盘点 | 3 .15上那些骇人听闻的隐私泄露事件
315刚刚过去,我们的生活更安全了吗?个人隐私数据近年来大爆炸,国内外有关隐私泄露的新闻也从未停过,在我们的生活里到底有哪些威胁到我们隐私安全的东西呢?315报道让你看到一个更真实的生活。
可以精确定位你的Wifi探针
每年我们总能看到各种隐私泄露的新闻,泄露数据量之大往往令人触目惊心,动辄上亿级别的翔实个人信息,究竟是通过什么渠道被黑产薅到的呢?这里就要提到Wifi探针了。
声牙科技研发了一款名为 WiFi 探针盒子的产品,该产品被广泛安装在大型商场、车站、超市、便利店、写字楼等人流量巨大的公共场所。当用户手机 WiFi 处于打开状态时,会向周围发出寻找 WiFi 网络的信号,探针盒子发现这个信号后,就能迅速识别出用户手机的 MAC 地址,转换成 IMEI 号,再转换成手机号码。
Wifi探针这种对用户手机进行入侵的技术,依赖的是wifi无线网络的连接,它首先把自己伪装成一个给用户提供wifi无线上网的AP,之后只要用户手机上打开了wifi功能,并且开启了自动扫描加入附近无线AP的选项(很多手机默认是开启的),即可实现与用户手机配对获得用户手机唯一标识信息 - MAC地址。
央视曝光探针盒子的一种,图中红圈的黑色盒子,尺寸不大一般人不会注意
其实wifi探针这个技术漏洞,早在2012年的时候已经被一些网络技术大咖提出来了,之后历经了几年的完善技术被国人吃透,在2015年的时候,它就已经在国内大范围投入使用。
iPhone上看到的自己手机的MAC地址
只要你的手机开启了wifi功能,事实上你手机的MAC地址就极有可能被暴露了。Wifi探针的危害性就在于,它不需要用户真正连接到该AP后才能获取用户的MAC地址,而是利用现有wifi协议的缺陷,只需要在你手机查找附近是否有无线网络的时候就已经泄露了。无论是安卓还是苹果,只要开着wifi功能,进入到这种由wifi探针盒子假扮的wifi网络信号范围内,你的手机MAC地址就已经被对方获取了,然后他们就通过后台的大数据进行匹配,因为你的手机MAC地址是唯一的,而很多时候,你使用任意一个手机App,在注册之时就需要你登记手机号获取验证码,同时自动获取你手机的IMEI码,这三者合在一起,你就已经被人精准定位了。
一年拨打40亿个骚扰电话的智能机器人
根据 3602018 年中国手机安全状况报告的数据统计,从骚扰电话拦截量来看,广告推销以 54.7% 的比例位居首位;其次为骚扰电话(25.2%)、房产中介(9.8%)、疑似欺诈(6.9%)、保险理财(1.7%)、响一声(1.0%)等。
为什么明令禁止的骚扰电话却屡禁不止呢?原来这背后有一条环环相扣的“高新科技”灰色产业链。
这个灰色行业里,利用智能机器人替代人工骚扰电话进行营销正成为大的趋势。据了解,人工骚扰电话一天最多也就能打 3、500 个,但现在用智能机器人一天可以打 1000 甚至 5000 个以上骚扰电话。“通过 AI 与呼叫中心技术,模拟真人与客户进行语音交互,能以更低的成本完成原来 8 至 10 倍的工作量,转化率和接通率与人工外呼也没什么差别。”
某企业云通信服务商介绍称,某国内大型房产开发商使用了他们的 AI 电话机器人后,同样 1000 通呼出量,每日运营成本从 500 多元下降到 30 多元,“更何况 AI 电话机器人工作稳定,无情绪波动,也不需要员工基本工资、提成、社保、场地费等。”
“闪付”可能让你卡里的钱变“闪没”
此前,新浪财经曾报道银联免密支付的安全漏洞,今年的央视3·15晚会再一次关注到这个问题。央视报道称,具有“闪付”功能的银行卡在消费的时候,不用输入密码不用签字,只需要将卡片靠近POS机就能迅速完成交易。
小额免密免签是中国银联为持卡人提供的一种小额快速支付服务。当持卡人使用具有“闪付”功能的金融IC卡或支持“银联手机闪付”的移动设备,在指定商户进行一定金额 (境内1000元人民币,境外以当地限额为准)及以下的交易时,只需将卡片或移动设备靠近POS机等受理终端的“闪付”感应区,即可完成支付。支付过程中,持卡人不会被要求输入密码,也无需签名。
而记者发现,大多银行在办理银行卡时,这一功能是默认开通的。这背后存在被盗刷的可能。
一些网络卖家利用其他产品信息作掩护,在网上可以购买到支持银联免密支付的POS机。记者将这种从网上购买的POS机与银行卡间隔5厘米,结果成功完成支付;记者将银行卡装入外套口袋,在不用接触卡片的情况下,结果也是成功完成支付;记者将带有闪付功能的银行卡放入包内口袋,同样也能轻松完成支付。根据警方建议,要想避免银行卡被盗刷,最好还是致电银行关闭免密支付功能,或是将1000元限额降低至300元,万一被盗刷可以减少损失。此外,很多第三方支付应用都可以开通免密支付功能,最好也将其关闭。
索取用户隐私的APP
3·15晚会曝光社保掌上通App,填写各种资料注册该App后,电脑远程就能截取到用户的几乎所有信息。
资料显示,社保掌上通是由杭州递金网络科技有限公司开发的一款提供社保查询的应用APP,主要为用户提供社保管理及衍生服务。 社保掌上通对外宣称用户已达2000万。
据专家现场表示,这个App在用户使用的时候,通过隐秘的隐私条款,获得了用户的授权,将用户的信息全部截取了。专家现场提醒,查社保、查违章、订票等,需要注意甄别,要使用官方出品的应用。
每年的3.15真可谓是“惊喜不断”,以上3.15关于信息安全的“爆料“,或许只是冰山一角。层出不穷的信息窃取事件,不断刷新着人们心里的底线。
信息安全意识不是形式、不是观念,而是行动和指南,更是底线和方向。希望大家更关注自己的信息安全,保护好个人隐私数据。看雪愿同大家一道为建设良好的信息安全环境而努力~
参考来源:
InfoQ
黑鸟
poppur
- End -
(晋级赛Q1正在火热进行中~!比赛时间:3.10-3.24)
热门文章阅读
公众号ID:ikanxue
官方微博:看雪安全
商务合作:wsc@kanxue.com