病毒植入、竊聽電話、盜取信息、騷擾廣告……如今,與人們朝夕相處的手機已被瞄準,成為牟利者的“天堂”,同時也成為了信息安全保衛戰的新“戰場”。移動設備私密性極高,一旦發生安全問題可能侵害百姓的生命財產安全,嚴重的可能會威脅到社會乃至國家的安全。然而,目前相關監管措施嚴重滯后,移動安全領域存在法律盲區,導致問題難以得到根本解決。
手機雖小,安全事大。要解決這一存在多年的頑疾,需要社會各界的不懈努力。
“偷窺”關鍵人物動向威脅國家安全
近期,中國互聯網新聞研究中心發布了一份報告——《美國全球監聽行動紀錄》。報告顯示,經過幾個月的查證,中國發現美國國家安全局前雇員愛德華·斯諾登披露的美國“棱鏡”秘密項目有針對中國的竊密行為,內容基本屬實。
這是棱鏡門事件發生一年多后,中國首次對涉及自身的監聽竊密問題進行官方表態。報告稱,美國的監聽行動涉及到中國政府和領導人、中資企業、科研機構、網民、手機用戶等。信息安全話題由此再次觸動人們的神經。
對個體而言的隱私信息,帶來的可能是經濟損失。但如果隱私信息達到一定數量級的規模,往往會上升成社會公共安全層面或者國家安全層面的公共事件。業內人士表示,移動互聯網時代,用戶信息等大數據事關國民經濟運行和社會穩定,必須引起重視。
“隨著芯片、網絡、軟件和移動通信技術的發展,手機已經不單是通話的工具,手機和計算機之間的差別越來越模糊;我國已有數億人擁有手機,短信等信息交流被大多數人接受,手機傳播已成為繼報紙、廣播、電視、網絡之后的‘第五媒體’;手機的商業應用同時導致手機泄密事件增多,嚴重影響到了人們的正常生活;隨著手機服務器的出現,國家安全受到新的威脅。”國務院發展研究中心國際技術經濟研究所研究員陳寶國認為,手機的信息管理和傳播功能強大,影響面廣,同時具備隱蔽性強、靈活機動等特點,對我國的信息安全、經濟安全和政治安全影響極大。
陳寶國舉例介紹,手機定位和竊聽可以遠程監控關鍵人物的動向和位置,了解機密談話信息,直接威脅國家領導人等關鍵人物人身安全。另外,通過手機定位,可以掌握一批相關領域人員整體動向,進而可以判斷出國家重大技術或政策進展情況,掌握最新經濟和政治動向。
正是基于此,今年4月15日,中央國家安全委員會第一次會議召開,中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平首次提出要堅持“總體國家安全觀”,并要求構建包括信息安全在內的11個領域安全于一體的國家安全體系。
“紅、橙、藍、綠”——國家信息化專家咨詢委員會委員、國家信息中心專家委員會主任寧家駿將信息安全由低到高劃分為這四個等級。他評價中國近些年信息安全形勢,“確實比較嚴峻復雜,但整體仍屬可控狀態,可以說總體安全形勢是藍色,局部是橙色”。
寧家駿介紹,自2003年以來,在國家信息化領導小組的統一部署和指導下,中國一直加強網絡信息安全保障體系建設,已經初步建立一套比較成功的防護體系,基本防御了黑客攻擊和信息監聽竊取,還制定了包括預警感知、防御、清除、反制等措施,有力打擊了網絡犯罪,成效顯著。
“如今國家成立中央網絡安全和信息化領導小組,已將信息安全保障體系放在了前所未有的高度來建設。發揮舉國體制優勢能更好地發展信息安全產業。”寧家駿說。
中國科學院信息工程研究所研究員、信息安全國家重點實驗室常務副主任林東岱在接受記者采訪時說,要實現信息安全,關鍵詞在“自主可控”四個字。“設備都是人家生產的,而且咱們掌控不了,這是保障國家信息安全的核心問題,是我們要努力克服的問題”。
林東岱也向記者坦言,在全球化趨勢下,不可能所有設備都由自己生產,但至少應做到“可控”,即對一個產品的安全狀態有清晰的認識和有效的安全檢測、安全評估,保障它不會出問題。
而在技術和設備的進步之上,林東岱認為,更應該提高的是國民的意識和國家的法律法規保障。他建議,在保障信息安全方面要有統籌的考慮,既包括國民意識提高,也包括法律法規完善和技術進步,還包括互相之間的匹配、協調。
“從政府相關部門到各行業主管機構,已經從全局的角度,開始對網絡安全保障問題,進行各方面、各層次、各要素統籌規劃,逐步完善網絡信息安全制度,力圖在頂層建設一個良好的信息安全屏障。”中國科學院計算所研究員、中國工程院院士倪光南表示。
[page]
手機泄密防不勝防?
智能手機的普及,將APP(手機應用程序)推進歡宴時代,一個個圓角矩形的小圖標,在手機和相關設備的桌面上擠作一團。
可是,當你樂此不疲地享受APP帶來的愉悅體驗時,殊不知,你的手機正在“裸奔”——不僅被那些“手腳不干凈”的APP裝上了一雙窺私的眼睛,還被暗地里鑿穿了連接后門的秘密通道。
于是,你去了哪,給誰打了電話,發了什么短信,訪問了什么網站,網購了什么商品等信息,當然,還有你的手機號、通訊錄名單、通話記錄、地理位置、郵箱賬號等隱私,都被公開在一個你不知曉的隱秘地方。
“法律界定的滯后和相關手機系統的監管不到位,讓APP行業至今無從監管。在掘金移動互聯網的喧囂和躁動中,竊取用戶隱私的行為顯得肆無忌憚。APP開發行業根本就沒有道德底線,對于手機用戶隱私信息的保護,完全憑開發者的良心。”在北京開有一家APP開發公司的耿洋(化名)淡淡地對記者說道。
隱私憂慮不是“杞人憂天”
近20年的程序開發經驗使耿洋成為了這個圈內的資深人士,而他自身也經常遭遇隱私泄露的尷尬。一天,一位朋友突然向他發出生日快樂的祝福,耿洋很詫異,因為他沒有告訴過這個人自己的生日。原來是一家公司設計了一款手機社交APP,甲與乙認識,乙與丙認識,那么甲通過乙就能獲得丙的一些個人資料。對于這個產品,耿洋非常惱火,因為這是未經許可泄露他人隱私。
“你經常去哪家餐廳?最喜歡什么電影院?回家的路線是什么?這些私密的信息很有可能通過LBS(Location Based Services,基于位置的服務)被記錄在智能手機中。”在北京郵電大學學習計算機專業的路晨向記者抱怨說,“打開智能手機,在應用程序中查看附近有什么好吃、好玩的,已經成為當下‘新新人類’們青睞的生活方式。但是,在運行這些應用的時候,它們幾乎都會搜集你的位置信息,這些信息是否能得到安全保存、使用非常重要,因為這種泄露將可能導致不可預料的事件發生。我現在已經不敢在手機上查信息了,各種推銷的推送太多了。更讓人擔憂的是,個人用戶地理位置等個人隱私一旦被竊取、利用,將可能導致廣告信息騷擾,甚至發生跟蹤、搶劫等人身傷害事件。”
“況且這已經不是‘杞人憂天’,前不久就有報道說,一個女孩子因為在微信中分享個人位置,結果被不法分子跟蹤、搶劫。”在路晨看來,比起個人電腦,手機上個人信息泄露的情況更為嚴重。“手機是跟著人跑的,你與誰通話、發短信,短信的內容,你所在的地理位置,你的人際網絡等等,可以說全都在手機上”。
趨勢科技(中國區)業務發展總監童寧表示:“現在越來越多的設備、應用要求獲得用戶的位置信息,并給用戶提供基于位置的定制化服務,這是智能化時代的產物,但也給隱私保護帶來了嚴峻挑戰。雖然很多設備和應用都會在用戶使用協議中,詢問用戶是否同意提供地理位置信息,但很多用戶并不會注意到這些條款,即使注意了,也難以阻止這些設備或應用的行為。”
“值得注意的是,目前炒得沸沸揚揚的手機預裝軟件問題也嚴重威脅著手機用戶的隱私安全。部分預裝軟件私自使用手機用戶數據就是在侵犯用戶的隱私權。”曾對手機預裝軟件進行過專門研究的北京律師趙虎分析,“很多手機預裝軟件隱蔽運行于手機軟件系統后臺,可以調用用戶的位置信息、使用習慣,甚至搜集并上傳用戶的聯系人資料,在很大程度上對用戶隱私造成影響。”
針對手機的隱私泄露問題尤其是涉及的竊聽情況,南昌大學計算機研究所的研究人員還做過專門調研。“有的竊聽不需要在手機里安裝竊聽器,也不需要像網絡說的那樣對手機SIM卡做處理。而只要安裝一個軟件,這個竊聽軟件可能是你無意中安裝的,也可能是有人在接觸你的手機后安裝的。”南昌大學計算機研究所副研究員黎鷹介紹道,“這種竊聽軟件其實是木馬,它可能‘寄生’在你下載的某個APP軟件中,也有可能是你瀏覽網頁時一不小心下載的,或者他人給你發彩信你無意點開導致木馬植入到你的手機。現在有的殺毒軟件查不到這種木馬,很多木馬隱藏了起來,一般人很難查到,除非是專業人士。”
竊取類軟件呈三大態勢
近日,百度安全實驗室正式發布了《2014年第二季度移動安全報告》。報告顯示,在本季度增長的惡意軟件中,隱私竊取類惡意軟件迎來大規模爆發。據百度安全實驗室的統計數據顯示,和上一季度相比,隱私竊取類惡意軟件的比例上漲非常迅速,達到了17.9%,上漲幅度達到了57%。
耿洋分析認為,手機軟件收集個人信息的主要途徑有三種:第一種是在安裝時有授權確認,在使用中涉及用戶信息時,再次出現授權確認讓用戶明確知曉;第二種是在用戶下載安裝軟件時,給出一個提示讓用戶確認;第三種是沒有經過用戶任何確認,直接收集信息。
“此前,不法分子利用惡意軟件主要竊取用戶的短信和聯系人信息。但隨著移動支付的迅速普及,用戶可以用手機完成購物,充值,甚至交水電費等一系列支付活動,支付類、網銀類、網購類應用自然而然地成為了惡意軟件開發者的‘香餑餑’。”經百度安全實驗室的專家分析,這些隱私竊取類軟件呈現三種態勢。
“首先,手機隱私竊取類軟件大量以山寨應用方式呈現。”百度安全實驗室的技術人員介紹說,據他們的監測數據顯示,網銀、支付、購物應用和社交應用的山寨情況持續泛濫,目前各種網銀應用的山寨版本已經超過了500款。由于這類應用往往都需要用戶輸入賬號密碼,一旦用戶使用山寨應用,就很有可能被盜取賬號密碼等隱私信息,目前山寨應用已成為對用戶隱私的最大威脅之一。
“與此同時,技術手段則更加深入。”上述技術人員說,百度安全實驗室近期發現的一款“聊天剽竊手”病毒,將惡意代碼注入QQ、微信程序進程,惡意代碼能夠實時監控手機QQ、微信的聊天內容及聯系人信息,威脅性極高。
“此外,目前還有一種趨勢便是多種惡意手段的結合運用。”百度安全實驗室的技術人員說,總體看來,本季度竊私類軟件發展迅速,技術也更加深入,用戶的個人信息面臨了巨大的風險。
為什么這么多的應用會卷入盜取用戶信息的惡行?又是誰在暗中操作?
“這背后存在一條隱蔽的利益鏈條。目前收集用戶隱私信息的主要黑手為移動廣告公司。眾多的中小應用開發商沒有動機去盜取用戶信息。為了賺取應用內置的廣告費用,開發商會與移動廣告平臺簽署協議,在應用中內置廣告代碼,真正作惡的正是這些代碼,有廣告商利用應用安裝時獲得的權限,大量讀取用戶信息,并上傳至自己的服務器。”耿洋透露說,這些廣告公司將用戶的聯系人、短信、通話記錄進行綜合分析,作出判斷,從而進行精準的廣告投遞,并以此牟利。目前日益泛濫的垃圾短信也與此相關。
對此,公安部第一研究所科學技術信息中心副研究員楊衛軍說,數據來源于網民或企業用戶的現實工作與生活,存儲在網際空間,數據信息是否為公民或企業的私有資產,權屬不太明確。目前,在數據保護、交易、責任等方面的法律法規落后于實踐需要。
“數據所有權、使用權界定尚不明確,亟待規范。”中國傳媒大學政治與法律學院法律系副主任鄭寧認為,信息安全風險存在于數據的全生命周期之中,從技術研發、產品制造、用戶使用、服務管理等各環節均要明確安全責任,對所涉及到的政府、企業、數據產生者及個人等,也必須明確各自的安全責任。在手機技術日益發展的情況下,保護個人網絡隱私就是一個系統的工程,需要法制手段、技術能力、保護意識、有效溝通、管理監控、風險規避及防范等多方面的聯合長期行動。
“雖然國家在目前已經實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》中,明確了處理個人信息要遵循用戶知情自愿的原則,但專門的個人信息保護法仍然缺失。如何讓我們的隱私在手機基數高速發展的今天‘有路可逃’,這個問題亟待有關部門進一步解決。”鄭寧說,目前大多數手機應用軟件都有能力去肆意搜集個人信息,限制這些軟件搜集信息就要靠立法。國家應出臺相關政策,要求各大應用平臺履行市場監督職責,加大對個人隱私保護的審查力度。
此外,中國信息經濟學會理事長楊培芳呼吁,應制定具體的法律法規,現有的行業監管規定應該進一步細化,比如對惡性軟件給出標準定義。
[page]
手機“卷錢”易如反掌?
手機吸費一直是手機用戶關注的話題。與此同時,手機銀行和相關支付平臺的漏洞,也日益成為影響手機財產安全問題的另一大“禍源”。
根據360互聯網安全中心發布的手機安全報告《2013年中國手機安全狀況報告》顯示,2013年360互聯網安全中心共監測到安卓手機用戶感染手機木馬9747萬人次,較2012年增長了88.3%,平均每天26.7萬人次感染。而這些木馬中,會“吸費”的達到67%。
吸費木馬隱蔽作案難察覺
“360手機安全中心在進行正常軟件檢測時發現,一款名為‘手電筒’的軟件有點可疑。”360手機安全中心的技術人員向記者透露說,“這款‘手電筒’APP與官方正版APP并非同一個安裝包,這個軟件被不良開發者二次打包,申請了過多的敏感權限。在用戶享受便捷體驗的同時,木馬吸費程序已悄然開啟。”
“手電筒”吸費并非個例,APP被篡改后植入吸費木馬的類似情況并不少見。據《2013年中國手機安全狀況報告》統計,有21%的惡意程序為惡意扣費類。
據了解,惡意扣費類程序的木馬作者主要目的就是為了牟取暴利,通過遠程控制手機木馬在后臺私自發送扣費短信,獲取利益。
“有一類應用程序,向手機通訊錄的聯系人群發短信的同時,也會造成手機用戶的話費損失。”360手機安全中心的技術人員介紹說,目前吸費木馬軟件的作者會采用兩種隱蔽的方法防止用戶發現自己被吸費,第一是屏蔽扣費的回復短信;第二是監測手機的安全環境,如果用戶手機中安裝有安全類軟件,吸費木馬軟件就會暫時潛伏在手機中,不會觸發惡意行為。
銀行類手機APP整體安全堪憂
近年來,手機支付大潮興起。2014年2月17日,央行發布《2013年支付體系運行總體情況》顯示,2013年手機支付業務保持高位增長,手機支付業務16.74億筆,金額達到9.64萬億元,同比分別增長212.86%和317.56%。移動終端軟件以“用戶利益”為突破點,使手機支付業務遍及我們的個人生活脈絡。
與此同時,手機銀行也帶來了很大的安全隱患。據近期發布的《2014年第二期中國移動支付安全報告》顯示,在對16款銀行客戶端的登錄機制安全性進行測評的過程中,賬號密碼+短信驗證登錄的方式依舊存在安全隱患。
“前幾天,我收到升級手機銀行客戶端的短信提醒,就登錄到短信上顯示的網址下載并安裝新的客戶端,隨后我在登錄界面輸入了賬號信息,點擊界面中的‘提交’按鈕后,卻被提示‘系統正在升級驗證中,請稍后’。”在經過幾次嘗試登錄失敗之后,北京市民陳女士收到了銀行卡已被支取50000元的短信通知。
“陳女士收到的短信中的網址鏈接所下載的軟件遭到木馬篡改,黑客通過木馬已經完全獲取了陳女士的網銀賬號、網銀密碼和短信驗證碼。黑客使用這三組數字,就能在另外一部手機上登錄用戶賬戶并進行消費。銀行發送到陳女士原來的手機號碼的各種短信,已經被木馬攔截并轉發到了黑客控制的號碼上。黑客可以輕松使用盜來的陳女士賬戶進行各種網上支付,從而盜刷陳女士的銀行資金。”在北京市從事APP開發的鄭冰向記者這樣解釋說。
《手機銀行客戶端安全性測評報告》稱,很多支付安全性問題難以靠手機銀行客戶端軟件單獨解決,銀行類手機APP整體安全狀況堪憂。
監管真空地帶亟待統一治理
“在利益的驅動下,手機病毒目前已經形成了一個由生產、制作到銷售的產業鏈。”北京師范大學法學院教授、亞太網絡法律研究中心主任劉德良說。
一位手機預裝行業的業內人士透露說,手機廠家以及各級代理商、銷售商與軟件商之間的利益傳遞,除了有預裝軟件激活收費的模式之外,還存在一種利益分成的模式。軟件商在獲利之后,一般要進行三七比例的分成,其中7成利潤要付給起到廣告作用的軟件預裝方。業內人士強調,使用這種計費模式的一般是電商類的公司,而他們也因此獲利頗豐。
早在2013年4月,工信部就發布了《關于加強移動智能終端管理的通知》,要求手機生產商不得預裝五大類惡意軟件。然而,記者注意到,針對這方面,目前還缺乏監管措施。
“特別是手機從出廠到消費者的這一時間段處在監管真空地帶,為惡意軟件預裝手機提供了可乘之機。”中國移動互聯網產業聯盟秘書長李易此前在接受記者采訪時說。
同時,令人遺憾的是,雖然目前不論是手機銀行還是其他APP各類應用程序正成為人們與互聯網連接的通道,然而,這個通道卻沒有一個“守門人”。
“APP從開發到上線,幾乎找不到監管部門。程序開發商和商店運營商一般不會向任何部門送檢,而且他們也找不這樣的部門,所以,APP的安全性就取決于業界良心了。”鄭冰向記者坦言。
中國傳媒大學政治與法律學院法律系副主任鄭寧向記者介紹說,針對上述種種問題,相關政府部門已經出臺了一些標準。他認為,治理手機病毒需要用戶、安全廠商、運營商、手機廠商、應用商店等整個產業鏈的共同努力。首先從產業鏈的上游對病毒進行扼殺;其次,用戶要養成良好的使用習慣,選擇具有安全認證的下載渠道,同時安裝專業安全防護軟件。
京公網安備 11010502049343號