行業(yè)動(dòng)態(tài)

3.15首設(shè)安全實(shí)驗(yàn)室應(yīng)對(duì)信息安全:網(wǎng)安再成“社會(huì)性話題”

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-03-16    瀏覽次數(shù):
 

信息來(lái)源:Freebuf


又是一年一度的3·15晚會(huì)。本屆3·15晚會(huì)以“公平守正,安心消費(fèi)”為主題,讓我們一起看今年央視如何實(shí)錘不安全。

隨著互聯(lián)網(wǎng)逐漸滲透至生活的方方面面,網(wǎng)絡(luò)安全問(wèn)題也成為了3·15晚會(huì)???,尤其是近幾年,網(wǎng)絡(luò)安全所占的比重越來(lái)越大,那些隱藏在互聯(lián)網(wǎng)偽裝下的違法、違規(guī)行為,赤裸裸地出現(xiàn)在觀眾的眼前。

在2022年3·15晚會(huì)上,網(wǎng)絡(luò)安全問(wèn)題依舊是重頭戲,涉及“直播誘導(dǎo)刷禮物”、“人為操縱評(píng)價(jià)、口碑”,“瀏覽網(wǎng)頁(yè)就能泄露手機(jī)號(hào)”,“電腦APP安裝亂象”等多個(gè)網(wǎng)絡(luò)安全相關(guān)案例。

值得一提的是,本次3·15晚會(huì)首次設(shè)立了信息安全實(shí)驗(yàn)室,并測(cè)試了兩款產(chǎn)品,分別是“免費(fèi)WiFi”和“兒童智能手表”,揭露了以免費(fèi)之名行誘導(dǎo)下載之事的五花八門(mén)的“免費(fèi)WiFi”APP;也披露了鏈家“兒童手表”不安全的地方和原因,期望能夠引起家長(zhǎng)和廠家的重視。

正如3·15晚會(huì)總導(dǎo)演所說(shuō),“3·15晚會(huì)不是為了打擊誰(shuí),而是給一些廠家一個(gè)善意的提醒。你在做好產(chǎn)品的同時(shí),別忘了你的軟件背后的安全也很重要。信息安全在萬(wàn)物互聯(lián)時(shí)代,比產(chǎn)品本身更重要,這是我們給大家的一個(gè)提醒?!?

網(wǎng)絡(luò)安全違法、違規(guī)何其多

2022年的3·15晚會(huì)向用戶展示了一大波網(wǎng)絡(luò)安全違法、違規(guī)的操作,尤其是各種互聯(lián)網(wǎng)技術(shù)手段的加持,讓這些違法、違規(guī)操作變的更加隱蔽且危害巨大。

1、人為操縱口碑

央視3·15晚會(huì)曝光網(wǎng)絡(luò)水軍刷評(píng)問(wèn)題:靠口碑機(jī)構(gòu)偽造、篡改標(biāo)題評(píng)論、左右搜索結(jié)果等行為,點(diǎn)名了牛推等多家企業(yè)。而所謂的口碑不過(guò)是一場(chǎng)人為的作秀,也正應(yīng)了那句老話:我們所看到的答案,都是那些不良企業(yè)想讓你看到的。

這些企業(yè)手中掌握著大量的素人賬號(hào),所有的問(wèn)題全部都是提前策劃好,再利用這些賬號(hào)自問(wèn)自答,偽裝成用戶的真是反饋,從而提高企業(yè)的口碑和評(píng)價(jià),誘導(dǎo)用戶選擇。更有甚者還可以做到傳說(shuō)中的“萬(wàn)詞霸屏”,企業(yè)關(guān)鍵詞高達(dá)十幾萬(wàn)個(gè),無(wú)論用戶搜索什么顯示出來(lái)的都是某企業(yè)或某產(chǎn)品,讓人避無(wú)可避。

而針對(duì)一些負(fù)面評(píng)價(jià),某些公司利用所謂的技術(shù)手段直接刪帖,用戶點(diǎn)擊進(jìn)去后顯示“404”頁(yè)面,或者是篡改原有的標(biāo)題,千方百計(jì)掩蓋其負(fù)面消息。

2、瀏覽網(wǎng)頁(yè)就會(huì)泄露手機(jī)號(hào)

只要瀏覽了網(wǎng)頁(yè),你的手機(jī)號(hào)碼就會(huì)被泄露出去,并被企業(yè)打包賣給其他公司進(jìn)行電話推銷,這樣的經(jīng)歷讓人不寒而栗。推銷電話、騷擾電話、大數(shù)據(jù)的精準(zhǔn)推送等現(xiàn)象屢屢發(fā)生,互聯(lián)網(wǎng)營(yíng)銷的精準(zhǔn)不能建立在非法獲取、加工、買(mǎi)賣個(gè)人信息上。

本屆3·15晚會(huì)曝光了多家企業(yè)抓取網(wǎng)上數(shù)據(jù)。根據(jù)杭州以漁公司總經(jīng)理介紹,用戶只要瀏覽網(wǎng)站,即使沒(méi)有留下電話信息,也可以給用戶打電話。通過(guò)收集手機(jī)上的MAC碼,即識(shí)別碼,便可以精準(zhǔn)匹配對(duì)應(yīng)手機(jī)。

同時(shí)還有一些公司專門(mén)為推銷電話做偽裝。比如被曝光的融營(yíng)通信公司,就專門(mén)為一些電銷公司搭建外呼系統(tǒng)、提供外呼線路。通過(guò)融營(yíng)通信外呼系統(tǒng)撥打騷擾電話,可以隱藏真正的主叫號(hào)碼,防止被投訴。上市企業(yè)容聯(lián)云通訊旗下子公司容聯(lián)七陌則為騷擾電話推出了另一種技術(shù),來(lái)應(yīng)對(duì)用戶的投訴和監(jiān)管。

3、電腦APP“高速下載”一拖六

用戶在下載安裝軟件時(shí),可能會(huì)去一些專門(mén)的軟件網(wǎng)站下載,下載完成后電腦上卻多了很多垃圾軟件,莫名其妙出現(xiàn)一些彈窗廣告,甚至電腦變得有些卡頓。而這些軟件和彈窗廣告的出現(xiàn),就是電腦APP“高速下載”搞的鬼。

在調(diào)查采訪中,記者發(fā)現(xiàn)PC6下載站、桔梗下載站、騰牛網(wǎng)、ZOL軟件下載等平臺(tái)均涉嫌利用“高速下載”的噱頭捆綁下載,而它們所使用的“高速下載”均是由百助公司提供。它們都有一個(gè)綠色的、很顯眼的高速下載選擇,下面還有一行小字提示:提速50%,需下載高速下載器。

百助公司銷售部業(yè)務(wù)經(jīng)理卻告訴記者,這個(gè)所謂的高速下載只是一個(gè)噱頭,跟普通的軟件下載沒(méi)有任何區(qū)別,為的是誘導(dǎo)用戶通過(guò)百助下載器下載軟件。

因此,當(dāng)選擇了“高速下載”后,用戶選擇的是安裝更多的捆綁軟件,有時(shí)候用戶即使將所有默認(rèn)勾選取消掉,關(guān)閉下載器,有時(shí)也會(huì)有彈窗廣告像牛皮癬一樣不時(shí)出現(xiàn)在電腦右下角,如果用戶習(xí)慣性地點(diǎn)擊右上角試圖關(guān)閉廣告,就很可能會(huì)被偷偷的靜默安裝其它軟件。

3·15晚會(huì)曝光的百助公司不過(guò)是其中的一個(gè)案例,事實(shí)上許多下載網(wǎng)站都在使用這一套路,堂而皇之往用戶電腦上塞垃圾軟件和廣告。

首設(shè)信息安全實(shí)驗(yàn)室

和往年不同的是,2022年3·15晚會(huì)首次設(shè)立了信息安全實(shí)驗(yàn)室,針對(duì)消費(fèi)者日常生活中那些容易忽視的信息安全隱患,進(jìn)行專業(yè)測(cè)試,及時(shí)發(fā)出風(fēng)險(xiǎn)預(yù)警。 首先測(cè)試的兩款產(chǎn)品分別是“免費(fèi)WiFi”和“兒童智能手表”,測(cè)試的形式也直觀展示了,“免費(fèi)WiFi”的大陷阱和“兒童智能手表”存在的巨大安全隱患。

1、免費(fèi)WiFi不免費(fèi)

應(yīng)用市場(chǎng)上,打著提供“免費(fèi)WiFi連接”服務(wù)的應(yīng)用程序比比皆是,但真正為用戶提供服務(wù)的卻沒(méi)有多少。因此,“免費(fèi)wifi”成了信息安全實(shí)驗(yàn)室的第一件測(cè)試品。

在測(cè)試過(guò)程中,測(cè)試人員嘗試了所有號(hào)稱免費(fèi)的WiFi資源,沒(méi)有一個(gè)能連上。但連接測(cè)試結(jié)束后,兩個(gè)陌生的應(yīng)用程序自動(dòng)下載到手機(jī)里。測(cè)試人員發(fā)現(xiàn),連接時(shí)點(diǎn)擊過(guò)的“確認(rèn)”和“打開(kāi)”字樣的彈窗,都是偽裝的廣告鏈接。

一旦用戶被誘導(dǎo)點(diǎn)擊,沒(méi)有任何提示,廣告鏈接中的應(yīng)用程序就會(huì)自動(dòng)安裝到手機(jī)里。最終,用戶想要的免費(fèi)WiFi沒(méi)用上,手機(jī)里卻多了一堆莫名其妙的應(yīng)用程序。

工程師進(jìn)一步測(cè)試發(fā)現(xiàn),這類免費(fèi)WiFi的應(yīng)用程序還在后臺(tái)大量收集用戶信息。比如,一款叫“雷達(dá)WiFi”的應(yīng)用程序,一天之內(nèi)收集測(cè)試手機(jī)的位置信息,竟然高達(dá)67899次。這意味著,用戶從早到晚、包括睡覺(jué),這些應(yīng)用程序都在不斷定位,用戶的生活軌跡、行蹤,甚至是職業(yè)、喜好都會(huì)被曝光。更可怕的是,多了這些應(yīng)用程序后,手機(jī)間歇性抽瘋,各種廣告自動(dòng)彈出,不看夠5秒還關(guān)不上,用戶躲也躲不掉。

一些不法分子還不斷翻新網(wǎng)絡(luò)欺詐的手法、套路,甚至將人工智能機(jī)器學(xué)習(xí)、大數(shù)據(jù)挖掘等新技術(shù)應(yīng)用都在違法違規(guī)的行為上,使其更加的智能化、低成本化、隱蔽化。

2、兒童手表安全隱患多

兒童智能手表是信息安全實(shí)驗(yàn)室測(cè)試的第二款產(chǎn)品。

當(dāng)下,給孩子買(mǎi)一塊兒童智能已經(jīng)越來(lái)越普遍,隨時(shí)可以聯(lián)系孩子,掌握孩子的行蹤也讓很多家長(zhǎng)放心,但是市面上的很多兒童手表都存在嚴(yán)重的安全漏洞,存在巨大的安全隱患。

測(cè)試人員挑選了一款在電商平臺(tái)上賣的十分火爆的兒童智能手表進(jìn)行測(cè)試。當(dāng)小朋友掃描了一個(gè)偽裝成抽獎(jiǎng)游戲的惡意軟件二維碼后,這款兒童智能手表就被輕松攻破,測(cè)試人員可以遠(yuǎn)程控制該手表。

比如竊取手表中的通訊錄、通話記錄等重要信息;實(shí)時(shí)定位手表的位置,通過(guò)多次采集到的位置信息還可以推斷小朋友家和學(xué)校的位置,獲取其活動(dòng)范圍;還可以調(diào)用手表的相機(jī)、麥克風(fēng)等各種權(quán)限,時(shí)時(shí)刻刻偷窺著孩子和其家庭的一舉一動(dòng)。

測(cè)試人員發(fā)現(xiàn)根本原因就在于這款智能手表的操作系統(tǒng)過(guò)于老,使用的還是10年前的安卓4.4操作系統(tǒng),沒(méi)有任何權(quán)限管理要求,因此可以輕松攻破并調(diào)用各類權(quán)限,獲取孩子的各種隱私信息。

此外,測(cè)試人員還測(cè)試了其他的兒童智能手表,發(fā)現(xiàn)在安裝APP時(shí)會(huì)彈窗提示索要各種權(quán)限,一旦用戶拒絕那么APP就會(huì)閃退,不再提供任務(wù)服務(wù)。

在測(cè)試過(guò)程中,一個(gè)天氣APP竟然需要讀取照片、撥打電話、查看通訊錄等多種權(quán)限,完全超過(guò)了該APP的必要權(quán)限,而當(dāng)測(cè)試工程師點(diǎn)擊拒絕后,這個(gè)APP馬上就閃退了。此時(shí)消費(fèi)者只有兩種選擇,要么提供權(quán)限,要么不再使用。

而一旦用戶把權(quán)限交出去,手表里的信息也就交出去了,孩子的地理位置、圖片視頻、通話錄音等隱私將會(huì)被收集,孩子的安全隱患可想而知。

國(guó)家持續(xù)治理信息安全亂象

針對(duì)網(wǎng)絡(luò)領(lǐng)域和數(shù)字經(jīng)濟(jì)的新型侵權(quán)行為,各級(jí)政府也在不斷完善治理體系,提高治理能力現(xiàn)代化水平,改進(jìn)監(jiān)督技術(shù)和手段,把監(jiān)管和治理貫穿全過(guò)程。

中央網(wǎng)信辦深入開(kāi)展2021年“清朗”專項(xiàng)行動(dòng),指導(dǎo)主要網(wǎng)站平臺(tái)取消各種明星榜單以及相關(guān)超話社區(qū)榜單,有效遏制因榜單排名而滋生的應(yīng)援打榜、刷量投票、數(shù)據(jù)造假等亂象。重點(diǎn)整治飯圈亂象,在主要網(wǎng)站平臺(tái)解除多個(gè)網(wǎng)絡(luò)名人賬號(hào)和虛假粉絲關(guān)注關(guān)系,嚴(yán)肅處置各類惡意營(yíng)銷賬號(hào),有力打擊了互聯(lián)網(wǎng)用戶賬號(hào)違法違規(guī)行為。

2021年工業(yè)和信息化部重點(diǎn)聚焦違規(guī)調(diào)用手機(jī)權(quán)限,超范圍收集個(gè)人信息等問(wèn)題,整治手機(jī)APP開(kāi)屏彈窗關(guān)不掉,亂跳轉(zhuǎn)現(xiàn)象。開(kāi)展了12批次APP技術(shù)抽檢,通報(bào)了1549款違規(guī)APP,下降514款拒不整改的APP,大力推進(jìn)APP專項(xiàng)整治工作。

國(guó)家市場(chǎng)監(jiān)督管理總局部署開(kāi)展2021年“網(wǎng)劍行動(dòng)”,各地督促平臺(tái)刪除違法商品信息113.4萬(wàn)條,責(zé)令停止平臺(tái)服務(wù)的網(wǎng)店2.5萬(wàn)個(gè)次,查處涉網(wǎng)案件2.2萬(wàn)件,著力解決網(wǎng)絡(luò)消費(fèi)痛點(diǎn)難點(diǎn)問(wèn)題,有效保護(hù)消費(fèi)者知情權(quán)和選擇權(quán)。

督促平臺(tái)刪除違法商品信息113萬(wàn)余條,責(zé)令停止平臺(tái)服務(wù)的網(wǎng)店2.5萬(wàn)個(gè)次,查處涉網(wǎng)案件2.2萬(wàn)件,著力解決網(wǎng)絡(luò)交易痛點(diǎn)難點(diǎn)問(wèn)題。

當(dāng)下,用戶的隱私被各種技術(shù)手段肆無(wú)忌憚的抓取,并被濫用至電話推銷中,給用戶帶來(lái)了無(wú)休止的電話騷擾。而在黑科技的加持下,我們看到騷擾電話組成了一條黑色產(chǎn)業(yè)鏈,讓你我變成了沒(méi)有隱私的透明人。

互聯(lián)網(wǎng)營(yíng)銷更加精準(zhǔn),更加高效,但這并不能夠建立在隨意收集、違法獲取、過(guò)度使用、非法侵害個(gè)人信息權(quán)益的基礎(chǔ)上,置身互聯(lián)互通的網(wǎng)絡(luò)時(shí)代,個(gè)人信息的采集與記錄十分普遍,這為拓展網(wǎng)絡(luò)應(yīng)用提供了條件,但同時(shí)也為個(gè)人信息安全提出了更高要求。

2021年的11月1號(hào),個(gè)人信息保護(hù)法正式實(shí)行,明確了任何組織個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買(mǎi)賣提供或者公開(kāi)他人個(gè)人信息,只有把法制的籬笆扎緊扎牢,才能徹底斬?cái)囹}擾電話的利益鏈條。


 
 

上一篇:2022年3月15日聚銘安全速遞

下一篇:2022年3月16日聚銘安全速遞