小丁呀,明天上午10点到我办公室来一下!
我的卡坏了,款请打到,2222 2222 2222 2222 222张三。
以往,这样的电话或短信,全部都是陌生号码。稍有一点防范意识的人,很容易就能识破这类骗局。但现在则不一样了,你再接到这样的电话或短信,联系人可能真的就是你的上司或熟人的名字,让人防不胜防。
这都是因为最近黑客发现了一个名为WormHole虫洞的安全漏洞。利用这个漏洞,在手机联网的情况下,攻击者可以远程给受感染的Android手机安装APP应用、远程启动任意应用、获取用户GPS地理位置、手机IMEI信息,甚至可以随意更改通信录联系人信息。
据称,Android平台的百度全家桶APP基本悉数带有此WormHole漏洞。由于百度系列APP用户数量非常大,受这一漏洞影响的手机可能达上亿部。根据乌云漏洞平台的显示,这一漏洞已经得到百度官方确认。同时,来自乌云网的信息显示,华为手机也因为这一漏洞受到影响。据搜狐科技了解,因百度输入法、百度地图等APP也在很多手机中进行预装,预计受到影响的手机品牌还有更多。
为何最近安全事件频发?
最近跟个人信息安全的事情挺多的。
近一个月来,从苹果Xcode、游戏引擎Unity和Cocos-2d等工具被植入后门供开发者下载用来开发应用程序,到有米SDK涉嫌使用私有API收集用户设备信息,近300款应用被苹果商店下架;从幽灵推病毒ROOT用户手机绕过安全软件推广APP,到网易邮箱被曝有漏洞可能有数亿账号信息被泄露......
不过,瑞星安全专家唐威并不认为近期出现的安全事件比原来的威胁性更大。唐威对搜狐科技表示,从信息安全监测情况来看,近几年来移动安全威胁确实呈爆发增长的趋势。仅仅2015年上半年,就新增病毒样本近2000万个,超过2亿人次用户被感染。不过,由于Android系统经常闹病毒,大多数人已经习以为常。最近苹果系统连续被曝光了几次安全威胁,引起很多人的关注,主要是因为普通人一般认为苹果系统是没有病毒或安全漏洞的,加上苹果在很多人心目中已经被“神化”,因此一旦苹果系统出现一些问题,往往就引起媒体及公众更多的关注目光。
安全漏洞影响被过分夸大
一位不愿具名的安全人士则对搜狐科技表示,不少漏洞,包括百度APP中存在的WormHole漏洞,其实是被安全厂商和媒体过分夸大了。安全公司发现漏洞后,给大众说明风险,并告诉相关企业及用户怎么解决就行了,但现在不少安全公司对涉及知名企业的安全漏洞不断做夸大,搞得人心惶惶。
这位人士表示,安全厂商出于各种目的考虑,一般会针对某一漏洞的特性,穷举各种可能存在的安全威胁。前段时间苹果XCode工具被人注入恶意代码后,腾讯安全应急响应中心认为受影响的用户数量超过一亿人。但从事后的实际影响来看,并没有多少用户反映自己的个人信息安全受到威胁。
网易邮箱被曝出漏洞后,漏洞报告人当时认为有数亿网易邮箱用户的个人信息受到影响,但从国家互联网应急中心发布的通报来看,根据漏洞报告人披露的泄露数据,国家互联网应急中心认为还无法支持“网易邮箱过亿数据泄露”这一判断。
这位安全企业人士对搜狐科技透露,根据他们对百度WormHole漏洞的分析来看,这一漏洞的利用价值并没有想像的那么大。
APP开发流程不规范致用户遭殃
事实证明,并没有完全安全的系统或应用程序,黑客是否会破解一个系统或应用,完全要看破解之后是否能给黑客带来价值。
众所周知,业界普遍有种说法是MAC系统、Linux系统非常安全。但从黑客角度来看,当地一个系统用户量很少时,即使破解了,也给其带来不了多少价值。CIH病毒作者陈盈豪对搜狐科技表示,对黑客而言,破解Windows、Android、iOS等用户基数大的系统或应用,甚至利用漏洞盗取企业或个人用户的信息,能让黑客有更大成就感,他们也能从这些行为中获得更大价值。
一位安全行业人士对搜狐科技表示,现在很多应用开发公司对安全重视程度并不高。这主要表现在两个方面,一是在流程管理方面,二是在应用开发方面。
以苹果XcodeGhost事件为例,事件发生后,安全厂商及受波及的应用开发公司,几乎都避重就轻,只注重技术层面的分析,而没有从根源上认识到程序开发过程中因流程不规范而导致的这些问题。如果应用开发团队都是用官方的套件做开发并在之后的审核等流程中做有效的控制,根本不会出现这样的问题。
这件事情暴露了很多知名互联网公司内部IT安全管理、代码复审等环节存在严重不规范的问题。因为这些企业的原因,导致用户设备信息甚至个人信息泄露,需要引起业界足够的重视。
金融P2P应用安全堪忧
随着互联网金融的发展,企业不重视安全的问题,在移动支付、理财类应用上也日益突出。
据搜狐科技了解,目前除了银行类APP应用及第一梯队互联网公司的金融类应用安全性更有保障外,其它中小企业的金融P2P、理财类等应用或多或少都存在安全隐患。
一家安全企业日前给搜狐科技完整演示了四五家P2P及理财应用中还没有正式对外披露的漏洞。
从这家安全企业演示的过程来看,一家位于广州的互联网金融公司,其一款基金类应用甚至明?发送用户的账号和密码。用户的姓名、?份证、预留?机号码、银?卡号也同样使用明?传输,存在极大安全风险。
这家金融公司旗下另一款理财类应用,虽然数据传输进行了加密,但全程使用http协议,而没有采用业界普遍使用的https协议,数据存在传输过程中被劫持并篡改的风险。
另一家位于深圳的金融理财公司,其APP在验证用户?份时,姓名及?份证号也同样使用明?传输。更奇葩的是,在验证用户身份时,这款APP对姓名并没有做校验,只要身份证号曾经在这个APP上注册过,输入任意姓名+真实身份证号就能验证通过。
与其教育用户,不如从源头保证安全
趋势科技安全研究副总裁Rik Ferguson对搜狐科技表示,Android系统的开放性及碎片化,使得这个系统存在大量的漏洞,也让恶意代码有了生存空间。但Google一直不愿承认恶意代码的问题。Android平台的用户也有很多人无法意识到这个问题的存在,无法或者也没有能力去花更多时间和精力保护他们设备的安全。
Rik Ferguson表示,从用户方面来讲,因为大部分用户本身不懂技术,而且他们对于安全甚至对于手机本身也不是怎么感兴趣,所以要想从用户方去解决安全问题,不见得是一个好的方案。Ferguson认为,安全厂商与制造商、运营商、互联网服务商、应用开发企业等渠道加强合作,确保各平台及管道是安全的,从源头去保护用户的信息安全,会更加现实。
此前CSDN、天涯等网站的数据库被黑,QQ群数据被黑客公开,多家商旅网站数据库被黑客拖库等事件,以及这次网易邮箱漏洞事件,也从侧面说明,在保护用户个人信息安全方面,安全机构、企业等平台的责任更大。
个人如何保护信息安全?
更安全的安全机制是保护个人信息安全的有效机制,但这也不是说个人用户就可以高枕无忧了。
IDC最新的数据统计报告显示,苹果手机全球占比在2015年第二季度出货量呈季节性下降的趋势,占比为13.9%,出货量为4750万部;Android系统手机占比为82.8%,出货量约为2.828亿部。
CNNIC最新报告显示,截至2015年6月,我国手机网民规模达5.94亿,较2014年12月增加3679万人。尽管手机、PAD等终端增长放缓,但移动互联网用户数量仍保持较高的增长速度。
庞大的用户基数,也使得黑色产业链更关注个人信息的收集与利用。瑞星安全专家唐威表示,个人信息安全的保护一直被大众所忽略。很多用户认为,自己的电脑或手机上安装了安全软件就万事大吉了,其实,有了安全软件的保护,还远远不够。
在IDG主办的第四届Android全球开发者大会上,一位做APP推广的从业人员对搜狐科技披露,国内很多Android应用都试图获取更多的用户信息。由于国内大多数品牌Android手机出厂时都内置了安全软件,恶意应用一般会被安全软件自动拦截。不过,为了能绕过安全软件,不少做推送的厂商都跟国内外安全厂商接洽,以避免其应用被安全软件自动拦截。如果这类软件没有特别过分的行为,一般安全厂商往往会设置相应的规则,允许这类软件默认获取用户的设备信息等后台行为。据搜狐科技了解,这样的做法在十年前的PC互联网时代曾经很普遍,当时国内外不少安全软件厂商的产品,曾对占据用户桌面、浏览器及任务栏中的流氓软件不闻不问。
唐威表示,对于个人消费者而言,使用安全性更高的密码并定期更新;谨慎使用社交应用,不点击朋友圈里的不明网络链接;从官方网站下载APP应用;不随意连接公共场所的无线网络等措施,可以在一定程度上保证自己的信息安全。不过,这些措施也不是万能的,企业及用户从根源上树立必要的安全意识才是最重要的。