小丁呀,明天上午10點(diǎn)到我辦公室來一下!
我的卡壞了,款請(qǐng)打到,2222 2222 2222 2222 222張三。
以往,這樣的電話或短信,全部都是陌生號(hào)碼。稍一點(diǎn)防范意識(shí)的人,很容易就能識(shí)破這類騙局。但現(xiàn)在則不一樣了,你再接到這樣的電話或短信,聯(lián)系人可能真的就是你的上司或熟人的名字,讓人防不勝防。
這都是因?yàn)樽罱诳桶l(fā)現(xiàn)了一個(gè)名為WormHole蟲洞的安全漏洞。利用這個(gè)漏洞,在手機(jī)聯(lián)網(wǎng)的情況下,攻擊者可以遠(yuǎn)程給受感染的Android手機(jī)安裝APP應(yīng)用、遠(yuǎn)程啟動(dòng)任意應(yīng)用、獲取用戶GPS地理位置、手機(jī)IMEI信息,甚至可以隨意更改通信錄聯(lián)系人信息。
據(jù)稱,Android平臺(tái)的百度全家桶APP基本悉數(shù)帶有此WormHole漏洞。由于百度系列APP用戶數(shù)量非常大,受這一漏洞影響的手機(jī)可能達(dá)上億部。根據(jù)烏云漏洞平臺(tái)的顯示,這一漏洞已經(jīng)得到百度官方確認(rèn)。同時(shí),來自烏云網(wǎng)的信息顯示,華為手機(jī)也因?yàn)檫@一漏洞受到影響。據(jù)搜狐科技了解,因百度輸入法、百度地圖等APP也在很多手機(jī)中進(jìn)行預(yù)裝,預(yù)計(jì)受到影響的手機(jī)品牌還有更多。
為何最近安全事件頻發(fā)?
最近跟個(gè)人信息安全的事情挺多的。
近一個(gè)月來,從蘋果Xcode、游戲引擎Unity和Cocos-2d等工具被植入后門供開發(fā)者下載用來開發(fā)應(yīng)用程序,到有米SDK涉嫌使用私有API收集用戶設(shè)備信息,近300款應(yīng)用被蘋果商店下架;從幽靈推病毒ROOT用戶手機(jī)繞過安全軟件推廣APP,到網(wǎng)易郵箱被曝有漏洞可能有數(shù)億賬號(hào)信息被泄露......
不過,瑞星安全專家唐威并不認(rèn)為近期出現(xiàn)的安全事件比原來的威脅性更大。唐威對(duì)搜狐科技表示,從信息安全監(jiān)測情況來看,近幾年來移動(dòng)安全威脅確實(shí)呈爆發(fā)增長的趨勢。僅僅2015年上半年,就新增病毒樣本近2000萬個(gè),超過2億人次用戶被感染。不過,由于Android系統(tǒng)經(jīng)常鬧病毒,大多數(shù)人已經(jīng)習(xí)以為常。最近蘋果系統(tǒng)連續(xù)被曝光了幾次安全威脅,引起很多人的關(guān)注,主要是因?yàn)槠胀ㄈ艘话阏J(rèn)為蘋果系統(tǒng)是沒有病毒或安全漏洞的,加上蘋果在很多人心目中已經(jīng)被“神化”,因此一旦蘋果系統(tǒng)出現(xiàn)一些問題,往往就引起媒體及公眾更多的關(guān)注目光。
安全漏洞影響被過分夸大
一位不愿具名的安全人士則對(duì)搜狐科技表示,不少漏洞,包括百度APP中存在的WormHole漏洞,其實(shí)是被安全廠商和媒體過分夸大了。安全公司發(fā)現(xiàn)漏洞后,給大眾說明風(fēng)險(xiǎn),并告訴相關(guān)企業(yè)及用戶怎么解決就行了,但現(xiàn)在不少安全公司對(duì)涉及知名企業(yè)的安全漏洞不斷做夸大,搞得人心惶惶。
這位人士表示,安全廠商出于各種目的考慮,一般會(huì)針對(duì)某一漏洞的特性,窮舉各種可能存在的安全威脅。前段時(shí)間蘋果XCode工具被人注入惡意代碼后,騰訊安全應(yīng)急響應(yīng)中心認(rèn)為受影響的用戶數(shù)量超過一億人。但從事后的實(shí)際影響來看,并沒有多少用戶反映自己的個(gè)人信息安全受到威脅。
網(wǎng)易郵箱被曝出漏洞后,漏洞報(bào)告人當(dāng)時(shí)認(rèn)為有數(shù)億網(wǎng)易郵箱用戶的個(gè)人信息受到影響,但從國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的通報(bào)來看,根據(jù)漏洞報(bào)告人披露的泄露數(shù)據(jù),國家互聯(lián)網(wǎng)應(yīng)急中心認(rèn)為還無法支持“網(wǎng)易郵箱過億數(shù)據(jù)泄露”這一判斷。
這位安全企業(yè)人士對(duì)搜狐科技透露,根據(jù)他們對(duì)百度WormHole漏洞的分析來看,這一漏洞的利用價(jià)值并沒有想像的那么大。
APP開發(fā)流程不規(guī)范致用戶遭殃
事實(shí)證明,并沒有完全安全的系統(tǒng)或應(yīng)用程序,黑客是否會(huì)破解一個(gè)系統(tǒng)或應(yīng)用,完全要看破解之后是否能給黑客帶來價(jià)值。
眾所周知,業(yè)界普遍有種說法是MAC系統(tǒng)、Linux系統(tǒng)非常安全。但從黑客角度來看,當(dāng)?shù)匾粋€(gè)系統(tǒng)用戶量很少時(shí),即使破解了,也給其帶來不了多少價(jià)值。CIH病毒作者陳盈豪對(duì)搜狐科技表示,對(duì)黑客而言,破解Windows、Android、iOS等用戶基數(shù)大的系統(tǒng)或應(yīng)用,甚至利用漏洞盜取企業(yè)或個(gè)人用戶的信息,能讓黑客有更大成就感,他們也能從這些行為中獲得更大價(jià)值。
一位安全行業(yè)人士對(duì)搜狐科技表示,現(xiàn)在很多應(yīng)用開發(fā)公司對(duì)安全重視程度并不高。這主要表現(xiàn)在兩個(gè)方面,一是在流程管理方面,二是在應(yīng)用開發(fā)方面。
以蘋果XcodeGhost事件為例,事件發(fā)生后,安全廠商及受波及的應(yīng)用開發(fā)公司,幾乎都避重就輕,只注重技術(shù)層面的分析,而沒有從根源上認(rèn)識(shí)到程序開發(fā)過程中因流程不規(guī)范而導(dǎo)致的這些問題。如果應(yīng)用開發(fā)團(tuán)隊(duì)都是用官方的套件做開發(fā)并在之后的審核等流程中做有效的控制,根本不會(huì)出現(xiàn)這樣的問題。
這件事情暴露了很多知名互聯(lián)網(wǎng)公司內(nèi)部IT安全管理、代碼復(fù)審等環(huán)節(jié)存在嚴(yán)重不規(guī)范的問題。因?yàn)檫@些企業(yè)的原因,導(dǎo)致用戶設(shè)備信息甚至個(gè)人信息泄露,需要引起業(yè)界足夠的重視。
金融P2P應(yīng)用安全堪憂
隨著互聯(lián)網(wǎng)金融的發(fā)展,企業(yè)不重視安全的問題,在移動(dòng)支付、理財(cái)類應(yīng)用上也日益突出。
據(jù)搜狐科技了解,目前除了銀行類APP應(yīng)用及第一梯隊(duì)互聯(lián)網(wǎng)公司的金融類應(yīng)用安全性更有保障外,其它中小企業(yè)的金融P2P、理財(cái)類等應(yīng)用或多或少都存在安全隱患。
一家安全企業(yè)日前給搜狐科技完整演示了四五家P2P及理財(cái)應(yīng)用中還沒有正式對(duì)外披露的漏洞。
從這家安全企業(yè)演示的過程來看,一家位于廣州的互聯(lián)網(wǎng)金融公司,其一款基金類應(yīng)用甚至明?發(fā)送用戶的賬號(hào)和密碼。用戶的姓名、?份證、預(yù)留?機(jī)號(hào)碼、銀?卡號(hào)也同樣使用明?傳輸,存在極大安全風(fēng)險(xiǎn)。
這家金融公司旗下另一款理財(cái)類應(yīng)用,雖然數(shù)據(jù)傳輸進(jìn)行了加密,但全程使用http協(xié)議,而沒有采用業(yè)界普遍使用的https協(xié)議,數(shù)據(jù)存在傳輸過程中被劫持并篡改的風(fēng)險(xiǎn)。
另一家位于深圳的金融理財(cái)公司,其APP在驗(yàn)證用戶?份時(shí),姓名及?份證號(hào)也同樣使用明?傳輸。更奇葩的是,在驗(yàn)證用戶身份時(shí),這款A(yù)PP對(duì)姓名并沒有做校驗(yàn),只要身份證號(hào)曾經(jīng)在這個(gè)APP上注冊(cè)過,輸入任意姓名+真實(shí)身份證號(hào)就能驗(yàn)證通過。
與其教育用戶,不如從源頭保證安全
趨勢科技安全研究副總裁Rik Ferguson對(duì)搜狐科技表示,Android系統(tǒng)的開放性及碎片化,使得這個(gè)系統(tǒng)存在大量的漏洞,也讓惡意代碼有了生存空間。但Google一直不愿承認(rèn)惡意代碼的問題。Android平臺(tái)的用戶也有很多人無法意識(shí)到這個(gè)問題的存在,無法或者也沒有能力去花更多時(shí)間和精力保護(hù)他們?cè)O(shè)備的安全。
Rik Ferguson表示,從用戶方面來講,因?yàn)榇蟛糠钟脩舯旧聿欢夹g(shù),而且他們對(duì)于安全甚至對(duì)于手機(jī)本身也不是怎么感興趣,所以要想從用戶方去解決安全問題,不見得是一個(gè)好的方案。Ferguson認(rèn)為,安全廠商與制造商、運(yùn)營商、互聯(lián)網(wǎng)服務(wù)商、應(yīng)用開發(fā)企業(yè)等渠道加強(qiáng)合作,確保各平臺(tái)及管道是安全的,從源頭去保護(hù)用戶的信息安全,會(huì)更加現(xiàn)實(shí)。
此前CSDN、天涯等網(wǎng)站的數(shù)據(jù)庫被黑,QQ群數(shù)據(jù)被黑客公開,多家商旅網(wǎng)站數(shù)據(jù)庫被黑客拖庫等事件,以及這次網(wǎng)易郵箱漏洞事件,也從側(cè)面說明,在保護(hù)用戶個(gè)人信息安全方面,安全機(jī)構(gòu)、企業(yè)等平臺(tái)的責(zé)任更大。
個(gè)人如何保護(hù)信息安全?
更安全的安全機(jī)制是保護(hù)個(gè)人信息安全的有效機(jī)制,但這也不是說個(gè)人用戶就可以高枕無憂了。
IDC最新的數(shù)據(jù)統(tǒng)計(jì)報(bào)告顯示,蘋果手機(jī)全球占比在2015年第二季度出貨量呈季節(jié)性下降的趨勢,占比為13.9%,出貨量為4750萬部;Android系統(tǒng)手機(jī)占比為82.8%,出貨量約為2.828億部。
CNNIC最新報(bào)告顯示,截至2015年6月,我國手機(jī)網(wǎng)民規(guī)模達(dá)5.94億,較2014年12月增加3679萬人。盡管手機(jī)、PAD等終端增長放緩,但移動(dòng)互聯(lián)網(wǎng)用戶數(shù)量仍保持較高的增長速度。
龐大的用戶基數(shù),也使得黑色產(chǎn)業(yè)鏈更關(guān)注個(gè)人信息的收集與利用。瑞星安全專家唐威表示,個(gè)人信息安全的保護(hù)一直被大眾所忽略。很多用戶認(rèn)為,自己的電腦或手機(jī)上安裝了安全軟件就萬事大吉了,其實(shí),有了安全軟件的保護(hù),還遠(yuǎn)遠(yuǎn)不夠。
在IDG主辦的第四屆Android全球開發(fā)者大會(huì)上,一位做APP推廣的從業(yè)人員對(duì)搜狐科技披露,國內(nèi)很多Android應(yīng)用都試圖獲取更多的用戶信息。由于國內(nèi)大多數(shù)品牌Android手機(jī)出廠時(shí)都內(nèi)置了安全軟件,惡意應(yīng)用一般會(huì)被安全軟件自動(dòng)攔截。不過,為了能繞過安全軟件,不少做推送的廠商都跟國內(nèi)外安全廠商接洽,以避免其應(yīng)用被安全軟件自動(dòng)攔截。如果這類軟件沒有特別過分的行為,一般安全廠商往往會(huì)設(shè)置相應(yīng)的規(guī)則,允許這類軟件默認(rèn)獲取用戶的設(shè)備信息等后臺(tái)行為。據(jù)搜狐科技了解,這樣的做法在十年前的PC互聯(lián)網(wǎng)時(shí)代曾經(jīng)很普遍,當(dāng)時(shí)國內(nèi)外不少安全軟件廠商的產(chǎn)品,曾對(duì)占據(jù)用戶桌面、瀏覽器及任務(wù)欄中的流氓軟件不聞不問。
唐威表示,對(duì)于個(gè)人消費(fèi)者而言,使用安全性更高的密碼并定期更新;謹(jǐn)慎使用社交應(yīng)用,不點(diǎn)擊朋友圈里的不明網(wǎng)絡(luò)鏈接;從官方網(wǎng)站下載APP應(yīng)用;不隨意連接公共場所的無線網(wǎng)絡(luò)等措施,可以在一定程度上保證自己的信息安全。不過,這些措施也不是萬能的,企業(yè)及用戶從根源上樹立必要的安全意識(shí)才是最重要的。
京公網(wǎng)安備 11010502049343號(hào)