互联网个人信息安全漏洞百出 防不胜防

为什么我的邮箱总会出现广告推送?为什么我当前的位置信息会直接被共享在第三方网站?为什么我的手机信息会被泄露?究竟如今的网络安全严重到什么程度?随着今年央视3·15晚会相继曝光网易邮箱偷窥用户邮件、将帐户信息发给服务器、安卓手机泄露用户隐私等后,中国互联网环境受到广大网民用户的关注。

安全漏洞1

挂代码窥视用户隐私

只要获取了用户的Cookie数据,那么你在网络上的行为就已暴露无遗

在今年央视3·15晚会上,包括网易、品友互动在内的众多公司通过追踪用户Cookie、分析邮件内容等手段,收集用户隐私,从而实现广告精准投放。据报道,一些第三方公司会在很多网站上加代码,从而掌握用户的Cookie数据,使用户的性别、年龄、职业、身份、收入、受教育程度等信息在互联网公司面前“一览无遗”。除了第三方公司外,互联网公司如网易也会对自己的用户进行跟踪分析,甚至包括用户非常隐私的邮件内容。

有互联网公司的技术人员向新快报记者表示,“挂代码窥视用户隐私”是最为常见的手段,与掌握用户的浏览记录、IP地址、密码等信息的互联网公司达成协议,通过手段窃取客户的信息,收集数据分析后能有效投放广告,从而获得经济利益。这就意味着,只要获取了用户的Cookie数据,那么你在网络上的行为就已暴露无遗。

解读

Cookie本来只是记录个人上网痕迹

虽然,上述公司对于央视的曝光都迅速作出澄清声明,但引发关于Cookie是否安全的讨论却一直延续。

实际上,Cookie只是存储在用户电脑中的文本文件,里面存储着网民登录网站、密码、浏览过的网页、停留的时间等信息。根据Cookie在维基百科中的解释,其存在是为了让网站能够辨别用户的身份,这样用户可以更好地访问网站进行交互。比如我们在网上购物时会用到“购物车”,即使你打开了另外一个商品页面,之前购物车中的商品也不会消失;当你在某网站看了几篇科技新闻后,你还会看到网站给你推荐的“猜你喜欢”内容。

有IT界人士表示,“对普通网民来说,Cookie主要用来判定注册用户是否已经登录网站,这样可以免去用户重复登录网站的繁琐,试想如果你刷新一次微博都需要重新登录,想必就没有多少人愿意上网了。”

不过,业界上也有一种声音认为,虽然Cookie的存在最初是为了方便用户使用,但一些商业机构在用户并不知情的情况下,通过采集用户Cookie并加以商业运作,则危及用户的隐私泄露。

据介绍,要想窃取用户的Cookie,可以通过一种叫做“网络臭虫”方法,在一些访问量巨大的网站加入一段臭虫代码,这样他们就可以收集该网站用户的网页浏览器、停留时间、购物商品等个人偏好信息,在统计分析这些个人信息后,这些公司就可以向用户精准投放广告,或者再向其他需要这些个人信息的公司出售获利。“如果一天这个页面有1000万人访问,那么这个试图窃取的公司一天就获取了1000万份个人信息,这是个相当可怕的概念。”

更可怕的是,由于Cookie 会记录用户在登录、浏览网站时的操作,而有些网站在形成Cookie的过程中并不加密,所以用户的登录名和密码有可能会被Cookie记录下来,存储在用户的电脑中,如果用户电脑被黑客侵入,Cookie被盗走,那么登录名和密码就有泄漏的风险。“电脑安全专家不会在网络上进行过多的隐私操作,因为他们知道,防不胜防。”

安全漏洞2

智能手机用户通讯录、短信等被随意读取

全国人大代表、小米手机董事长兼CEO日前对媒体表示,隐私泄露的问题,智能手机甚至比电脑更严重。事实上,今年央视3·15晚会上高德地图和An-droid软件分别上了被曝光的名单,上榜理由都是手机用户信息被窃取。其中前者被指其手机客户端应用窃取了用户信息,并将用户隐私发送至高德的服务器,但高德地图称新版本高德地图已经解决这个问题。至于Android 软件,央视报道称其会在用户不知情的情况下,访问用户隐私的权限并把信息送回了(软件)开发商、广告商甚至第三方网站。来自360互联网安全中心数据显示,目前有近四成的手机游戏存在调用过多权限的情况,导致通讯录、短信等用户敏感的数据被随意读取。腾讯移动安全实验室报告也显示,在2012年Android病毒行为类型比例统计中,隐私窃取类病毒占比17.53%。

解读

智能手机应用申请了过多权限

在国内某知名互联网公司技术部门任职的杨先生向新快报记者分析称,“目前安卓平台过于开放,很多手机应用申请到太多权限,例如申请读取你手机通讯录的权限,而实际上,有些应用从事正当功能完全没必要读取你的通讯录”。用户手机中,包括照片、视频、私密文件、短消息,甚至是手机IMEI号码等信息都能够被手机应用窃取,此外如果用户使用LBS(基于位置的服务),所在地点就会被暴露。手机应用申请了这些权限后,用户在意识不到的情况下隐私已经被窃取。例如最近微博上吵得沸沸扬扬的一款手机应用“快播”,其最新版本中增添了一项名为“快播雷达”的功能。新快报记者亲身体验发现,雷达功能的“亮点”在于用户可以使用LBS,搜索到附近用户在看什么视频,而自己所看的视频也可以被别人所搜索到。不过,快播有关负责人对记者表示,雷达搜索到的内容只是网络上的视频资源,且是模糊定位,因此不会涉及隐私侵犯。

为什么手机应用窃取用户隐私如此泛滥?对此,参与了央视3·15晚会调查的艾媒咨询集团董事长兼CEO张毅对记者表示,祸根在于手机应用开发者赚不到钱。“手机应用的开发团队掌握着大量用户的信息,但问题是目前很多开发者都没有盈利,在此背景下,很多开发者为求生存走上售卖用户信息的歪道。”

根据艾媒咨询的报告显示,虽然2012年中国开发者中,只有22.3%开发者实现盈利。张毅指出,目前中国手机应用开发者在盈利模式与应用的推广与销售环节都面临较大挑战。虽然2012年实现盈利的比例有所增加,但这种短期好转是以恶意广告、恶意扣费等方式牺牲用户体验为代价获得的,是不健康的模式。

去年4.56亿网民受安全威胁

2012年“隐私安全”事件频发,涉及用户个人隐私安全事件频发引发了社会对互联网隐私安全问题的高度关注。根据艾瑞市场咨询机构与腾讯电脑管家最新发布的《2012年个人网络安全年度报告》,2012年有84.8%的中国网民遭遇个人资料泄露、网购支付等网络不安全事件,总人数达4.56亿,共造成直接经济损失194亿元,人均损失553.1元,70%左右的网民对网络安全形势表示担忧。

《报告》显示,最受网民关注的网络安全问题依次是“网络支付不安全”、“个人信息被泄漏”和“账号被盗取”。相比2011年,网民对网络危险的担心点更多集中在“金钱损失”和“隐私泄露”:“金钱损失”相对2011年上涨7.4%,“隐私泄露”则上涨4.9%。

该《报告》认为,木马仍是国内网络安全的主要威胁,在PC端,50%的主流木马是以获取经济利益为导向,如盗号、广告恶意推广;在移动端,则主要以“资源消耗”、“隐私获取”和“诈骗欺诈”等为主。

值得注意的是,除了上述这些恶意病毒以外,随着央视曝光,一些我们以前信任的网络服务事实上也存在安全漏洞,如邮箱、杀毒软件,实际上已经具备获取用户个人信息的能力,这些功能让我们在某些时候防不胜防。

安全漏洞3

钓鱼网站骗信息又骗财

相比木马、Cookie、手机应用这些手段,网络钓鱼及欺诈危害已经成为威胁网民财产及隐私安全的“第一杀手”。易观国际《中国第三方网络支付安全调研报告》显示,网络支付安全中的最大问题为账户密码被盗、交易中木马和钓鱼网站诈骗、隐私信息被截取。其中钓鱼欺诈类网站成为盗取用户账户、密码信息的罪魁祸首。百度数据则显示,2012年其有效打击的虚假网页超过3086万个。

解读

钓鱼网站已形成分工细致产业链

钓鱼网站是如何诈骗的?有专家表示,现在的钓鱼网站,通常伪装成为银行网站或者电子购物网站,窃取访问者提交的账号和密码信息。钓鱼网站的页面与真实网站界面基本一致,要求访问者提交账号和密码。更为可怕的是,目前,网络钓鱼及诈骗呈现出“集团作案,产业链协作,精细分工,甚至出现连环诈骗的可能。而且SNS、微博、微信等社会化媒体平台的兴起为钓鱼集团犯罪活动提供了更多入口及机会,使反钓鱼拦截增添难度,用户被诈骗几率提升。

以网游的钓鱼产业链为例,最上层的被称作“鱼老板”,“鱼老板”事先会制作一个钓鱼网站模版并申请注册域名解析,同时还会制作一个虚假的商务网站去正规的第三方支付平台进行注册,以获取平台结算资格,最后再用注册后的支付接口用于钓鱼网站。这样一个具备网上支付的网游交易钓鱼网站就“诞生”了。

安排妥当后,“鱼老板”会招募一批“马仔”,负责在各大网游的游戏聊天频道中喊话出售远低于平均市价的游戏币或虚拟装备。360安全专家对记者表示,一旦有玩家联系购买游戏虚拟物品,“马仔”会要求游戏玩家在事先准备好的钓鱼网站进行网上支付,如果游戏玩家按照指示进行网上交易,那么钱款将直接打入钓鱼者的账户,而且玩家根本不会买到任何商品。

“这还可能只是连环诈骗中的第一步。”上述专家表示,骗子们还会伪装成客服人员,当接到游戏玩家投诉时,会要求新注册的用户(玩家)开启“自动发货”功能,开启需要玩家再充值900元,并且承诺3分钟内退还。一旦有玩家充值900元后会申请退还,并要求发货。但这时骗子又会谎称由于是敏感的资金操作,玩家账户被冻结,需要再支付2000元解冻。“有些游戏玩家就这样落入骗子设置的连环陷阱被骗大量钱财。”

安全漏洞4

Android不但窃私还吸费

尽管多款App软件安全问题遭央视3·15晚会曝光,但“侵犯用户隐私”只是以Android平台为代表的智能终端行业安全隐患的冰山一角。近日,多家安全公司发布报告,披露了Android终端的安全隐患还包括吸费、偷流量等。

事实上,由于Android 的开源性特质,关于Android安全漏洞的问题由来已久。早在2011年,一个名为“给你米”(geinimi)的An-droid手机病毒被全球所关注,该病毒被植入正常应用软件中,用户安装应用后,病毒会在不被用户感知的情况下自动从“给你米”网站中下载其他软件至用户手机中,这种恶意推广行为会消耗用户的流量费用。

解读

对正规应用程序篡改加入恶意扣费代码

其实,在恶意软件大肆横行的背后,是巨大的灰色利益链在作祟,其暴利赚钱模式让不法分子不惜铤而走险。受益于安卓系统及其应用市场的开源性和开放性,一些人看到暗中做吸费App的“钱”景,目前已形成了集SP(移动互联网服务内容应用服务的直接提供者)公司、App开发者和第三方应用市场为一体的恶意吸费产业链,并且分工明确。

据报道,产业链的第一步是组织技术人员将正规的Android应用程序(国内开发的或国外汉化版)进行篡改,在其中加入恶意扣费代码。然后通过各种方式将修改后的应用程序推广到用户手机中,包括内置到第三方刷机ROM里、在第三方应用程序商店做免费或付费推广、论坛推广等。用户安装这些软件后吸费代码在远端服务器的控制下启动,通过发短信订购服务的方式吸走用户的费用或骗取其他开发商的推广费。

虽然为使恶意扣费更隐蔽,一些恶意软件限制每月扣几十元钱为限,但庞大的感染用户数量仍让其从手机用户身上攫取高额利润。此前央视曾报道称,仅一款吸费恶意代码,每年偷用户话费就超过5000万元。另有统计显示,2012年上半年有468万部手机感染流氓推广木马,单日最高获利或达936万元,日赚千万。

但需要说明的是,Android 吸费软件的横行与用户的安全意识薄弱不无关系。一位Android发烧友向新快报记者表示,其实An-droid有自身的安全防范机制,用户每安装一个应用软件,系统都会告知用户该软件需要获取哪方面的权限,例如获取用户的个人信息、网络通信、存储、发短信、拨打电话等不同的权限。但遗憾的是绝大部分用户都没有注意到应用程序获取这些权限是否合理、安全,而是直接通过了这些权限获取要求,直接安装软件。

据腾讯移动安全实验室监测,在2月份,排名前十的恶意扣费类病毒感染用户数超过32.4万。其中排名首位的扣费类病毒为伪谷歌地图,感染用户数近7.6万人。

安全漏洞5

二维码也可以“藏毒”

随着二维码快速流行,见码就扫成为目前许多手机用户习惯。不过今年3月8日,中消协发布消费警示,揭露二维码暗藏病毒、扣费、窃取通讯录和银行卡号信息等陷阱,提醒消费者别轻易“见码就扫”,手机二维码在线购物、支付时,更要谨慎。

中消协指出,借助二维码传播恶意网址、发布手机病毒等不法活动也开始逐渐增多。很多消费者防范意识不足,看到二维码就拿起手机拍一拍、扫一扫。殊不知,一旦通过手机扫描二维码直接下载的应用中染有病毒,手机就会遭遇麻烦;扫描的内容是被挂上木马的网址,则可能窃取消费者手机通讯录、银行卡号等隐私信息,甚至被乱扣话费、消耗上网流量。像天津的一位刘女士在扫描二维码参加团购时,由于二维码中含有手机病毒,导致手机被扣除了百元话费。据360手机应用检测中心数据显示,目前出现问题的应用包括“二维码扫描及生成器”、二维码生成工具、简易二维码等多款应用。此类应用普遍存在的问题是暗藏广告插件,一旦用户安装就会在后台运行,并推送广告,严重影响正常使用。其中“二维码生成工具”的行为更加危险,不仅会发送短信,还存在读取联系人,收集用户隐私等行为。

解读

病毒随二维码下载到手机

二维码又称二维条码,最早发明于日本,是用某种特定的几何图形,按一定规律在平面分布的黑白相间的图形中记录数据符号信息,通过图像输入设备或光电扫描设备自动识读以实现信息自动处理。每种码制有其特定的字符集,每个字符占有一定的宽度;具有一定的校验功能。

有IT界人士表示,二维码本身并不带病毒,但很多病毒软件可以利用二维码下载。“目前网络上有大量的二维码软件、在线生成器方便人们制作二维码,几乎不存在制作门槛,为手机木马或恶意软件制造者打开了方便之门,通过此种途径他们可瞬间完成恶意下载链接到二维码的转制。”例如先在网上下载一个 “二维码生成器”,找到病毒软件的下载地址,复制该网址,粘贴到二维码生成器,立即就生成了一个二维码图片。把这个生成的二维码图片,发到微博或网络论坛,一个病毒软件的二维码就开始“流通”了。

有专家表示,现在二维码和二维码扫描软件很流行,但识别二维码病毒的软件还不多。目前我们国家也没有专门针对二维码的监管办法。

网络防泄密指南

除了借助杀毒软件,我们还可以如何防泄密?

指南1

及时删除或禁止Cookie

对于大部分人而言,Cookie并不是一样坏的技术,它可以优化用户体验。然而,还是有一部分用户认为Cookie记载了个人信息,不希望被其他第三方利用,那么用户可以在电脑上删除Cookie。

A。如何删除电脑上的Cookie?

第一步,点击浏览器工具栏上面的“工具”菜单;第二步,在打开的下拉列表中点击“Internet选项”;

第三步,在打开的弹出菜单中点击“删除按钮”。

B。直接禁止读取Cookie功能。

以微软的IE为例,点击工具栏的“工具”菜单,然后点击“Internet选项”中的“隐私”,点“高级”项,然后把“覆盖自动Cookie处理”前的勾打上,之后会弹出一个新窗口,把第一方和第三方Cookie都选“拒绝”,确定后退出即可。

不过,有极客人士向新快报记者坦言,无论是删除Cookie还是禁止读取Cookie,实际上都只是防君子不能防小人的措施。“只要电脑用户要上网,互联网企业就有机会获取到用户的信息,所以最终还要看良心企业自觉。”

指南2

三招防钓鱼网站

钓鱼网站的页面与被模仿的网站页面相似度很高,一般情况下安全技术人员会建议电脑用户借助安全软件识别点与网站,但毕竟通常是先有了安全隐患,网络安全公司才去更新安全软件,所以个人用户学会几招防钓鱼网站的技术有益无害。

如何预防钓鱼网站

第一招:识别网址。因为网页网址是具有唯一性的,因此钓鱼网站都会似性较高的网址来混淆用户的眼球。例如5173的官方网址是 “http://www.5173.com/”,但而钓鱼网站的网址则可能被伪装成“http://www.5I73.com/(5I73中的I是英文字母i的大写)”。因此,用户在登陆网址时,最好先看清楚网址与正版官方网址是否一致。

第二招:长期不更新。钓鱼网站还有一些共同的特点,例如淘宝掌柜的旺旺处于下线状态;淘宝买家评论以及宝贝信息长时间不更新等。由于“钓鱼网站”与淘宝没有任何关系,所以旺旺不会以在线的状态显示,一般都会留有各种QQ号码让网购者进行联系。虽然“钓鱼网站”在各个细节方面都试图模仿淘宝,但只是一个误导页面,所以各种信息的更新不会频繁。

第三招:常用网站放收藏夹。极客告诉记者,要想防止钓鱼网站,最好的方法是养成把常用网站放入收藏夹的好习惯。我们只有牢记这些常用网站的网址,或者把这些网址都添加到浏览器的收藏夹里,以后需要时就可以直接打开了,尽量不要从其他网站或者搜索引擎中进入,更不要点入陌生人发给你的链接。“此外,搜索引擎也是滋生钓鱼网站的温床,所以用户登陆常用网站时还可以通过hao123这类专业权威上网导航网站接入,尽量避免自己在搜索引擎上搜索。”

指南3

安装前最好看清楚协议

张毅表示,对于Android软件都有权限说明,因此用户在下载安装是最好先看清楚权限的相关介绍。例如某些游戏,原来只需要开放修改SD卡内容、互联网访问等权限,但安装这个游戏时却提示需要允许开放读取个人信息、编辑短信或彩信、付费服务等,此时用户就要注意该软件是否存在猫腻了。“根据经验,凡事出现涉及互联网、发送短信、拨号功能、付费等协议时,用户最好要小心,宁缺毋滥。”

值得注意的是,目前泛滥成灾的第三方Android应用商店是“吸费”软件的温床。由于谷歌原版APP市场下载的软件都经过官方严密的审查,一般是不会出现短信扣费的情况的,但是可能会挂载广告,产生网络流量,用户只要关闭手机的数据连接就可以解决流量“偷跑”的问题。此外,张毅还表示,如果发现此前安装的应用软件可能存在窃取信息或吸费现象时,应该马上卸载删除。“一般而言卸载后,第三方网站就不可能继续从你手机上上传信息,如果仍不放心,最好用安全软件进一步清除。”

对话极客

终极保护隐私方案:准备两台电脑

新快报:杀毒软件能完全保护我们的电脑吗?极客:事实上,只要电脑连了互联网,就肯定存在个人信息被盗的风险,即使有杀毒软件也不能完全保证。此外,客观上来说,杀毒软件既然能够扫描电脑磁盘进行杀毒,说明电脑已经对杀毒软件开放了权限,个人用户的信息实际上已经被安全厂商掌握。资深的电脑安全专家都知道,这种事防不胜防。

新快报:不用杀毒软件也可以保护好隐私吗?

极客:当然可以。

新快报:有哪些办法可以保护隐私呢?

极客:首先,对隐私的东西加密咯。密码设置不能太简单,最好是字母+数字+特殊符号,不要与生日、电话号码重复。然后,要注意别随便登录高危网站啦。

新快报:要用网银的话怎么办呢?

极客:保护财产是第一,尽量别在不安全的网络环境下用。如果公司有严密的网络保护,可以选择在公司用网银,这个比私人网络安全。此外,建议习惯使用网银的消费者最好向银行申请一个密钥,因为如果密钥,即使不法分子知道你的密码也不可能盗用你的网银,而你只需要保管好密钥就行了。

新快报:如何发现电脑的中毒预警?

极客:目前有些安全软件可以监测电脑的流量状态,我们可以借助这个工具观察电脑是否中毒。假如用户并无任何上网动作,但流量数据一直在闪,此时电脑的数据很可能已经正被后台非法上传。但需要注意的是,有时候安全软件自己也会上传一些必要数据,所以监测流量的方法并非辨别电脑是否中毒的绝对方法。

新快报:你自己有什么终极保护隐私的方案?

极客:推荐用户准备两台电脑,一台装网银,QQ等需要密码的东西,而且只上所认识的网站,这台机器不需要装任何杀毒软件和安全卫士,因为搜索引擎会带你去一些不确定的网站,所以如果需要查询信息,则使用另一台电脑。

近年来部分网络安全相关事件回顾

时间 事件

2011年 12月 国内知名技术社区 CSDN 被爆泄密门

2012年 6月 包括当当、1 号店等主流电商均遭遇泄密事件,用户账户被盗、余额被窃

2012年 7月 网络传言小米手机 MIUI 泄露用户隐私,但小米公司否认

2012年 8月 复旦大学计算机科学技术学院日前发布报告称,Androi d系统七个应用商城 300余款应用,58% 存在泄露用户隐私的行为

2012年 11月 有媒体报道称,包括申通、圆通、中通在内多家快递公司单号被泄露且非法出售,并称存在不法分子利用单号伪造包裹诈骗用户的可能

2013年 3月 央视 315 晚会曝光高德地图、网易等互联网安全问题