交應(yīng)用經(jīng)常會泄露用戶的隱私信息。瑞星安全專家表示，社交類應(yīng)用中有一些常見的功能，都可能成為隱私信息泄露的源頭，例如定位功能通常情況下用戶使用定位功能是為了分享自己的位置，以便向好友推薦自己喜歡的餐館、娛樂場所或者旅游目的地等。然而，用戶的關(guān)注者卻并不一定持有善意，在這種情況下，分享功能就有可能成為少數(shù)不法分子監(jiān)視用戶的工具。

　　瑞星安全專家指出，有心人可以通過類似微博這類社交平臺，全面跟蹤用戶信息，包括用戶的社交關(guān)系如何、有哪些喜好特長、近期關(guān)注哪些話題、有什么樣的購物傾向、去了哪些地方。這些細(xì)節(jié)看似普通，但是很有可能使用戶成為垃圾廣告、釣魚網(wǎng)站和網(wǎng)絡(luò)詐騙者關(guān)注的目標(biāo)，給用戶的網(wǎng)絡(luò)生活帶來巨大的風(fēng)險。同時，個別黑客及不法分子也會對有一定社會地位的用戶進(jìn)行定向“跟蹤”，通過獲取對方的工作生活習(xí)慣、經(jīng)常出入的場所及其他隱私信息，破解與對方有關(guān)的系統(tǒng)賬號密碼，甚至獲取重要保險柜、機(jī)密文件的存儲地點。

　　互聯(lián)網(wǎng)平臺成信息泄露重災(zāi)區(qū)

　　今年5月份，國內(nèi)知名的漏洞提交平臺烏云報告了一個搜狗輸入法的漏洞，該漏洞導(dǎo)致Google及Bing能夠抓取到用戶存儲于搜狗服務(wù)器上的隱私信息，使得大量用戶隱私外泄，從而給用戶帶來嚴(yán)重的困擾。據(jù)統(tǒng)計，今年上半年，僅烏云上提交的漏洞就達(dá)3,560余個，其中不乏新浪、搜狐、騰訊等大型網(wǎng)絡(luò)平臺。除此之外，一些聯(lián)通的地方分站，也相繼被曝出存在泄露用戶信息（包括座機(jī)號碼及ADSL賬號等）的漏洞。

　　與此同時，今年上半年，全球排名分別為第一和第三的兩款網(wǎng)站服務(wù)器Apache及Nginx也相繼被曝存在重大漏洞。瑞星互聯(lián)網(wǎng)攻防實驗室出具的報告顯示，這兩個漏洞均可能導(dǎo)致大量網(wǎng)站遭到惡意攻擊，并且泄露大量的用戶賬號信息。

　　瑞星安全專家指出，國內(nèi)互聯(lián)網(wǎng)行業(yè)競爭日趨激烈，各大網(wǎng)絡(luò)平臺在博弈的過程中，往往更加重視用戶體驗，而忽視信息安全。因為通常情況下，完善信息安全，就要以降低用戶體驗作為代價。例如在一個簡單的登錄流程中，多一個驗證步驟，就能提高一分安全保證，但是不可避免的就會讓用戶感到操作上的不適，這種不適很有可能流失一部分用戶，這并不是企業(yè)希望看到的結(jié)果。所以，重體驗輕安全，就成為了各大互聯(lián)網(wǎng)平臺的通病。

　　信息安全法制化需求緊迫

　　從上半年發(fā)生的信息安全事故來看，事后補(bǔ)救、追責(zé)工作都進(jìn)行得不甚理想。究其原因，主要因為企業(yè)信息安全管理不到位，企業(yè)內(nèi)網(wǎng)的數(shù)據(jù)讀取權(quán)限無級別限制，同時沒有形成應(yīng)有的信息安全制度。

　　去年年底，全國人民代表大會常務(wù)委員會通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》。這一決定對打擊網(wǎng)絡(luò)非法活動、保護(hù)企業(yè)及個人的信息安全，有著極大的推動作用。然而，面對高速發(fā)展的互聯(lián)網(wǎng)技術(shù)，這些法律條文中所規(guī)范的準(zhǔn)則還遠(yuǎn)遠(yuǎn)不能對互聯(lián)網(wǎng)攻擊、網(wǎng)絡(luò)泄密、網(wǎng)銀盜竊等行為起到威懾作用。政府應(yīng)盡快建立健全相關(guān)標(biāo)準(zhǔn)和法律，做到有標(biāo)準(zhǔn)、有法律、可衡量、可管控。