2013年上半年中國信息安全綜合報告
2013-07-11 14:17:50四、移動互聯網信息安全
(一)、免費Wi-Fi應用暗藏巨大風險
在今年上半年,瑞星互聯網攻防實驗室在移動互聯網領域重點關注了“暢無線”、“Wi-Fi免費通”、“WiFi萬能鑰匙”和“WIFI伴侶”等多款免費Wi-Fi應用。該類應用的主要功能是幫助網友連接中國聯通、中國移動及各類商家為顧客提供的Wi-Fi熱點,以達到免費“蹭網”的目的。
圖12:免費Wi-Fi應用暗藏巨大風險
瑞星安全專家分析,該類應用并非如傳聞般擁有破解密碼的功能,而是通過程序大量內置的手機賬號及免費Wi-Fi賬號來連接戶外及商家的Wi-Fi熱點。這種應用存在兩個安全隱患:
第一,Wi-Fi應用只能提供免費的Wi-Fi熱點接入服務,并不能保證這些Wi-Fi都是安全的網絡。一旦有黑客熟知某一區域Wi-Fi熱點賬號,就有可能仿冒正規商家制造假冒賬號,并進入Wi-Fi應用提供的免費熱點列表,進而獲取用戶手機上所有信息。這些信息包括:手機短信、電子郵件、照片、通訊錄、網銀賬密及其他電子賬號和電子文檔等。
第二,免費Wi-Fi應用理論上是不向用戶收取費用的。雖然少數該類應用會向用戶收取虛擬貨幣,但大部分都依靠向用戶推送廣告及其他APP應用實現盈利。值得注意的是,目前移動互聯網市場上的應用程序——尤其是基于Android系統的應用程序,缺乏嚴格的安全審核制度,許多免費應用內置的廣告、APP推薦,都存在很大風險。同樣,Wi-Fi應用也不能保證所推送的廣告或APP都是安全可靠的,釣魚信息、惡意APP都有可能借該類應用之便大肆傳播。用戶一旦輕信,輕則隱私信息泄露、遭遇惡意詐騙,重則網銀賬密不保、銀行卡內錢款被洗劫一空。
(二)、移動互聯網危及公民隱私
1. APP應用設置不當嚴重威脅人身安全
據媒體報道,今年5月,沈陽一女孩因在微信中上傳自己的照片,被不法分子盯梢,下班后出地鐵站時被尾隨,兇手將其掐死后拋尸。“在這個案例中,不法分子并不認識被害者,卻能通過微信看到被害者的照片,并確定被害者本人就在附近,原因是被害者在微信中開放了定位功能,并允許陌生人翻看自己的相冊”,瑞星安全專家表示,“現在智能手機上的很多APP應用程序都有定位、分享功能,有些是因為應用程序的功能需要,有些則屬私自讀取用戶的地理位置。事實上,該類功能給用戶的人身安全帶來了不小的隱患,然而很多時候,用戶并不知道自己開啟了這些功能,就如上述案件中,被害者可能根本不知道自己的照片可以被陌生人查看。”
圖13:APP設置不當嚴重威脅人身安全
其實大多數APP應用在安裝、使用時都會提示用戶,軟件要讀取用戶當前的位置。然而很多用戶不能理解或不重視這些提示信息的意思,在提示框出現的時候盲目點擊“允許”或“確定”,以便更快打開APP應用,生怕點擊了“不允許”、“取消”之后會影響APP的使用。瑞星安全專家建議,用戶不要輕易允許APP應用讀取、上傳、分享自己當前的地理位置,如果特殊情況下需要使用該類功能,可以從手機的系統設置中找到開關,隨用隨開,用完立即關閉。
2. 移動社交分享成網絡“跟蹤”數據源
近幾年,社交平臺逐漸轉向移動互聯網。目前,以微博、微信為代表的社交類應用程序,已成為智能手機中最常見的應用,網民可以利用該類應用在互聯網上分享各類文字、圖片及視頻信息。然而此前已有多家媒體曾在報道中指出,社交應用經常會泄露用戶的隱私信息。瑞星安全專家表示,社交類應用中有一些常見的功能,都可能成為隱私信息泄露的源頭,例如定位功能通常情況下用戶使用定位功能是為了分享自己的位置,以便向好友推薦自己喜歡的餐館、娛樂場所或者旅游目的地等。然而,用戶的關注者卻并不一定持有善意,在這種情況下,分享功能就有可能成為少數不法分子監視用戶的工具。
圖14:移動社交分享成網絡“跟蹤”數據源
瑞星安全專家指出,有心人可以通過類似微博這類社交平臺,全面跟蹤用戶信息,包括用戶的社交關系如何、有哪些喜好特長、近期關注哪些話題、有什么樣的購物傾向、去了哪些地方。這些細節看似普通,但是很有可能使用戶成為垃圾廣告、釣魚網站和網絡詐騙者關注的目標,給用戶的網絡生活帶來巨大的風險。同時,個別黑客及不法分子也會對有一定社會地位的用戶進行定向“跟蹤”,通過獲取對方的工作生活習慣、經常出入的場所及其他隱私信息,破解與對方有關的系統賬號密碼,甚至獲取重要保險柜、機密文件的存儲地點。
(三)、無線路由器成網絡安全新盲區 漏洞導致終身監視
當今智能終端的普及極為迅速,筆記本電腦、智能手機、平板電腦、相機、智能電視等產品都需要無線網絡,導致無線路由器迅速在家庭中普及。然而今年上半年,多款無線路由器被曝存在重大安全漏洞,其中包括TP-Link、D-Link等國內外知名品牌。瑞星安全專家指出,這些漏洞使得許多家庭乃至公司網絡都隨時處于被他人監控的風險當中。黑客可以利用無線路由器的漏洞對整個網絡中的電子設備進行全面監控,包括所有電子設備中內置的麥克和攝像頭,硬盤中存儲的文件以及用戶對電子設備進行的所有操作。
圖15:無線路由器成網絡安全新盲區
瑞星安全專家表示,由于絕大部分用戶只會在安裝路由器時進行初步的簡單設置,并不會定期檢查路由器并刷新固件程序,所以路由器一旦被黑客入侵,用戶將被終身監視。
