小丁呀,明天上午10點(diǎn)到我辦公室來一下�����!
我的卡壞了,款請打到�,2222 2222 2222 2222 222張三。
以往����,這樣的電話或短信,全部都是陌生號碼��。稍一點(diǎn)防范意識的人�����,很容易就能識破這類騙局�����。但現(xiàn)在則不一樣了�,你再接到這樣的電話或短信�����,聯(lián)系人可能真的就是你的上司或熟人的名字�,讓人防不勝防���。
這都是因為最近黑客發(fā)現(xiàn)了一個名為WormHole蟲洞的安全漏洞。利用這個漏洞�����,在手機(jī)聯(lián)網(wǎng)的情況下�����,攻擊者可以遠(yuǎn)程給受感染的Android手機(jī)安裝APP應(yīng)用����、遠(yuǎn)程啟動任意應(yīng)用、獲取用戶GPS地理位置�����、手機(jī)IMEI信息����,甚至可以隨意更改通信錄聯(lián)系人信息。
據(jù)稱�,Android平臺的百度全家桶APP基本悉數(shù)帶有此WormHole漏洞。由于百度系列APP用戶數(shù)量非常大�,受這一漏洞影響的手機(jī)可能達(dá)上億部�����。根據(jù)烏云漏洞平臺的顯示���,這一漏洞已經(jīng)得到百度官方確認(rèn)。同時���,來自烏云網(wǎng)的信息顯示�,華為手機(jī)也因為這一漏洞受到影響����。據(jù)搜狐科技了解,因百度輸入法�、百度地圖等APP也在很多手機(jī)中進(jìn)行預(yù)裝����,預(yù)計受到影響的手機(jī)品牌還有更多。
為何最近安全事件頻發(fā)��?
最近跟個人信息安全的事情挺多的����。
近一個月來���,從蘋果Xcode、游戲引擎Unity和Cocos-2d等工具被植入后門供開發(fā)者下載用來開發(fā)應(yīng)用程序���,到有米SDK涉嫌使用私有API收集用戶設(shè)備信息�����,近300款應(yīng)用被蘋果商店下架���;從幽靈推病毒ROOT用戶手機(jī)繞過安全軟件推廣APP,到網(wǎng)易郵箱被曝有漏洞可能有數(shù)億賬號信息被泄露......
不過�����,瑞星安全專家唐威并不認(rèn)為近期出現(xiàn)的安全事件比原來的威脅性更大�����。唐威對搜狐科技表示���,從信息安全監(jiān)測情況來看�,近幾年來移動安全威脅確實呈爆發(fā)增長的趨勢。僅僅2015年上半年����,就新增病毒樣本近2000萬個,超過2億人次用戶被感染�。不過,由于Android系統(tǒng)經(jīng)常鬧病毒���,大多數(shù)人已經(jīng)習(xí)以為常���。最近蘋果系統(tǒng)連續(xù)被曝光了幾次安全威脅,引起很多人的關(guān)注�����,主要是因為普通人一般認(rèn)為蘋果系統(tǒng)是沒有病毒或安全漏洞的�����,加上蘋果在很多人心目中已經(jīng)被“神化”��,因此一旦蘋果系統(tǒng)出現(xiàn)一些問題��,往往就引起媒體及公眾更多的關(guān)注目光�����。
安全漏洞影響被過分夸大
一位不愿具名的安全人士則對搜狐科技表示�,不少漏洞,包括百度APP中存在的WormHole漏洞����,其實是被安全廠商和媒體過分夸大了。安全公司發(fā)現(xiàn)漏洞后�����,給大眾說明風(fēng)險����,并告訴相關(guān)企業(yè)及用戶怎么解決就行了,但現(xiàn)在不少安全公司對涉及知名企業(yè)的安全漏洞不斷做夸大����,搞得人心惶惶。
這位人士表示��,安全廠商出于各種目的考慮���,一般會針對某一漏洞的特性���,窮舉各種可能存在的安全威脅�����。前段時間蘋果XCode工具被人注入惡意代碼后��,騰訊安全應(yīng)急響應(yīng)中心認(rèn)為受影響的用戶數(shù)量超過一億人�。但從事后的實際影響來看�,并沒有多少用戶反映自己的個人信息安全受到威脅。
網(wǎng)易郵箱被曝出漏洞后����,漏洞報告人當(dāng)時認(rèn)為有數(shù)億網(wǎng)易郵箱用戶的個人信息受到影響,但從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的通報來看�,根據(jù)漏洞報告人披露的泄露數(shù)據(jù),國家互聯(lián)網(wǎng)應(yīng)急中心認(rèn)為還無法支持“網(wǎng)易郵箱過億數(shù)據(jù)泄露”這一判斷�����。
這位安全企業(yè)人士對搜狐科技透露����,根據(jù)他們對百度WormHole漏洞的分析來看,這一漏洞的利用價值并沒有想像的那么大�����。
APP開發(fā)流程不規(guī)范致用戶遭殃
事實證明���,并沒有完全安全的系統(tǒng)或應(yīng)用程序���,黑客是否會破解一個系統(tǒng)或應(yīng)用,完全要看破解之后是否能給黑客帶來價值����。
眾所周知,業(yè)界普遍有種說法是MAC系統(tǒng)����、Linux系統(tǒng)非常安全。但從黑客角度來看�����,當(dāng)?shù)匾粋€系統(tǒng)用戶量很少時�����,即使破解了�����,也給其帶來不了多少價值。CIH病毒作者陳盈豪對搜狐科技表示����,對黑客而言,破解Windows�����、Android��、iOS等用戶基數(shù)大的系統(tǒng)或應(yīng)用�����,甚至利用漏洞盜取企業(yè)或個人用戶的信息�,能讓黑客有更大成就感,他們也能從這些行為中獲得更大價值���。
一位安全行業(yè)人士對搜狐科技表示�,現(xiàn)在很多應(yīng)用開發(fā)公司對安全重視程度并不高��。這主要表現(xiàn)在兩個方面��,一是在流程管理方面,二是在應(yīng)用開發(fā)方面����。
以蘋果XcodeGhost事件為例��,事件發(fā)生后��,安全廠商及受波及的應(yīng)用開發(fā)公司�����,幾乎都避重就輕���,只注重技術(shù)層面的分析��,而沒有從根源上認(rèn)識到程序開發(fā)過程中因流程不規(guī)范而導(dǎo)致的這些問題���。如果應(yīng)用開發(fā)團(tuán)隊都是用官方的套件做開發(fā)并在之后的審核等流程中做有效的控制,根本不會出現(xiàn)這樣的問題���。
這件事情暴露了很多知名互聯(lián)網(wǎng)公司內(nèi)部IT安全管理���、代碼復(fù)審等環(huán)節(jié)存在嚴(yán)重不規(guī)范的問題�����。因為這些企業(yè)的原因�����,導(dǎo)致用戶設(shè)備信息甚至個人信息泄露��,需要引起業(yè)界足夠的重視�����。
金融P2P應(yīng)用安全堪憂
隨著互聯(lián)網(wǎng)金融的發(fā)展�����,企業(yè)不重視安全的問題�����,在移動支付�、理財類應(yīng)用上也日益突出���。
據(jù)搜狐科技了解���,目前除了銀行類APP應(yīng)用及第一梯隊互聯(lián)網(wǎng)公司的金融類應(yīng)用安全性更有保障外�,其它中小企業(yè)的金融P2P���、理財類等應(yīng)用或多或少都存在安全隱患�。
一家安全企業(yè)日前給搜狐科技完整演示了四五家P2P及理財應(yīng)用中還沒有正式對外披露的漏洞�。
從這家安全企業(yè)演示的過程來看���,一家位于廣州的互聯(lián)網(wǎng)金融公司�����,其一款基金類應(yīng)用甚至明?發(fā)送用戶的賬號和密碼��。用戶的姓名��、?份證����、預(yù)留?機(jī)號碼��、銀?卡號也同樣使用明?傳輸����,存在極大安全風(fēng)險�。
這家金融公司旗下另一款理財類應(yīng)用�,雖然數(shù)據(jù)傳輸進(jìn)行了加密,但全程使用http協(xié)議�,而沒有采用業(yè)界普遍使用的https協(xié)議,數(shù)據(jù)存在傳輸過程中被劫持并篡改的風(fēng)險��。
另一家位于深圳的金融理財公司����,其APP在驗證用戶?份時,姓名及?份證號也同樣使用明?傳輸���。更奇葩的是�����,在驗證用戶身份時�����,這款A(yù)PP對姓名并沒有做校驗����,只要身份證號曾經(jīng)在這個APP上注冊過,輸入任意姓名+真實身份證號就能驗證通過��。
與其教育用戶��,不如從源頭保證安全
趨勢科技安全研究副總裁Rik Ferguson對搜狐科技表示��,Android系統(tǒng)的開放性及碎片化�,使得這個系統(tǒng)存在大量的漏洞,也讓惡意代碼有了生存空間����。但Google一直不愿承認(rèn)惡意代碼的問題�����。Android平臺的用戶也有很多人無法意識到這個問題的存在�����,無法或者也沒有能力去花更多時間和精力保護(hù)他們設(shè)備的安全����。
Rik Ferguson表示,從用戶方面來講,因為大部分用戶本身不懂技術(shù)����,而且他們對于安全甚至對于手機(jī)本身也不是怎么感興趣,所以要想從用戶方去解決安全問題��,不見得是一個好的方案�。Ferguson認(rèn)為,安全廠商與制造商�����、運(yùn)營商�����、互聯(lián)網(wǎng)服務(wù)商�、應(yīng)用開發(fā)企業(yè)等渠道加強(qiáng)合作,確保各平臺及管道是安全的�����,從源頭去保護(hù)用戶的信息安全����,會更加現(xiàn)實����。
此前CSDN�����、天涯等網(wǎng)站的數(shù)據(jù)庫被黑�,QQ群數(shù)據(jù)被黑客公開,多家商旅網(wǎng)站數(shù)據(jù)庫被黑客拖庫等事件���,以及這次網(wǎng)易郵箱漏洞事件���,也從側(cè)面說明,在保護(hù)用戶個人信息安全方面�,安全機(jī)構(gòu)、企業(yè)等平臺的責(zé)任更大�����。
個人如何保護(hù)信息安全�����?
更安全的安全機(jī)制是保護(hù)個人信息安全的有效機(jī)制����,但這也不是說個人用戶就可以高枕無憂了。
IDC最新的數(shù)據(jù)統(tǒng)計報告顯示��,蘋果手機(jī)全球占比在2015年第二季度出貨量呈季節(jié)性下降的趨勢�,占比為13.9%,出貨量為4750萬部��;Android系統(tǒng)手機(jī)占比為82.8%��,出貨量約為2.828億部����。
CNNIC最新報告顯示,截至2015年6月����,我國手機(jī)網(wǎng)民規(guī)模達(dá)5.94億,較2014年12月增加3679萬人����。盡管手機(jī)、PAD等終端增長放緩���,但移動互聯(lián)網(wǎng)用戶數(shù)量仍保持較高的增長速度����。
龐大的用戶基數(shù),也使得黑色產(chǎn)業(yè)鏈更關(guān)注個人信息的收集與利用�。瑞星安全專家唐威表示,個人信息安全的保護(hù)一直被大眾所忽略����。很多用戶認(rèn)為,自己的電腦或手機(jī)上安裝了安全軟件就萬事大吉了�,其實,有了安全軟件的保護(hù)�,還遠(yuǎn)遠(yuǎn)不夠。
在IDG主辦的第四屆Android全球開發(fā)者大會上�,一位做APP推廣的從業(yè)人員對搜狐科技披露,國內(nèi)很多Android應(yīng)用都試圖獲取更多的用戶信息��。由于國內(nèi)大多數(shù)品牌Android手機(jī)出廠時都內(nèi)置了安全軟件���,惡意應(yīng)用一般會被安全軟件自動攔截�����。不過,為了能繞過安全軟件�����,不少做推送的廠商都跟國內(nèi)外安全廠商接洽,以避免其應(yīng)用被安全軟件自動攔截���。如果這類軟件沒有特別過分的行為��,一般安全廠商往往會設(shè)置相應(yīng)的規(guī)則��,允許這類軟件默認(rèn)獲取用戶的設(shè)備信息等后臺行為����。據(jù)搜狐科技了解�����,這樣的做法在十年前的PC互聯(lián)網(wǎng)時代曾經(jīng)很普遍��,當(dāng)時國內(nèi)外不少安全軟件廠商的產(chǎn)品�����,曾對占據(jù)用戶桌面�����、瀏覽器及任務(wù)欄中的流氓軟件不聞不問。
唐威表示��,對于個人消費(fèi)者而言��,使用安全性更高的密碼并定期更新��;謹(jǐn)慎使用社交應(yīng)用�����,不點(diǎn)擊朋友圈里的不明網(wǎng)絡(luò)鏈接��;從官方網(wǎng)站下載APP應(yīng)用���;不隨意連接公共場所的無線網(wǎng)絡(luò)等措施�����,可以在一定程度上保證自己的信息安全�����。不過�,這些措施也不是萬能的,企業(yè)及用戶從根源上樹立必要的安全意識才是最重要的�。
.jpeg)
