2013年上半年中國信息安全綜合報告
2013-07-11 14:17:50四、移動互聯(lián)網(wǎng)信息安全
(一)、免費Wi-Fi應用暗藏巨大風險
在今年上半年,瑞星互聯(lián)網(wǎng)攻防實驗室在移動互聯(lián)網(wǎng)領域重點關注了“暢無線”、“Wi-Fi免費通”、“WiFi萬能鑰匙”和“WIFI伴侶”等多款免費Wi-Fi應用。該類應用的主要功能是幫助網(wǎng)友連接中國聯(lián)通、中國移動及各類商家為顧客提供的Wi-Fi熱點,以達到免費“蹭網(wǎng)”的目的。
圖12:免費Wi-Fi應用暗藏巨大風險
瑞星安全專家分析,該類應用并非如傳聞般擁有破解密碼的功能,而是通過程序大量內(nèi)置的手機賬號及免費Wi-Fi賬號來連接戶外及商家的Wi-Fi熱點。這種應用存在兩個安全隱患:
第一,Wi-Fi應用只能提供免費的Wi-Fi熱點接入服務,并不能保證這些Wi-Fi都是安全的網(wǎng)絡。一旦有黑客熟知某一區(qū)域Wi-Fi熱點賬號,就有可能仿冒正規(guī)商家制造假冒賬號,并進入Wi-Fi應用提供的免費熱點列表,進而獲取用戶手機上所有信息。這些信息包括:手機短信、電子郵件、照片、通訊錄、網(wǎng)銀賬密及其他電子賬號和電子文檔等。
第二,免費Wi-Fi應用理論上是不向用戶收取費用的。雖然少數(shù)該類應用會向用戶收取虛擬貨幣,但大部分都依靠向用戶推送廣告及其他APP應用實現(xiàn)盈利。值得注意的是,目前移動互聯(lián)網(wǎng)市場上的應用程序——尤其是基于Android系統(tǒng)的應用程序,缺乏嚴格的安全審核制度,許多免費應用內(nèi)置的廣告、APP推薦,都存在很大風險。同樣,Wi-Fi應用也不能保證所推送的廣告或APP都是安全可靠的,釣魚信息、惡意APP都有可能借該類應用之便大肆傳播。用戶一旦輕信,輕則隱私信息泄露、遭遇惡意詐騙,重則網(wǎng)銀賬密不保、銀行卡內(nèi)錢款被洗劫一空。
(二)、移動互聯(lián)網(wǎng)危及公民隱私
1. APP應用設置不當嚴重威脅人身安全
據(jù)媒體報道,今年5月,沈陽一女孩因在微信中上傳自己的照片,被不法分子盯梢,下班后出地鐵站時被尾隨,兇手將其掐死后拋尸。“在這個案例中,不法分子并不認識被害者,卻能通過微信看到被害者的照片,并確定被害者本人就在附近,原因是被害者在微信中開放了定位功能,并允許陌生人翻看自己的相冊”,瑞星安全專家表示,“現(xiàn)在智能手機上的很多APP應用程序都有定位、分享功能,有些是因為應用程序的功能需要,有些則屬私自讀取用戶的地理位置。事實上,該類功能給用戶的人身安全帶來了不小的隱患,然而很多時候,用戶并不知道自己開啟了這些功能,就如上述案件中,被害者可能根本不知道自己的照片可以被陌生人查看。”
圖13:APP設置不當嚴重威脅人身安全
其實大多數(shù)APP應用在安裝、使用時都會提示用戶,軟件要讀取用戶當前的位置。然而很多用戶不能理解或不重視這些提示信息的意思,在提示框出現(xiàn)的時候盲目點擊“允許”或“確定”,以便更快打開APP應用,生怕點擊了“不允許”、“取消”之后會影響APP的使用。瑞星安全專家建議,用戶不要輕易允許APP應用讀取、上傳、分享自己當前的地理位置,如果特殊情況下需要使用該類功能,可以從手機的系統(tǒng)設置中找到開關,隨用隨開,用完立即關閉。
2. 移動社交分享成網(wǎng)絡“跟蹤”數(shù)據(jù)源
近幾年,社交平臺逐漸轉(zhuǎn)向移動互聯(lián)網(wǎng)。目前,以微博、微信為代表的社交類應用程序,已成為智能手機中最常見的應用,網(wǎng)民可以利用該類應用在互聯(lián)網(wǎng)上分享各類文字、圖片及視頻信息。然而此前已有多家媒體曾在報道中指出,社交應用經(jīng)常會泄露用戶的隱私信息。瑞星安全專家表示,社交類應用中有一些常見的功能,都可能成為隱私信息泄露的源頭,例如定位功能通常情況下用戶使用定位功能是為了分享自己的位置,以便向好友推薦自己喜歡的餐館、娛樂場所或者旅游目的地等。然而,用戶的關注者卻并不一定持有善意,在這種情況下,分享功能就有可能成為少數(shù)不法分子監(jiān)視用戶的工具。
圖14:移動社交分享成網(wǎng)絡“跟蹤”數(shù)據(jù)源
瑞星安全專家指出,有心人可以通過類似微博這類社交平臺,全面跟蹤用戶信息,包括用戶的社交關系如何、有哪些喜好特長、近期關注哪些話題、有什么樣的購物傾向、去了哪些地方。這些細節(jié)看似普通,但是很有可能使用戶成為垃圾廣告、釣魚網(wǎng)站和網(wǎng)絡詐騙者關注的目標,給用戶的網(wǎng)絡生活帶來巨大的風險。同時,個別黑客及不法分子也會對有一定社會地位的用戶進行定向“跟蹤”,通過獲取對方的工作生活習慣、經(jīng)常出入的場所及其他隱私信息,破解與對方有關的系統(tǒng)賬號密碼,甚至獲取重要保險柜、機密文件的存儲地點。
(三)、無線路由器成網(wǎng)絡安全新盲區(qū) 漏洞導致終身監(jiān)視
當今智能終端的普及極為迅速,筆記本電腦、智能手機、平板電腦、相機、智能電視等產(chǎn)品都需要無線網(wǎng)絡,導致無線路由器迅速在家庭中普及。然而今年上半年,多款無線路由器被曝存在重大安全漏洞,其中包括TP-Link、D-Link等國內(nèi)外知名品牌。瑞星安全專家指出,這些漏洞使得許多家庭乃至公司網(wǎng)絡都隨時處于被他人監(jiān)控的風險當中。黑客可以利用無線路由器的漏洞對整個網(wǎng)絡中的電子設備進行全面監(jiān)控,包括所有電子設備中內(nèi)置的麥克和攝像頭,硬盤中存儲的文件以及用戶對電子設備進行的所有操作。
圖15:無線路由器成網(wǎng)絡安全新盲區(qū)
瑞星安全專家表示,由于絕大部分用戶只會在安裝路由器時進行初步的簡單設置,并不會定期檢查路由器并刷新固件程序,所以路由器一旦被黑客入侵,用戶將被終身監(jiān)視。
