網(wǎng)絡(luò)安全宣傳周 | 警惕“云陷阱”，保護“云生活”

曉曉^

                                                                                                   

我們現(xiàn)在的工作和生活越來越離不開互聯(lián)網(wǎng)，尤其是進入到移動時代或者是萬物互聯(lián)時代，沒有互聯(lián)網(wǎng)有時候簡直寸步難行，互聯(lián)網(wǎng)與現(xiàn)實生活已經(jīng)深度融合。但使用網(wǎng)絡(luò)的時候，也往往隱藏著風險。9月14日到20日，是2020年國家網(wǎng)絡(luò)安全宣傳周，主題是“網(wǎng)絡(luò)安全為人民，網(wǎng)絡(luò)安全靠人民”。那么，網(wǎng)上的我們該注意些什么才能安全生活呢？

當前，我國已經(jīng)全面進入移動互聯(lián)網(wǎng)時代，9億多網(wǎng)民中，手機上網(wǎng)比例高達99.1%。

根據(jù)2019年《APP違法違規(guī)收集使用個人信息專項治理報告》統(tǒng)計，移動互聯(lián)網(wǎng)應(yīng)用商店上架推廣的APP有近400萬款，總下載量超萬億次。用戶每天在各類APP上平均花費時長占用戶日均上網(wǎng)時長的81.7%。然而，這些APP在給人們生活帶來方便的同時，也帶來了一些隱患。

中國信息安全研究院副院長左曉棟說：“到了移動互聯(lián)網(wǎng)時代都通過APP上網(wǎng)，這就導(dǎo)致所有的APP都來搶奪用戶的流量，自然那些APP就想著，我一個APP集成盡可能多的功能，通過上我一個APP就可以用很多服務(wù)了，不用再到別的APP去了，這樣流量不就都走它那里了嗎？所以越來越多的APP集成了越來越多的功能，而這些功能往往都需要開啟各種各樣的權(quán)限，獲取用戶很多的信息?！?/div>

出于各種各樣的原因，一些APP強制授權(quán)、過度索權(quán)、超范圍收集個人信息的現(xiàn)象普遍存在，未經(jīng)用戶同意收集個人信息等不規(guī)范行為屢見不鮮，泄露、濫用、買賣個人信息等情形時有發(fā)生。

今年6月，武漢市公安局洪山區(qū)分局民警在日常排查中發(fā)現(xiàn)，一男子在網(wǎng)絡(luò)上上傳了大量公民個人信息。警方順藤摸瓜，抓獲9名嫌疑人。警方發(fā)現(xiàn)，這些人都有一個共同的特點，那就是急需貸款，都在一些網(wǎng)貸公司的APP等平臺留下過個人信息。

如果這些買賣中的個人信息沒有被截獲，這些被泄露信息的用戶可能將面臨精準的網(wǎng)絡(luò)詐騙。

正是由于個人信息泄露可能給用戶帶來危害，APP收集的信息越多，泄露之后的風險就越大。因此，什么樣的APP可以收集多大范圍的個人信息，收集之后如何使用？這些問題就顯得非常重要。

左曉棟說：“個人信息一個是識別一個是關(guān)聯(lián)，所謂識別就是一下能找到這個人，比如身份證號，每個人只有一個；另外一個就是關(guān)聯(lián)，比如住宿信息，比如購物信息，行蹤軌跡，都是和這個人相關(guān)聯(lián)的一些行動、行為，這也算是個人信息。都和個人的生命安全，財產(chǎn)安全緊密關(guān)聯(lián)?！?/div>

APP專項治理工作組專家樊華說：“比如一款A(yù)PP，主要是提供照明的功能，它在安裝之后強制要求設(shè)備的位置信息，禁止之后，還要求拍攝照片和錄制視頻，就是攝像頭的權(quán)限，禁止這兩個權(quán)限之后發(fā)現(xiàn)它不能夠使用，直接退出了。”

專家表示，這樣的行為屬于超范圍收集個人信息。

北京師范大學(xué)互聯(lián)網(wǎng)政策與法律研究中心主任薛虹說：“現(xiàn)在很多的APP都在超范圍、超目的地使用個人信息，這是一個很大的問題。比如像照明類的APP，要收集位置信息，收集通訊錄信息，這是完全沒必要的，你是認為那個位置我將提供強光照射嗎？”

這樣的APP強制索要權(quán)限，用戶可以通過拒絕授權(quán)來保護自己的個人信息，同時向管理部門舉報，對其進行查處。而一些APP收集用戶個人信息是悄悄進行的，它們后臺通過隱秘的方式傳輸數(shù)據(jù)，用戶對此毫不知情。

國家信息技術(shù)安全研究中心網(wǎng)絡(luò)安全工程師范佳奇說：“比如一個炒股類APP，在這個APP的隱私政策里，并沒有說明會收集用戶的通訊錄相關(guān)信息，當使用這個APP內(nèi)的通訊錄功能，然后點擊添加手機聯(lián)系人的按鈕，它會彈出需要請求手機通訊錄的權(quán)限?！?/div>

點擊允許權(quán)限之后，測評人員通過專業(yè)軟件發(fā)現(xiàn)了其中的問題。

范佳奇說：“這個數(shù)據(jù)包里邊的內(nèi)容就是向服務(wù)端發(fā)送手機號，我為了測試添加一個聯(lián)系人，它的用戶名是你好，然后手機號是16666666669，可以看到這個手機號發(fā)送到了服務(wù)器?！?/div>

轉(zhuǎn)眼間，用戶手機通訊錄里的電話號碼已經(jīng)傳輸?shù)竭@個APP的后臺。而對于APP的這一通幕后操作，用戶一無所知。

范佳奇說：“用戶只提供了訪問通訊錄的權(quán)限，但是沒有讓它把通訊錄里所有的信息發(fā)送到服務(wù)器。這個APP的隱私政策第四條中說明了在使用過程中可能會申請的權(quán)限，沒有提到它會使用到通訊錄中的信息?！?/div>

近年來，為規(guī)范個人信息的收集使用，打擊涉?zhèn)€人信息違法犯罪行為，國家相繼出臺個人信息保護相關(guān)法律法規(guī)。2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、2014年實施的《消費者權(quán)益保護法》、2017年實施的《網(wǎng)絡(luò)安全法》均對收集使用個人信息的法律責任和義務(wù)作出規(guī)定；《刑法修正案（七）》《刑法修正案（九）》以及《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中，明確了侵犯公民個人信息犯罪行為的界定和處罰；2017年實施的《民法總則》強調(diào)，自然人的個人信息受法律保護。同時，個人信息保護法已納入十三屆全國人大常委會的立法規(guī)劃，并已經(jīng)形成草案稿。

2019年1月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局四部門聯(lián)合發(fā)布《關(guān)于開展App違法違規(guī)收集使用個人信息專項治理的公告》，并成立App專項治理工作組?！禔PP違法違規(guī)收集使用個人信息行為認定方法》《個人信息安全規(guī)范》等標準規(guī)范相繼出臺完善。

左曉棟說：“在專項行動的時候，第一個環(huán)節(jié)就是去監(jiān)督大家，有沒有把隱私政策做好。大家普遍更新了隱私政策之后，又帶來了新的問題，隱私政策是不是去落實了呢？實際保護用戶個人信息的情況怎么樣，只是看隱私政策不夠了，所以又開展了APP違法違規(guī)收集使用個人信息的專項治理，去年花了一整年的時間，成效還是不錯的，一大批違法違規(guī)的APP得到了整改?！?/div>

用戶在使用APP過程中，發(fā)現(xiàn)自己的個人信息被泄露，可以向相關(guān)部門舉報，以便監(jiān)管部門對其進行處理。

隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等技術(shù)的發(fā)展，在消費升級和技術(shù)發(fā)展的推動下，智能產(chǎn)品越來越多地進入人們的生活。

智能網(wǎng)聯(lián)汽車，可以實現(xiàn)智能信息交換共享，通過駕駛輔助技術(shù)，可以提高車的安全性，終極目標是在未來替代人來駕駛汽車。這是通往未來的技術(shù)，理論上會更安全，但在發(fā)展過程中，也面臨一些威脅。

奇安信技術(shù)研究院研究員劉躍說：“比如一輛有聯(lián)網(wǎng)功能的汽車，正常需要自己進到車里邊，然后點火加電，這樣才可以對車窗做一些操作。但是在完全沒有加電的情況下，攻擊者一樣可以對整個車車門、車窗做一些動作?！?/div>

安全人員給記者演示了這個過程，通過利用這輛車系統(tǒng)的一些漏洞，遠程操作電腦，無需接觸，就實現(xiàn)了對車的操控。

近年來，智能家居更是發(fā)展迅猛。大大小小的家用電器都可以和互聯(lián)網(wǎng)連接。

奇安信代碼安全實驗室高級安全研究員楊逸思說：“現(xiàn)在平時生活中，還有公共場合看到的智能攝像頭，拍攝到的畫面會傳到云端，然后通過手機端可以看到，也可以通過瀏覽器來訪問?！?/div>

網(wǎng)絡(luò)安全工程師用一臺電腦模擬攻擊者，通過一定的操作，很快就接手了這個攝像頭。利用漏洞獲取攝像頭的登錄密碼，然后通過登錄密碼訪問。

由于攝像頭和云端是連接的，獲得登錄用戶名和密碼之后，模擬黑客的這臺電腦通過云端可以隨意復(fù)制和刪除攝像頭存儲的內(nèi)容、修改拍攝時間，還能操作攝像頭拍攝，毫無障礙，就像操作自己的設(shè)備一樣。

家用產(chǎn)品加速智能化，如果沒有安全防御體系，就相當于完全暴露在黑客的掌控下，到處都是漏洞。

專家表示，一方面，企業(yè)和安全從業(yè)者及時發(fā)現(xiàn)漏洞，做出更新；另一方面，消費者也要及時更新智能產(chǎn)品的軟件程序，才能及時彌補漏洞、減少風險。更重要的是，面對智能產(chǎn)品的安全問題，更需要從技術(shù)、管理和法律法規(guī)、行業(yè)標準等方面及時更新，才能織牢“大安全網(wǎng)”。

左曉棟說：“技術(shù)更新太快，另外社會需求又比較強烈，所以廠商可能更多考慮的是盡快把產(chǎn)品設(shè)計研發(fā)出來，盡快投入市場，盡快占據(jù)市場，安全讓位于盡快推出、占領(lǐng)市場的需求了。這個產(chǎn)業(yè)應(yīng)該不斷成熟，經(jīng)過了一段市場的快速擴大以后更加理性，回歸到凸顯安全價值的程度。”

"看似普普通通的一個APP，卻能一瞬間讓我們的個人信息在互聯(lián)網(wǎng)上裸奔；看似方便生活的智能家電和汽車，它的安全漏洞卻能讓我們沒有隱私可言，甚至是危及生命，而這些只是網(wǎng)絡(luò)安全問題的冰山一角。但是互聯(lián)網(wǎng)中的我們也不能因為有安全風險，就因噎廢食。怎么辦？未知攻焉知防。知其黑，守其白。我們要不斷完善制度、更新技術(shù)、增強意識，給網(wǎng)絡(luò)穿上堅固鎧甲，才能構(gòu)筑“安全網(wǎng)”，也才能讓我們在發(fā)展人工智能、物聯(lián)網(wǎng)、下一代通信網(wǎng)絡(luò)等新技術(shù)新應(yīng)用時更有保障，沒有后顧之憂。"

來源：綜合網(wǎng)信中國、央視焦點訪談