【摘 要】 在当下的网络化生活中,个人信息几乎遍布交易支付、娱乐、社交等生活的每一个场景,其背后的经济价值日益显著,也成为网络攻击、电信网络诈骗、敲诈勒索等网络违法犯罪的目标之一。本文主要介绍了移动互联网使用个人信息存在的安全隐患,分析了黑灰产业常见个人信息窃取手段,并据此提出了个人信息安全防范建议。
【关键词】 个人信息 信息泄露
1 引言
经济的快速发展和信息网络的广泛普及,使大众对互联网的依赖性越来越强,个人信息在互联网上的留存量越来越多。与此同时,个人信息经济价值日益显著,导致侵犯公民个人信息的犯罪屡禁不绝,且成为滋生网络攻击、电信网络诈骗、敲诈勒索等下游违法犯罪的源头,社会危害日益突出。
2018年,欧盟《通用数据保护条例》(GDPR)发布,引领全球个人信息保护监管趋势。近年来,我国也高度重视个人信息保护工作,从法规、治理、企业自律等方面多管齐下,捍卫网络安全、个人信息安全等,相继颁布了数据安全法、个人信息保护法,标志着我国在数据安全、个人信息保护等领域迎来了有法可依、有章可循的新时代。
2 移动互联网使用的各类信息存在安全隐患
2.1 手机验证码信息安全需注意
为保障用户信息安全,目前市面上的App在开发初期已设定好相关验证机制,涉及用户使用安全的场景均需向用户发送短信验证码进行操作验证,小到账号登录,大到账户消费。日常中的网站注册、网络购物、金额消费、转账汇款等场景,都需要利用到手机短信验证码。一旦手机遗失、号码易主或遭遇不法分子欺诈,验证码信息被窃取,个人信息、账户信息的安全将直接面临威胁。
2.2 在第三方平台的账号安全难保障
用户在第三方平台浏览资讯、购物或发表观点时,一般会被要求进行账号注册并登录,部分平台还会要求填写个人信息。虽然在平台注册页面都附有隐私保护协议,但部分平台未向用户详细说明信息收集的范围、用途、使用权限等。与此同时,大部分用户在注册及后续登录时,对于隐私保护协议内容未能做到逐条确认。基于此现状,平台服务商在对用户的信息收集、存储和利用等方面都处于有利地位。在平台服务商数据安全防护能力薄弱并成为不法分子攻击目标时,大量平台用户账号数据安全无法得到保障。
2.3 应用程序过度索取用户隐私信息
移动终端操作系统权限是系统中建立的访问与控制的机制。用户作为移动终端的所有者,根据系统设置的安全规则或安全策略,对安装应用进行授权资源的限制,包括功能级与数据级,通过权限管理,达到日常使用移动设备的最佳体验。
但随着移动互联网的普及,移动终端的激增,满足大众日常使用所需的应用类别不断扩增,一些App会通过借助操作系统向用户申请开启权限来收集相应的个人信息。App在挖掘用户需求的同时,可利用大数据的独特优势,对用户提供更加精准的服务,获取更多的商业利益,也使过度索取权限成为行业的“潜规则”。反观用户角度,大多数人在面对App的权限授权提示时,并未深究其授权目的,也较难判断必要权限与过度索取权限,导致个人信息被过度收集,对个人信息安全与数据安全造成潜在威胁。
2020年,央视3・15晚会曝光了一批向用户手机内植入软件开发工具包(SDK)插件并实施窃取信息的违规应用。具体行为是在用户不知情状态下,涉嫌窃取用户隐私,涉及的App达50多款。
3 黑灰产业窃取个人信息技术手段多样
当前处于大数据红利期,用户信息在某种意义上等于金钱,身处移动互联网时代,个人隐私似乎不再是“隐私”。在“无感知”状态下,用户的敏感信息有可能就已经遭到泄露,当各类骚扰、诈骗接踵而至时,用户才有可能意识到,自己的敏感信息已然遭到泄露,但对于何时、何地、何种情景下事件发生,用户却不得而知。随着社会各界对个人隐私保护关注度的提高,信息泄露背后的黑灰产业链条慢慢浮出水面,人们发现其背后的运作模式与技术手段已经十分成熟。以下针对黑灰产业中典型隐私窃取手段进行解析。
3.1 GSM劫持+短信嗅探技术,无声无息中实现账户盗刷
短信验证码的广泛应用使其安全性已经直接影响用户个人信息安全及账户财产安全,“GSM劫持+短信嗅探技术”正是通过盗取验证码短信以实现账户盗刷。