2013年上半年中国信息安全综合报告
2013-07-11 14:17:50四、移动互联网信息安全
(一)、免费Wi-Fi应用暗藏巨大风险
在今年上半年,瑞星互联网攻防实验室在移动互联网领域重点关注了“畅无线”、“Wi-Fi免费通”、“WiFi万能钥匙”和“WIFI伴侣”等多款免费Wi-Fi应用。该类应用的主要功能是帮助网友连接中国联通、中国移动及各类商家为顾客提供的Wi-Fi热点,以达到免费“蹭网”的目的。
图12:免费Wi-Fi应用暗藏巨大风险
瑞星安全专家分析,该类应用并非如传闻般拥有破解密码的功能,而是通过程序大量内置的手机账号及免费Wi-Fi账号来连接户外及商家的Wi-Fi热点。这种应用存在两个安全隐患:
第一,Wi-Fi应用只能提供免费的Wi-Fi热点接入服务,并不能保证这些Wi-Fi都是安全的网络。一旦有黑客熟知某一区域Wi-Fi热点账号,就有可能仿冒正规商家制造假冒账号,并进入Wi-Fi应用提供的免费热点列表,进而获取用户手机上所有信息。这些信息包括:手机短信、电子邮件、照片、通讯录、网银账密及其他电子账号和电子文档等。
第二,免费Wi-Fi应用理论上是不向用户收取费用的。虽然少数该类应用会向用户收取虚拟货币,但大部分都依靠向用户推送广告及其他APP应用实现盈利。值得注意的是,目前移动互联网市场上的应用程序——尤其是基于Android系统的应用程序,缺乏严格的安全审核制度,许多免费应用内置的广告、APP推荐,都存在很大风险。同样,Wi-Fi应用也不能保证所推送的广告或APP都是安全可靠的,钓鱼信息、恶意APP都有可能借该类应用之便大肆传播。用户一旦轻信,轻则隐私信息泄露、遭遇恶意诈骗,重则网银账密不保、银行卡内钱款被洗劫一空。
(二)、移动互联网危及公民隐私
1. APP应用设置不当严重威胁人身安全
据媒体报道,今年5月,沈阳一女孩因在微信中上传自己的照片,被不法分子盯梢,下班后出地铁站时被尾随,凶手将其掐死后抛尸。“在这个案例中,不法分子并不认识被害者,却能通过微信看到被害者的照片,并确定被害者本人就在附近,原因是被害者在微信中开放了定位功能,并允许陌生人翻看自己的相册”,瑞星安全专家表示,“现在智能手机上的很多APP应用程序都有定位、分享功能,有些是因为应用程序的功能需要,有些则属私自读取用户的地理位置。事实上,该类功能给用户的人身安全带来了不小的隐患,然而很多时候,用户并不知道自己开启了这些功能,就如上述案件中,被害者可能根本不知道自己的照片可以被陌生人查看。”
图13:APP设置不当严重威胁人身安全
其实大多数APP应用在安装、使用时都会提示用户,软件要读取用户当前的位置。然而很多用户不能理解或不重视这些提示信息的意思,在提示框出现的时候盲目点击“允许”或“确定”,以便更快打开APP应用,生怕点击了“不允许”、“取消”之后会影响APP的使用。瑞星安全专家建议,用户不要轻易允许APP应用读取、上传、分享自己当前的地理位置,如果特殊情况下需要使用该类功能,可以从手机的系统设置中找到开关,随用随开,用完立即关闭。
2. 移动社交分享成网络“跟踪”数据源
近几年,社交平台逐渐转向移动互联网。目前,以微博、微信为代表的社交类应用程序,已成为智能手机中最常见的应用,网民可以利用该类应用在互联网上分享各类文字、图片及视频信息。然而此前已有多家媒体曾在报道中指出,社交应用经常会泄露用户的隐私信息。瑞星安全专家表示,社交类应用中有一些常见的功能,都可能成为隐私信息泄露的源头,例如定位功能通常情况下用户使用定位功能是为了分享自己的位置,以便向好友推荐自己喜欢的餐馆、娱乐场所或者旅游目的地等。然而,用户的关注者却并不一定持有善意,在这种情况下,分享功能就有可能成为少数不法分子监视用户的工具。
图14:移动社交分享成网络“跟踪”数据源
瑞星安全专家指出,有心人可以通过类似微博这类社交平台,全面跟踪用户信息,包括用户的社交关系如何、有哪些喜好特长、近期关注哪些话题、有什么样的购物倾向、去了哪些地方。这些细节看似普通,但是很有可能使用户成为垃圾广告、钓鱼网站和网络诈骗者关注的目标,给用户的网络生活带来巨大的风险。同时,个别黑客及不法分子也会对有一定社会地位的用户进行定向“跟踪”,通过获取对方的工作生活习惯、经常出入的场所及其他隐私信息,破解与对方有关的系统账号密码,甚至获取重要保险柜、机密文件的存储地点。
(三)、无线路由器成网络安全新盲区 漏洞导致终身监视
当今智能终端的普及极为迅速,笔记本电脑、智能手机、平板电脑、相机、智能电视等产品都需要无线网络,导致无线路由器迅速在家庭中普及。然而今年上半年,多款无线路由器被曝存在重大安全漏洞,其中包括TP-Link、D-Link等国内外知名品牌。瑞星安全专家指出,这些漏洞使得许多家庭乃至公司网络都随时处于被他人监控的风险当中。黑客可以利用无线路由器的漏洞对整个网络中的电子设备进行全面监控,包括所有电子设备中内置的麦克和摄像头,硬盘中存储的文件以及用户对电子设备进行的所有操作。
图15:无线路由器成网络安全新盲区
瑞星安全专家表示,由于绝大部分用户只会在安装路由器时进行初步的简单设置,并不会定期检查路由器并刷新固件程序,所以路由器一旦被黑客入侵,用户将被终身监视。
