放长线钓大鱼,LBS应用暗藏杀机

任何新的技术在给人们带来利益的同时都伴随着潜在的风险,LBS(Location Based Service:基于位置的服务)也不例外。作为一项越来越流行的移动类应用,LBS创造了新的交友模式:通过分享自己的地理位置及个人爱好信息,人们可以更方便地结交附近或兴趣相投的朋友。而广告主们也从中看到了商机,利用电子优惠券或其他打折活动吸引附近的人群,提高到店率。

许多站点都可以通过访问者的IP地址来定位,并向其推送本地化的内容及广告,这是一种节省资源的方式。同时,为了吸引更多的眼球,这些内容除正规的内容标题外,还有不少极具诱惑力的标题(如“同城美女邀你今夜赴约”)。而此类标题,正是将人们引入钓鱼网站的陷阱之一。

现在,同样的欺骗模式被迁移到了LBS应用平台。因为LBS的各种优化操作的特性反而更方便网络罪犯设下陷阱,还能进一步避免在不活跃的用户身上浪费时间及资源,提高犯罪效率。Websense的研究人员分析了几个基于LBS的钓鱼式攻击的实例,这里以国内某款LBS社交应用程序为例说明如下:

(图1,国内某LBS应用截图)

如图所示,这是一条从距离你124.78千米位置的发来的本地消息,并附带一张迷人的少女头像,及一个博客链接,女孩称可以通过该博客初步了解她本人。但这个链接却会把用户定向到钓鱼页面,企图盗窃用户的QQ帐号及密码。这类骗局可以轻易奏效并自动下载恶意软件到受害者的移动设备上。

为什么对网络犯罪者而言,这种陷阱会比传统的更为有效呢?原因有三:第一,本地的消息具有更强信任感,受害者更容易放松警惕;第二,使用了性感迷人的照片,这是一种相当有效的诱饵;第三,手机设备上显示的URL地址往往不全,看上去与合法地址无异。

而这只是冰山一角,去年,一家英国安全公司发现LBS应用还给窃贼打开了方便之门。在国外,人们常常通过Facebook、Twitter等其他社交工具进行LBS签到,而窃贼则会通过用户的签到规律来判断人们的出行习惯,进而在目标用户家中无人时入室行窃。他们平均的犯罪用时不过十分钟,而受害者可能还在自己最喜欢的一家星巴克中浑然不觉。

另外,别以为你对自己的行踪避而不谈就安全了,移动设备会暴露你的所在的地理位置。一些相机和手机会自动给所拍摄的照片加上位置标记(如GPS数据),给犯罪分子留下线索。

更应该引起关注的是,LBS也给青少年安全问题带来了隐忧。虽然该技术一方面能帮父母们省心不少,使他们不会因孩子的走失而过分焦虑,地理位置信息可以让他们很快的找到孩子;但从另一方面考虑,犯罪分子也可以通过这些地理信息找到孩子,并套出他们父母的个人信息,甚至进行更严重的犯罪行为。因为孩子们很喜欢分享自己用手机拍摄的照片,而懂些基础技术的人,仅通过可交换图形文件植入程序就可以提取嵌入在照片中的位置数据,从而准确推断照片是于何地被拍摄的。此外,就算你将手机的GPS功能关闭,一些移动应用程序仍会默认允许开放GPS功能,让罪犯们有机可乘。

Websense将继续关注该领域的进展,并保护我们的客户、以及他们的数据和系统,免受此类新型攻击的威胁。