小丁呀�����,明天上午10點(diǎn)到我辦公室來(lái)一下��!
我的卡壞了����,款請打到����,2222 2222 2222 2222 222張三��。
以往�����,這樣的電話(huà)或短信�����,全部都是陌生號碼�����。稍一點(diǎn)防范意識的人����,很容易就能識破這類(lèi)騙局�����。但現在則不一樣了��,你再接到這樣的電話(huà)或短信����,聯(lián)系人可能真的就是你的上司或熟人的名字�����,讓人防不勝防�����。
這都是因為最近黑客發(fā)現了一個(gè)名為WormHole蟲(chóng)洞的安全漏洞�����。利用這個(gè)漏洞��,在手機聯(lián)網(wǎng)的情況下����,攻擊者可以遠程給受感染的Android手機安裝APP應用��、遠程啟動(dòng)任意應用��、獲取用戶(hù)GPS地理位置��、手機IMEI信息�����,甚至可以隨意更改通信錄聯(lián)系人信息����。
據稱(chēng)�����,Android平臺的百度全家桶APP基本悉數帶有此WormHole漏洞����。由于百度系列APP用戶(hù)數量非常大����,受這一漏洞影響的手機可能達上億部����。根據烏云漏洞平臺的顯示����,這一漏洞已經(jīng)得到百度官方確認��。同時(shí)����,來(lái)自烏云網(wǎng)的信息顯示����,華為手機也因為這一漏洞受到影響��。據搜狐科技了解��,因百度輸入法�����、百度地圖等APP也在很多手機中進(jìn)行預裝�����,預計受到影響的手機品牌還有更多��。
為何最近安全事件頻發(fā)��?
最近跟個(gè)人信息安全的事情挺多的����。
近一個(gè)月來(lái)�����,從蘋(píng)果Xcode����、游戲引擎Unity和Cocos-2d等工具被植入后門(mén)供開(kāi)發(fā)者下載用來(lái)開(kāi)發(fā)應用程序����,到有米SDK涉嫌使用私有API收集用戶(hù)設備信息����,近300款應用被蘋(píng)果商店下架����;從幽靈推病毒ROOT用戶(hù)手機繞過(guò)安全軟件推廣APP�����,到網(wǎng)易郵箱被曝有漏洞可能有數億賬號信息被泄露......
不過(guò)�����,瑞星安全專(zhuān)家唐威并不認為近期出現的安全事件比原來(lái)的威脅性更大����。唐威對搜狐科技表示�����,從信息安全監測情況來(lái)看����,近幾年來(lái)移動(dòng)安全威脅確實(shí)呈爆發(fā)增長(cháng)的趨勢��。僅僅2015年上半年����,就新增病毒樣本近2000萬(wàn)個(gè)�����,超過(guò)2億人次用戶(hù)被感染����。不過(guò)�����,由于A(yíng)ndroid系統經(jīng)常鬧病毒����,大多數人已經(jīng)習以為常��。最近蘋(píng)果系統連續被曝光了幾次安全威脅��,引起很多人的關(guān)注�����,主要是因為普通人一般認為蘋(píng)果系統是沒(méi)有病毒或安全漏洞的��,加上蘋(píng)果在很多人心目中已經(jīng)被“神化”��,因此一旦蘋(píng)果系統出現一些問(wèn)題�����,往往就引起媒體及公眾更多的關(guān)注目光�����。
安全漏洞影響被過(guò)分夸大
一位不愿具名的安全人士則對搜狐科技表示��,不少漏洞��,包括百度APP中存在的WormHole漏洞��,其實(shí)是被安全廠(chǎng)商和媒體過(guò)分夸大了��。安全公司發(fā)現漏洞后����,給大眾說(shuō)明風(fēng)險��,并告訴相關(guān)企業(yè)及用戶(hù)怎么解決就行了����,但現在不少安全公司對涉及知名企業(yè)的安全漏洞不斷做夸大��,搞得人心惶惶�����。
這位人士表示�����,安全廠(chǎng)商出于各種目的考慮��,一般會(huì )針對某一漏洞的特性�����,窮舉各種可能存在的安全威脅��。前段時(shí)間蘋(píng)果XCode工具被人注入惡意代碼后�����,騰訊安全應急響應中心認為受影響的用戶(hù)數量超過(guò)一億人����。但從事后的實(shí)際影響來(lái)看��,并沒(méi)有多少用戶(hù)反映自己的個(gè)人信息安全受到威脅�����。
網(wǎng)易郵箱被曝出漏洞后��,漏洞報告人當時(shí)認為有數億網(wǎng)易郵箱用戶(hù)的個(gè)人信息受到影響�����,但從國家互聯(lián)網(wǎng)應急中心發(fā)布的通報來(lái)看����,根據漏洞報告人披露的泄露數據�����,國家互聯(lián)網(wǎng)應急中心認為還無(wú)法支持“網(wǎng)易郵箱過(guò)億數據泄露”這一判斷����。
這位安全企業(yè)人士對搜狐科技透露�����,根據他們對百度WormHole漏洞的分析來(lái)看����,這一漏洞的利用價(jià)值并沒(méi)有想像的那么大����。
APP開(kāi)發(fā)流程不規范致用戶(hù)遭殃
事實(shí)證明�����,并沒(méi)有完全安全的系統或應用程序��,黑客是否會(huì )破解一個(gè)系統或應用����,完全要看破解之后是否能給黑客帶來(lái)價(jià)值����。
眾所周知��,業(yè)界普遍有種說(shuō)法是MAC系統��、Linux系統非常安全�����。但從黑客角度來(lái)看��,當地一個(gè)系統用戶(hù)量很少時(shí)����,即使破解了��,也給其帶來(lái)不了多少價(jià)值����。CIH病毒作者陳盈豪對搜狐科技表示�����,對黑客而言�����,破解Windows��、Android��、iOS等用戶(hù)基數大的系統或應用����,甚至利用漏洞盜取企業(yè)或個(gè)人用戶(hù)的信息�����,能讓黑客有更大成就感�����,他們也能從這些行為中獲得更大價(jià)值�����。
一位安全行業(yè)人士對搜狐科技表示�����,現在很多應用開(kāi)發(fā)公司對安全重視程度并不高����。這主要表現在兩個(gè)方面�����,一是在流程管理方面����,二是在應用開(kāi)發(fā)方面��。
以蘋(píng)果XcodeGhost事件為例����,事件發(fā)生后��,安全廠(chǎng)商及受波及的應用開(kāi)發(fā)公司�����,幾乎都避重就輕�����,只注重技術(shù)層面的分析����,而沒(méi)有從根源上認識到程序開(kāi)發(fā)過(guò)程中因流程不規范而導致的這些問(wèn)題����。如果應用開(kāi)發(fā)團隊都是用官方的套件做開(kāi)發(fā)并在之后的審核等流程中做有效的控制��,根本不會(huì )出現這樣的問(wèn)題����。
這件事情暴露了很多知名互聯(lián)網(wǎng)公司內部IT安全管理��、代碼復審等環(huán)節存在嚴重不規范的問(wèn)題�����。因為這些企業(yè)的原因����,導致用戶(hù)設備信息甚至個(gè)人信息泄露�����,需要引起業(yè)界足夠的重視��。
金融P2P應用安全堪憂(yōu)
隨著(zhù)互聯(lián)網(wǎng)金融的發(fā)展�����,企業(yè)不重視安全的問(wèn)題����,在移動(dòng)支付�����、理財類(lèi)應用上也日益突出����。
據搜狐科技了解����,目前除了銀行類(lèi)APP應用及第一梯隊互聯(lián)網(wǎng)公司的金融類(lèi)應用安全性更有保障外��,其它中小企業(yè)的金融P2P��、理財類(lèi)等應用或多或少都存在安全隱患�����。
一家安全企業(yè)日前給搜狐科技完整演示了四五家P2P及理財應用中還沒(méi)有正式對外披露的漏洞����。
從這家安全企業(yè)演示的過(guò)程來(lái)看�����,一家位于廣州的互聯(lián)網(wǎng)金融公司����,其一款基金類(lèi)應用甚至明?發(fā)送用戶(hù)的賬號和密碼����。用戶(hù)的姓名�����、?份證�����、預留?機號碼����、銀?卡號也同樣使用明?傳輸��,存在極大安全風(fēng)險����。
這家金融公司旗下另一款理財類(lèi)應用��,雖然數據傳輸進(jìn)行了加密��,但全程使用http協(xié)議����,而沒(méi)有采用業(yè)界普遍使用的https協(xié)議�����,數據存在傳輸過(guò)程中被劫持并篡改的風(fēng)險��。
另一家位于深圳的金融理財公司��,其APP在驗證用戶(hù)?份時(shí)����,姓名及?份證號也同樣使用明?傳輸�����。更奇葩的是��,在驗證用戶(hù)身份時(shí)����,這款APP對姓名并沒(méi)有做校驗����,只要身份證號曾經(jīng)在這個(gè)APP上注冊過(guò)�����,輸入任意姓名+真實(shí)身份證號就能驗證通過(guò)�����。
與其教育用戶(hù)�����,不如從源頭保證安全
趨勢科技安全研究副總裁Rik Ferguson對搜狐科技表示��,Android系統的開(kāi)放性及碎片化��,使得這個(gè)系統存在大量的漏洞��,也讓惡意代碼有了生存空間��。但Google一直不愿承認惡意代碼的問(wèn)題����。Android平臺的用戶(hù)也有很多人無(wú)法意識到這個(gè)問(wèn)題的存在�����,無(wú)法或者也沒(méi)有能力去花更多時(shí)間和精力保護他們設備的安全����。
Rik Ferguson表示����,從用戶(hù)方面來(lái)講��,因為大部分用戶(hù)本身不懂技術(shù)�����,而且他們對于安全甚至對于手機本身也不是怎么感興趣�����,所以要想從用戶(hù)方去解決安全問(wèn)題��,不見(jiàn)得是一個(gè)好的方案��。Ferguson認為����,安全廠(chǎng)商與制造商�����、運營(yíng)商��、互聯(lián)網(wǎng)服務(wù)商����、應用開(kāi)發(fā)企業(yè)等渠道加強合作�����,確保各平臺及管道是安全的��,從源頭去保護用戶(hù)的信息安全��,會(huì )更加現實(shí)��。
此前CSDN�����、天涯等網(wǎng)站的數據庫被黑����,QQ群數據被黑客公開(kāi)�����,多家商旅網(wǎng)站數據庫被黑客拖庫等事件����,以及這次網(wǎng)易郵箱漏洞事件��,也從側面說(shuō)明��,在保護用戶(hù)個(gè)人信息安全方面��,安全機構�����、企業(yè)等平臺的責任更大��。
個(gè)人如何保護信息安全��?
更安全的安全機制是保護個(gè)人信息安全的有效機制�����,但這也不是說(shuō)個(gè)人用戶(hù)就可以高枕無(wú)憂(yōu)了�����。
IDC最新的數據統計報告顯示����,蘋(píng)果手機全球占比在2015年第二季度出貨量呈季節性下降的趨勢�����,占比為13.9%����,出貨量為4750萬(wàn)部��;Android系統手機占比為82.8%�����,出貨量約為2.828億部����。
CNNIC最新報告顯示����,截至2015年6月�����,我國手機網(wǎng)民規模達5.94億�����,較2014年12月增加3679萬(wàn)人����。盡管手機����、PAD等終端增長(cháng)放緩����,但移動(dòng)互聯(lián)網(wǎng)用戶(hù)數量仍保持較高的增長(cháng)速度��。
龐大的用戶(hù)基數����,也使得黑色產(chǎn)業(yè)鏈更關(guān)注個(gè)人信息的收集與利用����。瑞星安全專(zhuān)家唐威表示����,個(gè)人信息安全的保護一直被大眾所忽略�����。很多用戶(hù)認為����,自己的電腦或手機上安裝了安全軟件就萬(wàn)事大吉了�����,其實(shí)����,有了安全軟件的保護��,還遠遠不夠�����。
在IDG主辦的第四屆Android全球開(kāi)發(fā)者大會(huì )上�����,一位做APP推廣的從業(yè)人員對搜狐科技披露�����,國內很多Android應用都試圖獲取更多的用戶(hù)信息����。由于國內大多數品牌Android手機出廠(chǎng)時(shí)都內置了安全軟件�����,惡意應用一般會(huì )被安全軟件自動(dòng)攔截����。不過(guò)�����,為了能繞過(guò)安全軟件����,不少做推送的廠(chǎng)商都跟國內外安全廠(chǎng)商接洽�����,以避免其應用被安全軟件自動(dòng)攔截�����。如果這類(lèi)軟件沒(méi)有特別過(guò)分的行為����,一般安全廠(chǎng)商往往會(huì )設置相應的規則�����,允許這類(lèi)軟件默認獲取用戶(hù)的設備信息等后臺行為�����。據搜狐科技了解��,這樣的做法在十年前的PC互聯(lián)網(wǎng)時(shí)代曾經(jīng)很普遍�����,當時(shí)國內外不少安全軟件廠(chǎng)商的產(chǎn)品��,曾對占據用戶(hù)桌面��、瀏覽器及任務(wù)欄中的流氓軟件不聞不問(wèn)��。
唐威表示�����,對于個(gè)人消費者而言��,使用安全性更高的密碼并定期更新�����;謹慎使用社交應用�����,不點(diǎn)擊朋友圈里的不明網(wǎng)絡(luò )鏈接����;從官方網(wǎng)站下載APP應用����;不隨意連接公共場(chǎng)所的無(wú)線(xiàn)網(wǎng)絡(luò )等措施�����,可以在一定程度上保證自己的信息安全�����。不過(guò)����,這些措施也不是萬(wàn)能的��,企業(yè)及用戶(hù)從根源上樹(shù)立必要的安全意識才是最重要的�����。
.jpeg)
