最近,你还敢用手机吗?
问这个问题是因为,日前手机应用被爆出了一个大漏洞!!!
随手点击手机短信中的一条不明链接,自己的帐号就被不法分子克隆了,个人隐私甚至个人财产都可以在另一台手机上被“无感盗用”。而且整个过程只需一秒钟!
展开全文
这不是耸人听闻,昨日腾讯安全玄武实验室与知道创宇404实验室联合发布了这项研究结果,它们把这种手机漏洞称为——“应用克隆”。
还是不明白?让我们以支付宝为例:
在升级到最新安卓8.1.0的手机上↓
“攻击者”向用户发送一条包含恶意链接的手机短信↓
用户一旦点击,其账户一秒钟就被“克隆”到“攻击者”的手机中↓
然后“攻击者”就可以任意查看用户信息,并可直接操作该应用↓
经过玄武实验室的测试,这种“应用克隆”对大多数移动应用都有效,在200个移动应用中发现了27个存在漏洞,比例超过10%。并且玄武实验室称此次发现的漏洞至少涉及国内安卓应用市场十分之一的APP,如支付宝、饿了么等多个主流APP均存在漏洞,所以该漏洞几乎影响国内所有安卓用户!
为什么会出现这样恐怖的漏洞?
腾讯安全玄武实验室负责人于旸表示,由于现在手机操作系统本身对漏洞攻击已有较多防御措施,所以一些安全问题常常被APP厂商和手机厂商忽略。而只要对这些貌似威胁不大的安全问题进行组合,就可以实现“应用克隆”攻击。
用户该如何防范“应用克隆”攻击?
目前,腾讯安全玄武实验室已经通过国家互联网应急中心向厂商通报了相关信息,并给出了修复方案。国家信息安全漏洞共享平台向发现的27个应用设计企业发送了点对点安全通报:在发出通报后不久收到了包括支付宝、百度外卖,国美等大部分厂商的主动反馈,表示他们已开始漏洞修复,但截至8日,京东到家、饿了么、聚美优品、豆瓣、易车、铁友火车票、虎扑、微店等10家厂商还未收到相关反馈。于旸也表示,截至9日上午,共有支付宝、饿了么、小米生活、WIFI万能钥匙等11个手机应用进行了修复,但其中亚马逊(中国版)、卡牛信用管家、一点资讯等3个应用修复不全。
数据截止至1月9日上午
而对于普通用户来说,防范“应用克隆”会比较令人头疼,但仍然有一些通用安全措施:
一是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;
更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。
一是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;
更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。
一是别人发给你的链接少点,不太确定的二维码不要出于好奇去扫;
更重要的是,要关注官方的升级,包括你的操作系统和手机应用,真的需要及时升级。
从某种意义上,这次的“应用克隆”恐怖漏洞显示出国内部分手机应用厂商安全意识的薄弱。于旸坦言:“我们也看了一部分国外应用,受这个漏洞的影响的应用占总体比例比国内少不少。从我十几年的网络安全领域从业经验来看,国内厂商和开发者,在安全意识上和国外同行相比确实有一定差距。”
不过国内APP厂商忽略的不仅是安全问题,还有用户隐私
从2018年第一天开始,日用户量超9亿的微信,就被吉利集团董事长李书福公开质疑会偷看用户聊天记录。
紧接着,拥有4.5亿用户的支付宝在“年度账单”活动中,被曝出靠默认勾选套取用户数据。
一时之间,原本还在兴致勃勃晒账单的网友瞬间惊恐。
再后来,超4亿月用户量的手机百度被认为用app偷窥隐私,遭江苏省消保协举报。网友称:一使用百度app,没过几分钟就会收到营销电话,并且这些电话称都是百度给的。
手机里的BAT系APP都轰然倒下。可是,却还不止如此,号称中国最大的内容平台——今日头条,日前正被质疑利用手机麦克风获取用户数据隐私……
社交、购买、搜索、阅读······,用户在手机上的一举一动都正在汇聚成信息被APP任意调用。然而事实上,许多数据的泄露往往是由于用户尚不清楚自己在开通相关权限后,会把什么样的信息暴露在风险中,就随意授权的结果。
你还记得自己都授予了app哪些五花八门的权限吗?
不记得话,没关系。
安卓手机:请打开自己的手机设置——选择“权限管理”;
苹果手机:打开手机设置——选择“隐私”,就能看到APP要求授予的权限数量,和自己的权限授予情况。你会看到一个惊人的数据!
左苹果界面、右安卓界面
小编就被自己的安卓手机权限吓到了。在总共安装的115款APP中,“权限管理”显示:这些APP要求小编授予它们共达500项的权限!平均下来,每款APP索求授予4项权限。
其中,小编的安卓手机APP最希望获得“存储”、“电话”、“位置”的授权。
感觉身边有个跟踪狂!
而经小编梳理,在安卓手机上,常用、号称装机必备的APP 索求权限平均高达7个。
其中,这14个常用APP都向安卓用户索求了存储、电话、相机、麦克风的权限;13个APP想要得到用户通讯录的授权,10个APP要求短信授权。
支付宝、手机百度、微信、QQ、应用宝、微博安卓版是当中索求权限最多的APP:都要求用户授予它们8个权限。
而在这8个权限里,对于安卓用户来说,某些权限必须经过授权,APP才可以使用。例如微博:
理由非常充分啊!
然而相对于安卓系统,微博APP在iOS系统中对权限的索取则“低调”不少。用户在隐私中将所有权限全部关闭,微博仍可立即使用,并没有出现安卓环境下打开时弹出的权限索取提示。
南洋理工大学互联网相关专业人士表示,APP向安卓系统和iOS系统所要求的权限不同,一个主要原因是iOS系统使用了沙盒机制。
沙盒机制在计算机领域指一种安全机制,为运行中的程序提供隔离环境,确保应用程序只能在为该应用创建的文件夹内读取文件。
沙盒机制在计算机领域指一种安全机制,为运行中的程序提供隔离环境,确保应用程序只能在为该应用创建的文件夹内读取文件。
沙盒机制在计算机领域指一种安全机制,为运行中的程序提供隔离环境,确保应用程序只能在为该应用创建的文件夹内读取文件。
上述专业人士称,此前iOS系统曾被用户诟病无法像安卓一样轻松传输数据或实现APP间跳转,部分原因也是受限于沙盒机制的安全考虑。
到底用户授予的权限泄露了自己什么信息?
从应用厂商常常都索求的权限:读取电话权限说起。每每手机弹出这条信息,小编都觉得:天啊,这是要监听我电话的节奏吗?
其实,所谓的管理电话权限包括了:电话通讯录、通话记录、录音权限以及读取本机识别码四种,用户的授权会泄露这样一批信息:
专家解读:公开资料显示,许多APP需要从手机中读取一个标识符来标识用户,相当于在用户未登录的情况下让服务器知道用户身份,要读取这个标识符就需要申请电话权限,这也是大部分APP需要获取电话权限的原因。
其他权限获取用户信息情况
APP有必要索求用户这么多权限信息吗?
譬如,手机上的一个普通自带的日历APP,实际上常常需要存储、日历、电话、通讯录四个权限,而且在很多人的手机上,这四个权限必须全部开启,日历APP才能正常使用。
好霸道啊!
不过首先要说明一下,部分手机权限是软件必需的,需要授权它才能激活软件的功能。
如微信使用扫描二维码功能时需要启动照相机,语音输入时需要启动麦克风。若是无法调动相应权限,软件功能一定会受阻。
但是其他的权限需求可能就与软件本身利益有关了。比如部分软件访问消费者的通信记录以及短信记录等,可能不是为了向您告知正在使用同款软件的通信录好友,而仅仅是为了读取短信内容,更加有针对性地推送广告而已。
甚至有些时候APP要你莫名其妙授予的权限,连应用厂商自己都不知道这些数据有什么用场。
只是为了收集用户信息,在大数据时代占据市场先机,一些APP近乎“疯狂”地过度索取消费者权限。
“大数据时代,没人知道哪些数据会成为未来商业发展的重点,所以拥有足够多的数据才是重点。搜集的数据越多,营销价值就越大。”一位从事互联网营销的业内人士一句话点破了其中奥秘。
然而疯狂调取用户数据会带来严重问题
腾讯社会研究中心与DCCI互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》显示,手机APP越界获取个人信息已经成为网络诈骗的主要源头。高达96.6%的安卓应用会获取用户手机隐私权限,而iOS应用的这一数据也高达69.3%。越界获取隐私权限是指手机应用在自身功能不必须的情况下获取用户隐私权限的行为。
所以如何保护用户的个人信息?
大神是这么回答的:
然而我等凡众,在国家目前对公民个人信息权利的保护始终是依附在隐私、网络安全等领域进行保护,尚未形成法定的独立权利的情况下,能做的就是:
1,增强隐私保护意识,
2,尽量选择官方正规应用商店下载,
3,安装后要查看应用开放的权限,读取通讯录、短信、通话记录、位置信息等敏感权限尽量关闭,在以后提示确实需要相关的隐私权限时再允许APP获取。
1,增强隐私保护意识,
2,尽量选择官方正规应用商店下载,
3,安装后要查看应用开放的权限,读取通讯录、短信、通话记录、位置信息等敏感权限尽量关闭,在以后提示确实需要相关的隐私权限时再允许APP获取。
1,增强隐私保护意识,
2,尽量选择官方正规应用商店下载,
3,安装后要查看应用开放的权限,读取通讯录、短信、通话记录、位置信息等敏感权限尽量关闭,在以后提示确实需要相关的隐私权限时再允许APP获取。
部分文:广州参考·广州日报记者 倪明
部分资料:新华社、北京日报、新京报、经济日报、侠客岛
广州参考·广州日报编辑 宋可嘉