查看原文
其他

直击3·15晚会,网络信息安全成焦点!

看雪学苑 看雪学苑 2022-05-02

编辑:左右里

网络安全是信息化的底座,网络铺到哪里,网络安全就要覆盖到哪里。越来越多的人开始认识到网络安全的重要性,它与每个人都息息相关,因为我们无时无刻不在与它打交道,小到个人隐私泄漏,大到整个社会基础设施瘫痪。


今年的315晚会与以往有些不同,一方面我们发现曝光的违规乱象中,近半数与网络信息安全相关。另一方面,315晚会首设了315信息安全实验室,重点关注网络信息安全,如“骚扰电话”、“捆绑下载”背后的黑灰产,“免费”WiFi陷阱,低劣儿童智能手表的极大安全隐患等。



浏览网页就可泄漏手机号码


不少人都有过,浏览网页后就接到该行业骚扰电话的经历,挂断电话后不禁感叹,网络可真强大,自己随便看看,就能被这些广告推销电话精准打击,甚至很多时候接到的还是诈骗电话。很多人就纳闷:我们也没有填写自己的手机号码,我们的信息是如何泄露的呢?


315晚会暗访数家公司为我们解开了迷津:只要用户浏览网站,就算没有主动留下号码,也能通过用户手机的MAC号(手机识别码)拨通用户电话。拨打骚扰电话的公司使用的就是这种方式,而为其提供此服务的公司则会收取每条三元的费用。更有甚者,专门为电销团队搭建外呼系统,以隐藏其真正的主叫号码、防止用户投诉。这类公司年近亿的话费收入中,骚扰电话往往能占80%以上。



《中华人民共和国民法典》第六章 隐私权和个人信息保护 中有明确规定,除法律另有规定或者权利人明确同意外,任何组织或者个人不得以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰他人的私人生活安宁。


绝大多数提供此类服务的公司都明知自己是在协助违法行为,直言这行做不大也不能做大,“做得越大死得越惨”。



软件下载平台的捆绑下载乱象


想必下载一款自己需要的软件时捆绑下载各种奇怪软件的情景各位都不陌生,这种情景更多发生在用户在下载操作时,点击选择了资源下载站的“高速下载。一旦点击,即使用户将所有默认勾选都取消甚至关闭下载器,也无法阻止下载器静默安装其他软件。



315晚会记者暗访得知,绝大部分资源下载站所谓的“高速下载”,下载速度与普通下载没有任何区别,单纯只是为了诱导用户下载其下载器,以更多、更方便地捆绑下载软件,为其赚取广告费。从提供下载器的马鞍山百助网络科技有限公司的官网及其经理处得知,国内百分之八九十软件下载站使用的都是他们家的下载器,日触达用户2000万,年营收超过12亿元。


然而,《规范互联网信息服务市场秩序若干规定》中有明确指出,互联网信息服务提供者不得欺骗、误导或者强迫用户下载、安装、运行、升级、卸载软件。



免费WiFi暗藏陷阱



近期出现了不少免费WiFi的广告,手机应用市场上该类App比比皆是,真的能免费连接吗?其中有什么猫腻呢?


315信息安全实验室对20多款App展开测试发现,这些App所有罗列的WiFi资源没有一个能连接上。而且它们都有诱导用户下载其他应用程序的行为,它们会伪装下载链接,用户点击后没有任何提示就会将应用程序自动安装到手机中。事情还不止于此,工程师进一步测试发现,这类免费WiFi的应用程序还在后台大量收集用户信息。而且,手机里多了这些应用程序之后,开始出现大量弹窗广告,手机甚至还会间歇性抽风。



低劣儿童手表成“行走窃听器”



如今儿童智能手表几乎成了孩子们的“标配”,借助它,家长可以方便地与孩子沟通、掌握孩子行踪。现在的智能手表功能越来越强大,语音、视频、定位都不在话下,可是,智能手表真的安全吗?


315信息安全实验室发现,一款在淘宝上畅销十万+的儿童手表,用的竟然是距今快十年的老旧Android4.4版本,该Android版本会无限制地给应用程序其所索要的权限,这就意味着定位、通讯录、麦克风、摄像头等都在毫无保留地向恶意应用程序开放,一旦小孩不小心扫了恶意二维码下载应用程序,本意是保护孩子的儿童手表就成了不法分子的窃听器和偷窥器。


小编也在此提醒,在万物互联的时代,我们需要时刻谨记:信息安全比技术、产品本身更重要!


看雪智能硬件版主gjden认为:该安全问题是一种较为普遍且较为容易实现的安全攻击,不需利用到任何安全漏洞。目前除了各领域头部企业在不断改善其设备安全性外,仍然有非常大量的企业主动或者无意识地忽略其产品的信息安全建设。尤其集中在新切入市场的新兴企业以及绝大部分的创业公司,他们单纯只追求产品功能的完整性和稳定性,极少考虑其使用的嵌入式开源系统的安全性,也未曾想过自身产品的不安全可能导致的严重后果。


其实从技术原理上讲,手机端的很多标准要求放到智能终端上是完全适用的,但由于受到的关注不够,让这类智能终端在个人信息的保护上成为一个重灾区。对此问题,国家可以出台智能联网设备安全规范,将信息安全检测提升到与质量检测的同等重要的位置,严控不符合信息安全规范的产品流入市场。


写在后面:

网络安全就在我们身边,与我们息息相关。曝出的网络安全隐患往往只是冰山一角,还有更多隐藏在聚光灯之外的威胁,大家在日常生活中,一定要更加小心谨慎。





资讯来源:315晚会

转载请注明出处和本文链接



每日涨知识

黑产

网络黑产,指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为。例如非法数据交易行业。



推荐文章++++

Conti内部聊天记录暴露勒索软件团伙工作日常西方最大轮胎制造商普利司通遭勒索软件攻击,攻击者自称无政治立场俄罗斯拟将苹果、微软等59家撤出俄罗斯的西方企业收归国有Sodinokibi/REvil勒索软件团伙乌克兰成员被引渡美国受审微软三月补丁更新修复3个0day漏洞匿名者骇入俄罗斯流媒体平台播放俄乌战争画面继英伟达后,三星190GB机密数据遭同一黑客组织泄露








球分享

球点赞

球在看



戳“阅读原文”一起来充电吧!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存