迅速崛起的移动互联网,为时下用户隐私安全问题迭出埋下了伏笔。
苹果“艳照门”、《疯狂来往》不雅视频等等,再次敲响了移动互联网的安全警钟。移动互联网在便利用户生活的同时,不可避免地带来信息泄露风险。
互联网变得越来越真实,怎样保护用户的信息安全,在某种程度上决定着移动互联网未来的发展走向。
新金融记者 曹晓龙
黑客入侵
一大拨好莱坞当红女影星的隐私照片遭到泄露,在互联网进行传播,其中包括影后詹妮弗?劳伦斯、歌手蕾哈娜、艾薇儿、詹妮弗?洛佩兹等。
发布者声称照片是黑客攻击了苹果的iCloud账号后获取的,已有女星证实了照片的真实性。
“艳照门”爆发后,苹果手机对于用户隐私安全的保护受到了质疑。有分析认为,或是苹果的iCloud平台存在漏洞被黑客攻破,或是苹果的“查找我的手机”功能让用户无限次输入密码的设置,导致密码被盗。
面对外界一片质疑,苹果几天后撇清了自己的责任。9月3日苹果发布回应称,没有证据证明iCloud平台或是“查找我的手机”功能的漏洞,导致用户个人照片被盗。苹果认为,应该是不良黑客通过其他手段获取了用户密码,随后登录iCloud下载照片。
事实上,这并非好莱坞女星照片第一次遭泄露。2011年9月,女星斯嘉丽?约翰逊声称自己手机的私密信息被泄露到互联网。当时,还包括杰西卡?阿尔芭等50多名女星手机被黑客入侵。
“按照苹果回应,此次好莱坞这些影星私密照片被泄露,主要是黑客发动了针对密码的定向攻击,加之,明星们的密码设置简单,黑客甚至只需要抱着‘试试看’的心态就能轻松破解。”一位从事网络安全的互联网人士告诉新金融记者,防范黑客攻击,主要途径还是保证自身系统、程序的安全性,没有漏洞。
他表示,国内一些互联网公司被黑客攻击,都是因为网站调试或者更新时出现后门。比如2011年发生的著名的csdn用户资料泄密,就是因为存储用户数据的日志没有加密导致的。
不要忽视黑客的破坏力。在iCloud的好莱坞“艳照门”事件发生后不久,苹果公司即发布了新的安全系统以保护用户免遭黑客入侵。苹果公司CEO蒂姆?库克此前宣布,苹果作出的改进措施是当有人试图更改账号密码并获取iCloud备份信息,或是有人首次从一台新设备登录账号时向用户发出通知。
但苹果的努力似乎白费了。该新的安全系统随后便被一小撮黑客破解。
“用户的安全防范能力永远滞后于黑客的技术能力,数据泄密事件在互联网领域也无法杜绝。虽然互联网的信息安全防护水平一直在不断提高,但因为互联网不断发展,应用更加深入,吸引攻击者的‘有价值目标’不断增长,需求产生市场,导致了黑客等地下产业链日益繁荣。”从事网络安全领域的杭州微触科技有限公司CEO宋超告诉新金融记者。
当然黑客攻击所获得的信息,是可以进行交易的。
科技专栏作者阑夕此前曾撰文指出,从事信息交易的黑客会把获得的用户信息,比如QQ或者网络游戏ID及密码等形容为“信封”。这些被称为“信封”的文件会被拿到“批发市场”上进行交易,由购买者再去挖掘更多用途的价值。
阑夕认为,此次好莱坞女明星信息泄露事件虽然源自名流们隐私保护意识的淡漠,但是真正将艳照流出规模扩大到人尽皆知的导火索,就在于有黑客在“暗网”上明码标价地兜售这些艳照,这是构成购买者二次传播的关键前提。
厂商犯错
如果说将好莱坞“艳照门”事件归结于防不胜防的黑客群体,难以避免,但国内手机游戏《疯狂来往》用户隐私泄露暴露出来的安全问题则亟待业内反思。
日前,《疯狂来往》应用将用户拍摄的视频在用户不知情的状况下上传至优酷视频网站公开展示,从而导致不少用户个人视频信息泄露。
新金融记者了解到,这个游戏主要玩法为,用户根据关键字来录制一段视频,并让好友来猜这个关键字。这个过程是点对点的,而在游戏结束后,游戏会提示要不要“炫耀(其实就是分享)”到朋友圈或QQ空间,而一旦用户选择“炫耀”,视频就会被《疯狂来往》的官方账号上传到优酷中去,再来通过社交网络进行二次“炫耀”。
通过部分视频截图可以看出,因为《疯狂来往》的用户游戏行为多发生在关系较为亲密的人群中,部分用户在录制视频过程中衣着较为随意,甚至没穿衣物,尺度颇大。
据悉,截止到10月7日上午,优酷网站上与《疯狂来往》有关的视频数量一度多达3万个,总播放量300万次。
虽然事后优酷方面紧急删除了相关视频,但这背后手机应用厂商对待用户隐私安全的不严谨性,让公众对个人隐私保护本已十分敏感的神经再度紧绷了起来。
《疯狂来往》的游戏开发商北京豪腾嘉科软件有限公司在事后的道歉声明中表示:“‘疯狂来往’团队未能事先告知用户这些游戏视频存储在优酷,对于这一错误,我们作为游戏的开发商和运营商向所有受影响的用户诚恳致歉。”
《疯狂来往》制作团队负责人曾对外介绍,当时考虑用户使用视频的体验、视频流畅程度等问题,公司就在优酷上申请了一个链接账号来储存视频,作为一个公共的储存空间,同时也作为一个视频分享的平台,这样可以减少手机的存储负担。
其坦言,由于公司处于创业初期,相关经验和意识也不完善,并未对视频进行审核,也未向用户告知,确实是公司的疏忽。目前,该公司已经在优酷上删除有关视频链接,并停止了《疯狂来往》游戏中的视频分享功能。
“这其实是很低级的错误,但在企业快速发展中,容易被忽视。”一位小米手机软件工程师告诉新金融记者,不出问题就永远没有问题,大多数公司都是这么想的。国内一些应用厂商对信息安全的重视程度一直不高,都是等出事了才重视一次。
一个实情是,在此之前,该款游戏上架到现在长达6个月的时间,官方和用户都不知道自己存在隐私安全风险。
“手机应用厂商一般都会收集用户资料信息。”手游行业观察者刘费尔告诉新金融记者,事实上在手游行业内除拍摄用户视频之外,像《疯狂来往》这样涉嫌采集用户包括联系人、通话记录、手机位置、手机识别码等隐私信息的产品,可以说充斥着整个市场。
此前知名手游《水果忍者》(中国版)就被检测出内含恶意广告插件,可读取用户的联系人信息、社交账号和浏览器书签等个人隐私,当时已感染逾20万用户。
刘费尔认为,此次《疯狂来往》隐私泄露事件的发生与手游行业的发展现状存在较大关联。由于手机游戏的开发运营周期较短,并有“渠道为王”的特点,一些手机游戏厂商在激烈竞争中,都在比拼用户基数和宣传力度,有时甚至采取一些擦边球的打法,往往放松了对上架产品的审核。
安全意识
在互联网流行的初期,有一个段子是“你不知道网络的另一边,也许是一只狗”来形容互联网的匿名性。但现今看来,这句话几成空谈。
互联网正在变得越来越真实,功能变得越来越细化,虚拟的世界与真实的世界结合也越来越紧密。
“只要是上过网的人,多多少少都会流出一些信息,时间越长用过的东西越多,那么信息量越大。对于很多东西来说都是会收集用户的信息,特别是涉及到充值这一块,只是说这个数据库会不会被人攻破,或者说有没有人对这个信息感兴趣而已。”刘费尔说道,尤其是进入移动互联网时代以来,手机应用的增多。而这些手机应用一般都会要求用户同意提供某些信息。
一位不愿具名的业内人士告诉新金融记者,运营商有时可以看到用户发的短信内容,互联网支付公司也能查询到充值用户的手机号码、型号、IP地址等等信息。
奇虎360董事长兼CEO周鸿祎认为,在大数据时代,只要用到网络服务,每个人的数据就会被传到云端,每个人会变得更加透明,每个人在干什么,在想什么,可能这时候云端全部都知道,除非你不用任何先进的设备,不用网络。
“最重要的一个挑战是用户隐私的挑战。”周鸿祎表示。
信息泄露的风险无处不在。当然这主要与移动互联网的便利性相关。
“厂商收集用户信息,在方便用户的同时必然会带来隐私风险。”上述小米手机人士说道,比如换一个手机,登录一下账号,所有的联系人,短信,图片都自动下载了,对于人们的生活肯定很方便,无缝进行迁移。这就意味着,对于厂商来说,需要很强的隐私安全防范意识。
他认为,在公众领域这边,每个人都担心出安全问题,但几乎每个人又都不知道安全问题到底是什么,会以怎样的形式出现。拿此次《疯狂来往》用户隐私泄露事件来说,在不被告知的情况下,用户很难敏锐地察觉到“炫耀”等关键操作的后果。
云计算安全、服务器安全领域趋势科技合伙创始人陈怡桦曾表示,互联网给人们带来便捷的同时必然带来安全问题,但从本质来说,安全问题不只是技术应该要考虑的问题,而应该是技术、制度、信用机制一同发力的问题。企业中对技术、运营等需要制定一系列的规章制度,才能最大程度避免安全问题。
“小米在这方面,就有一个安全中心,当用户安装一个应用时,它会检测这个应用的安全性。”上述小米手机人士说道,想要加强对APP的隐私问题管理,从业者更需进行自律,开发过程中要对产品的相关权限设置进行严格把关。
周鸿祎曾总结出如何保护用户隐私的三原则,分别为个人信息是用户的资产、安全是企业的责任和义务以及让用户有知情权和选择权。
当然业内多有声音认为,对用户隐私安全的监管也亟须加强。
目前,监管部门如工信部,已要求所有手机预装软件都要进行备案管理,一个产品需要经过检测隐私权限等相关内容并通过后才能发放证书进行预装,但对于通过市场端发行的软件,这项政策尚未推广。
