行業(yè)動態(tài)

3.15首設安全實驗室應對信息安全:網安再成“社會性話題”

來源:聚銘網絡    發(fā)布時間:2022-03-16    瀏覽次數(shù):
 

信息來源:Freebuf


又是一年一度的3·15晚會。本屆3·15晚會以“公平守正,安心消費”為主題,讓我們一起看今年央視如何實錘不安全。

隨著互聯(lián)網逐漸滲透至生活的方方面面,網絡安全問題也成為了3·15晚會???,尤其是近幾年,網絡安全所占的比重越來越大,那些隱藏在互聯(lián)網偽裝下的違法、違規(guī)行為,赤裸裸地出現(xiàn)在觀眾的眼前。

在2022年3·15晚會上,網絡安全問題依舊是重頭戲,涉及“直播誘導刷禮物”、“人為操縱評價、口碑”,“瀏覽網頁就能泄露手機號”,“電腦APP安裝亂象”等多個網絡安全相關案例。

值得一提的是,本次3·15晚會首次設立了信息安全實驗室,并測試了兩款產品,分別是“免費WiFi”和“兒童智能手表”,揭露了以免費之名行誘導下載之事的五花八門的“免費WiFi”APP;也披露了鏈家“兒童手表”不安全的地方和原因,期望能夠引起家長和廠家的重視。

正如3·15晚會總導演所說,“3·15晚會不是為了打擊誰,而是給一些廠家一個善意的提醒。你在做好產品的同時,別忘了你的軟件背后的安全也很重要。信息安全在萬物互聯(lián)時代,比產品本身更重要,這是我們給大家的一個提醒。”

網絡安全違法、違規(guī)何其多

2022年的3·15晚會向用戶展示了一大波網絡安全違法、違規(guī)的操作,尤其是各種互聯(lián)網技術手段的加持,讓這些違法、違規(guī)操作變的更加隱蔽且危害巨大。

1、人為操縱口碑

央視3·15晚會曝光網絡水軍刷評問題:靠口碑機構偽造、篡改標題評論、左右搜索結果等行為,點名了牛推等多家企業(yè)。而所謂的口碑不過是一場人為的作秀,也正應了那句老話:我們所看到的答案,都是那些不良企業(yè)想讓你看到的。

這些企業(yè)手中掌握著大量的素人賬號,所有的問題全部都是提前策劃好,再利用這些賬號自問自答,偽裝成用戶的真是反饋,從而提高企業(yè)的口碑和評價,誘導用戶選擇。更有甚者還可以做到傳說中的“萬詞霸屏”,企業(yè)關鍵詞高達十幾萬個,無論用戶搜索什么顯示出來的都是某企業(yè)或某產品,讓人避無可避。

而針對一些負面評價,某些公司利用所謂的技術手段直接刪帖,用戶點擊進去后顯示“404”頁面,或者是篡改原有的標題,千方百計掩蓋其負面消息。

2、瀏覽網頁就會泄露手機號

只要瀏覽了網頁,你的手機號碼就會被泄露出去,并被企業(yè)打包賣給其他公司進行電話推銷,這樣的經歷讓人不寒而栗。推銷電話、騷擾電話、大數(shù)據的精準推送等現(xiàn)象屢屢發(fā)生,互聯(lián)網營銷的精準不能建立在非法獲取、加工、買賣個人信息上。

本屆3·15晚會曝光了多家企業(yè)抓取網上數(shù)據。根據杭州以漁公司總經理介紹,用戶只要瀏覽網站,即使沒有留下電話信息,也可以給用戶打電話。通過收集手機上的MAC碼,即識別碼,便可以精準匹配對應手機。

同時還有一些公司專門為推銷電話做偽裝。比如被曝光的融營通信公司,就專門為一些電銷公司搭建外呼系統(tǒng)、提供外呼線路。通過融營通信外呼系統(tǒng)撥打騷擾電話,可以隱藏真正的主叫號碼,防止被投訴。上市企業(yè)容聯(lián)云通訊旗下子公司容聯(lián)七陌則為騷擾電話推出了另一種技術,來應對用戶的投訴和監(jiān)管。

3、電腦APP“高速下載”一拖六

用戶在下載安裝軟件時,可能會去一些專門的軟件網站下載,下載完成后電腦上卻多了很多垃圾軟件,莫名其妙出現(xiàn)一些彈窗廣告,甚至電腦變得有些卡頓。而這些軟件和彈窗廣告的出現(xiàn),就是電腦APP“高速下載”搞的鬼。

在調查采訪中,記者發(fā)現(xiàn)PC6下載站、桔梗下載站、騰牛網、ZOL軟件下載等平臺均涉嫌利用“高速下載”的噱頭捆綁下載,而它們所使用的“高速下載”均是由百助公司提供。它們都有一個綠色的、很顯眼的高速下載選擇,下面還有一行小字提示:提速50%,需下載高速下載器。

百助公司銷售部業(yè)務經理卻告訴記者,這個所謂的高速下載只是一個噱頭,跟普通的軟件下載沒有任何區(qū)別,為的是誘導用戶通過百助下載器下載軟件。

因此,當選擇了“高速下載”后,用戶選擇的是安裝更多的捆綁軟件,有時候用戶即使將所有默認勾選取消掉,關閉下載器,有時也會有彈窗廣告像牛皮癬一樣不時出現(xiàn)在電腦右下角,如果用戶習慣性地點擊右上角試圖關閉廣告,就很可能會被偷偷的靜默安裝其它軟件。

3·15晚會曝光的百助公司不過是其中的一個案例,事實上許多下載網站都在使用這一套路,堂而皇之往用戶電腦上塞垃圾軟件和廣告。

首設信息安全實驗室

和往年不同的是,2022年3·15晚會首次設立了信息安全實驗室,針對消費者日常生活中那些容易忽視的信息安全隱患,進行專業(yè)測試,及時發(fā)出風險預警。 首先測試的兩款產品分別是“免費WiFi”和“兒童智能手表”,測試的形式也直觀展示了,“免費WiFi”的大陷阱和“兒童智能手表”存在的巨大安全隱患。

1、免費WiFi不免費

應用市場上,打著提供“免費WiFi連接”服務的應用程序比比皆是,但真正為用戶提供服務的卻沒有多少。因此,“免費wifi”成了信息安全實驗室的第一件測試品。

在測試過程中,測試人員嘗試了所有號稱免費的WiFi資源,沒有一個能連上。但連接測試結束后,兩個陌生的應用程序自動下載到手機里。測試人員發(fā)現(xiàn),連接時點擊過的“確認”和“打開”字樣的彈窗,都是偽裝的廣告鏈接。

一旦用戶被誘導點擊,沒有任何提示,廣告鏈接中的應用程序就會自動安裝到手機里。最終,用戶想要的免費WiFi沒用上,手機里卻多了一堆莫名其妙的應用程序。

工程師進一步測試發(fā)現(xiàn),這類免費WiFi的應用程序還在后臺大量收集用戶信息。比如,一款叫“雷達WiFi”的應用程序,一天之內收集測試手機的位置信息,竟然高達67899次。這意味著,用戶從早到晚、包括睡覺,這些應用程序都在不斷定位,用戶的生活軌跡、行蹤,甚至是職業(yè)、喜好都會被曝光。更可怕的是,多了這些應用程序后,手機間歇性抽瘋,各種廣告自動彈出,不看夠5秒還關不上,用戶躲也躲不掉。

一些不法分子還不斷翻新網絡欺詐的手法、套路,甚至將人工智能機器學習、大數(shù)據挖掘等新技術應用都在違法違規(guī)的行為上,使其更加的智能化、低成本化、隱蔽化。

2、兒童手表安全隱患多

兒童智能手表是信息安全實驗室測試的第二款產品。

當下,給孩子買一塊兒童智能已經越來越普遍,隨時可以聯(lián)系孩子,掌握孩子的行蹤也讓很多家長放心,但是市面上的很多兒童手表都存在嚴重的安全漏洞,存在巨大的安全隱患。

測試人員挑選了一款在電商平臺上賣的十分火爆的兒童智能手表進行測試。當小朋友掃描了一個偽裝成抽獎游戲的惡意軟件二維碼后,這款兒童智能手表就被輕松攻破,測試人員可以遠程控制該手表。

比如竊取手表中的通訊錄、通話記錄等重要信息;實時定位手表的位置,通過多次采集到的位置信息還可以推斷小朋友家和學校的位置,獲取其活動范圍;還可以調用手表的相機、麥克風等各種權限,時時刻刻偷窺著孩子和其家庭的一舉一動。

測試人員發(fā)現(xiàn)根本原因就在于這款智能手表的操作系統(tǒng)過于老,使用的還是10年前的安卓4.4操作系統(tǒng),沒有任何權限管理要求,因此可以輕松攻破并調用各類權限,獲取孩子的各種隱私信息。

此外,測試人員還測試了其他的兒童智能手表,發(fā)現(xiàn)在安裝APP時會彈窗提示索要各種權限,一旦用戶拒絕那么APP就會閃退,不再提供任務服務。

在測試過程中,一個天氣APP竟然需要讀取照片、撥打電話、查看通訊錄等多種權限,完全超過了該APP的必要權限,而當測試工程師點擊拒絕后,這個APP馬上就閃退了。此時消費者只有兩種選擇,要么提供權限,要么不再使用。

而一旦用戶把權限交出去,手表里的信息也就交出去了,孩子的地理位置、圖片視頻、通話錄音等隱私將會被收集,孩子的安全隱患可想而知。

國家持續(xù)治理信息安全亂象

針對網絡領域和數(shù)字經濟的新型侵權行為,各級政府也在不斷完善治理體系,提高治理能力現(xiàn)代化水平,改進監(jiān)督技術和手段,把監(jiān)管和治理貫穿全過程。

中央網信辦深入開展2021年“清朗”專項行動,指導主要網站平臺取消各種明星榜單以及相關超話社區(qū)榜單,有效遏制因榜單排名而滋生的應援打榜、刷量投票、數(shù)據造假等亂象。重點整治飯圈亂象,在主要網站平臺解除多個網絡名人賬號和虛假粉絲關注關系,嚴肅處置各類惡意營銷賬號,有力打擊了互聯(lián)網用戶賬號違法違規(guī)行為。

2021年工業(yè)和信息化部重點聚焦違規(guī)調用手機權限,超范圍收集個人信息等問題,整治手機APP開屏彈窗關不掉,亂跳轉現(xiàn)象。開展了12批次APP技術抽檢,通報了1549款違規(guī)APP,下降514款拒不整改的APP,大力推進APP專項整治工作。

國家市場監(jiān)督管理總局部署開展2021年“網劍行動”,各地督促平臺刪除違法商品信息113.4萬條,責令停止平臺服務的網店2.5萬個次,查處涉網案件2.2萬件,著力解決網絡消費痛點難點問題,有效保護消費者知情權和選擇權。

督促平臺刪除違法商品信息113萬余條,責令停止平臺服務的網店2.5萬個次,查處涉網案件2.2萬件,著力解決網絡交易痛點難點問題。

當下,用戶的隱私被各種技術手段肆無忌憚的抓取,并被濫用至電話推銷中,給用戶帶來了無休止的電話騷擾。而在黑科技的加持下,我們看到騷擾電話組成了一條黑色產業(yè)鏈,讓你我變成了沒有隱私的透明人。

互聯(lián)網營銷更加精準,更加高效,但這并不能夠建立在隨意收集、違法獲取、過度使用、非法侵害個人信息權益的基礎上,置身互聯(lián)互通的網絡時代,個人信息的采集與記錄十分普遍,這為拓展網絡應用提供了條件,但同時也為個人信息安全提出了更高要求。

2021年的11月1號,個人信息保護法正式實行,明確了任何組織個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣提供或者公開他人個人信息,只有把法制的籬笆扎緊扎牢,才能徹底斬斷騷擾電話的利益鏈條。


 
 

上一篇:2022年3月15日聚銘安全速遞

下一篇:2022年3月16日聚銘安全速遞