多款安卓软件曝隐私漏洞 手机管理安全标准待出
就在CSDN泄密还未平息之时,豌豆荚等多款安卓手机管理软件也曝出安全漏洞。在公共WiFi环境下,安卓手机用户可能会被处于同一网络的攻击者盗取所有个人隐私信息,这也是目前为止国内最严重的智能手机安全风险。有关专家倡议,应未雨绸缪,尽快构建手机管理安全标准,以保护移动互联网时代的隐私安全。
消费者
对手机安全观念淡薄
随着移动互联网的快速发展,手机管理软件几乎已经成为智能手机的必备工具。它主要是方便智能手机与电脑之间的内容同步。用户通过该软件,可在电脑中直接管理手机中的通讯录、短信、照片、视频、音乐等个人信息,也可以直接为手机安装应用程序和游戏等。
但记者在调查中发现,诸多的用户在使用手机管理软件时,并没有什么安全观念。记者在东单、西单等区域随机走访了一些智能手机使用者。他们大都认为自己的手机管理软件相对安全,并没有什么风险。“我只是在手机管理软件上下载一些小程序,应该不会有什么安全风险吧。”在新东安商场购物的郑小姐告诉记者。
金山网络安全专家李铁军告诉记者,手机管理这类软件主要通过FTP(文件传输协议)服务来管理手机文件,但如果技术实现存在漏洞,就会导致在同一网络下的计算设备均能登录FTP访问该手机。比如在咖啡馆、商务办公场所、机场等公共WiFi网络环境中,攻击者不经允许就可以恶意访问、上传、下载或篡改、删除手机信息,包括手机内存、存储卡中的照片、短信、聊天记录、电话录音、视频以及其他文档等个人隐私。
最新数据显示,截至今年三季度,国内网民拥有的安卓手机总量约2500万台,超过苹果iPhone,成为最大的国内智能手机平台。此外,由于安卓平台开源开放、价格较低,安卓手机正处于高速爆发的时期。因此该WiFi漏洞可能影响上千万安卓用户,是目前为止国内最严重的智能手机安全风险。
3款安卓手机
管理软件存漏洞
由于影响较大,该风险引发了安全机构的极大重视。金山安全中心对此进行了专门的技术分析,并发布了研究报告。该报告显示,在360手机精灵、豌豆荚、腾讯手机助手这3款覆盖了80%安卓手机的管理软件中,360手机精灵带给手机用户的安全威胁最大。
据分析,360手机精灵也是通过FTP服务来管理手机文件的,但是它的FTP用户名、密码是没有经过加密的,明文保存在程序配置文件中,该密码固定不变。而且,该FTP的登录也并未限制客户端,这就意味着,除了用户自己连线的电脑外,其他电脑或者手机也可登录该FTP访问该手机。此外,360手机精灵目前通过360安全卫士捆绑推广,用户的电脑和手机在没有得到明确提示的情况下被静默安装,并默认开机自启动。
另外,与360手机精灵相比,腾讯应用助手虽然也存在安全风险,但腾讯应用助手不使用固定的访问用户名、密码和端口号,也不使用FTP协议,有动态验证,因此风险较小。
记者发现,目前,这3款软件在发现漏洞之后均进行了升级。但有专家分析发现,即使升级之后,新解决方案仍然存在较大的安全风险。像豌豆荚升级后关闭了在WiFi环境下管理手机文件的功能来避免漏洞的风险,但豌豆荚使用的WiFi连接验证码是固定的,仍然存在一定风险。
手机管理安全标准
提上日程
专业机构LookOut的调查显示,97%的手机用户认为,个人隐私最重要。尤其使用智能手机,其中得到的个人隐私信息更多。如果泄露,随时会给个人生活带来非常大的麻烦,甚至引发“艳照门”、敲诈门等更大的安全风险。
随着公众对隐私权的担忧,制定相关的法律法规也被提上议事日程。记者通过查阅发现,目前只有《互联网终端软件服务行业自律公约》对个人信息做了初步界定,但属于行业自律规范,不具有法律约束力。据悉,工信部正在制定《信息安全技术信息系统个人信息保护指南》。这个属于个人信息保护的国家标准,仍在制定之中。
国内杀毒厂商网秦的相关负责人表示,对于拥有永远在线、身份识别、位置和电子支付能力的智能手机来说,它的安全性远比PC时代复杂和严重。因此尽快出台智能手机安全管理办法和标准已是大势所趋。
中国软件资讯网相关负责人陈礼明表示,手机管理软件确实为广大智能手机用户带来了极大的便利,使得用户可以通过电脑便利地管理手机信息,但是,便利性不能以牺牲用户数据安全为代价。“除立法外,手机管理软件厂商应建立技术交流机制,共同构建相关技术标准,推动中国移动互联网健康发展。”
商报记者 金朝力/文
链接
用户数据泄露后“亡羊补牢”
安全厂商发布密码安全鉴定器
本周,人气网站天涯社区被曝出用户数据库遭黑客公开,涉及的用户量据称有4000万之多。对此,天涯方面回应,此次被盗的数据为2009年之前的备份数据,但尚未确认具体的泄露数据及原因。
记者了解到,针对越来越严重的密码泄密事件,金山网络等安全厂商已经发布一级红色安全预警,提醒网民尽快修改密码。金山还紧急推出了密码是否泄露的快速查询服务,并在金山毒霸“百宝箱”中新增了鉴定用户密码安全性功能的“密码专家”。
12月21日,国内知名程序员网站CSDN的大量用户数据库被公布在互联网上,600多万个明文的注册邮箱和密码被曝光。12月22日,泄密事件继续扩大,更多网站卷入其中,网上曝出人人网、天涯、多玩等多家知名网站的用户数据也被泄露。
据悉,该事件为近年来规模最大的互联网泄密事件,大众网民连夜修改网上账户和密码。由于牵涉网站众多,且很多网民在多个网站均使用相同的账号和密码,虽然修改了部分账号与密码,但心里仍然不能确定自己隐私是否安全。
大量用户数据被公开后,分析发现,国内网民的密码安全意识十分薄弱。CSDN高达640万个账户信息被曝光后,有人对此进行统计,结果显示,有 239万人的密码和别人存在重复。在所有密码中, “123456789”使用率最高,有23.5万人在使用;其次为“12345678”有21万多人使用。
记者了解到,目前,国内杀毒厂商也开始提供相关服务。金山毒霸就应急推出了“金山密码专家”。它不仅能鉴定密码的强度,还能根据用户输入密码实时推荐强度较高的“优化密码”,且针对用户高频使用的密码或已被网络曝光的弱密码,它会给予用户警告。