当前位置 连云港市互联网违法和有害不良信息举报中心> 真相追踪

警惕“云陷阱”,保护“云生活”

【连网】 我们现在的工作和生活越来越离不开互联网,尤其是进入到移动时代或者是万物互联时代,没有互联网有时候简直寸步难行,互联网与现实生活已经深度融合。但使用网络的时候,也往往隐藏着风险。9月14日到20日,是2020年国家网络安全宣传周,主题是“网络安全为人民,网络安全靠人民”。那么,网上的我们该注意些什么才能安全生活呢?

当前,我国已经全面进入移动互联网时代,9亿多网民中,手机上网比例高达99.1%。

根据2019年《APP违法违规收集使用个人信息专项治理报告》统计,移动互联网应用商店上架推广的APP有近400万款,总下载量超万亿次。用户每天在各类APP上平均花费时长占用户日均上网时长的81.7%。然而,这些APP在给人们生活带来方便的同时,也带来了一些隐患。

中国信息安全研究院副院长左晓栋说:“到了移动互联网时代都通过APP上网,这就导致所有的APP都来抢夺用户的流量,自然那些APP就想着,我一个APP集成尽可能多的功能,通过上我一个APP就可以用很多服务了,不用再到别的APP去了,这样流量不就都走它那里了吗?所以越来越多的APP集成了越来越多的功能,而这些功能往往都需要开启各种各样的权限,获取用户很多的信息。”

出于各种各样的原因,一些APP强制授权、过度索权、超范围收集个人信息的现象普遍存在,未经用户同意收集个人信息等不规范行为屡见不鲜,泄露、滥用、买卖个人信息等情形时有发生。

今年6月,武汉市公安局洪山区分局民警在日常排查中发现,一男子在网络上上传了大量公民个人信息。警方顺藤摸瓜,抓获9名嫌疑人。警方发现,这些人都有一个共同的特点,那就是急需贷款,都在一些网贷公司的APP等平台留下过个人信息。

如果这些买卖中的个人信息没有被截获,这些被泄露信息的用户可能将面临精准的网络诈骗。

正是由于个人信息泄露可能给用户带来危害,APP收集的信息越多,泄露之后的风险就越大。因此,什么样的APP可以收集多大范围的个人信息,收集之后如何使用?这些问题就显得非常重要。

左晓栋说:“个人信息一个是识别一个是关联,所谓识别就是一下能找到这个人,比如身份证号,每个人只有一个;另外一个就是关联,比如住宿信息,比如购物信息,行踪轨迹,都是和这个人相关联的一些行动、行为,这也算是个人信息。都和个人的生命安全,财产安全紧密关联。”

APP专项治理工作组专家樊华说:“比如一款APP,主要是提供照明的功能,它在安装之后强制要求设备的位置信息,禁止之后,还要求拍摄照片和录制视频,就是摄像头的权限,禁止这两个权限之后发现它不能够使用,直接退出了。”

专家表示,这样的行为属于超范围收集个人信息。

北京师范大学互联网政策与法律研究中心主任薛虹说:“现在很多的APP都在超范围、超目的地使用个人信息,这是一个很大的问题。比如像照明类的APP,要收集位置信息,收集通讯录信息,这是完全没必要的,你是认为那个位置我将提供强光照射吗?”

这样的APP强制索要权限,用户可以通过拒绝授权来保护自己的个人信息,同时向管理部门举报,对其进行查处。而一些APP收集用户个人信息是悄悄进行的,它们后台通过隐秘的方式传输数据,用户对此毫不知情。

国家信息技术安全研究中心网络安全工程师范佳奇说:“比如一个炒股类APP,在这个APP的隐私政策里,并没有说明会收集用户的通讯录相关信息,当使用这个APP内的通讯录功能,然后点击添加手机联系人的按钮,它会弹出需要请求手机通讯录的权限。”

点击允许权限之后,测评人员通过专业软件发现了其中的问题。

范佳奇说:“这个数据包里边的内容就是向服务端发送手机号,我为了测试添加一个联系人,它的用户名是你好,然后手机号是16666666669,可以看到这个手机号发送到了服务器。”

转眼间,用户手机通讯录里的电话号码已经传输到这个APP的后台。而对于APP的这一通幕后操作,用户一无所知。

范佳奇说:“用户只提供了访问通讯录的权限,但是没有让它把通讯录里所有的信息发送到服务器。这个APP的隐私政策第四条中说明了在使用过程中可能会申请的权限,没有提到它会使用到通讯录中的信息。”

近年来,为规范个人信息的收集使用,打击涉个人信息违法犯罪行为,国家相继出台个人信息保护相关法律法规。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2014年实施的《消费者权益保护法》、2017年实施的《网络安全法》均对收集使用个人信息的法律责任和义务作出规定;《刑法修正案(七)》《刑法修正案(九)》以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中,明确了侵犯公民个人信息犯罪行为的界定和处罚;2017年实施的《民法总则》强调,自然人的个人信息受法律保护。同时,个人信息保护法已纳入十三届全国人大常委会的立法规划,并已经形成草案稿。

2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,并成立App专项治理工作组。《APP违法违规收集使用个人信息行为认定方法》《个人信息安全规范》等标准规范相继出台完善。

左晓栋说:“在专项行动的时候,第一个环节就是去监督大家,有没有把隐私政策做好。大家普遍更新了隐私政策之后,又带来了新的问题,隐私政策是不是去落实了呢?实际保护用户个人信息的情况怎么样,只是看隐私政策不够了,所以又开展了APP违法违规收集使用个人信息的专项治理,去年花了一整年的时间,成效还是不错的,一大批违法违规的APP得到了整改。”

用户在使用APP过程中,发现自己的个人信息被泄露,可以向相关部门举报,以便监管部门对其进行处理。

随着大数据、物联网、云计算等技术的发展,在消费升级和技术发展的推动下,智能产品越来越多地进入人们的生活。

智能网联汽车,可以实现智能信息交换共享,通过驾驶辅助技术,可以提高车的安全性,终极目标是在未来替代人来驾驶汽车。这是通往未来的技术,理论上会更安全,但在发展过程中,也面临一些威胁。

奇安信技术研究院研究员刘跃说:“比如一辆有联网功能的汽车,正常需要自己进到车里边,然后点火加电,这样才可以对车窗做一些操作。但是在完全没有加电的情况下,攻击者一样可以对整个车车门、车窗做一些动作。”

安全人员给记者演示了这个过程,通过利用这辆车系统的一些漏洞,远程操作电脑,无需接触,就实现了对车的操控。

近年来,智能家居更是发展迅猛。大大小小的家用电器都可以和互联网连接。

奇安信代码安全实验室高级安全研究员杨逸思说:“现在平时生活中,还有公共场合看到的智能摄像头,拍摄到的画面会传到云端,然后通过手机端可以看到,也可以通过浏览器来访问。”

网络安全工程师用一台电脑模拟攻击者,通过一定的操作,很快就接手了这个摄像头。利用漏洞获取摄像头的登录密码,然后通过登录密码访问。

由于摄像头和云端是连接的,获得登录用户名和密码之后,模拟黑客的这台电脑通过云端可以随意复制和删除摄像头存储的内容、修改拍摄时间,还能操作摄像头拍摄,毫无障碍,就像操作自己的设备一样。

家用产品加速智能化,如果没有安全防御体系,就相当于完全暴露在黑客的掌控下,到处都是漏洞。

专家表示,一方面,企业和安全从业者及时发现漏洞,做出更新;另一方面,消费者也要及时更新智能产品的软件程序,才能及时弥补漏洞、减少风险。更重要的是,面对智能产品的安全问题,更需要从技术、管理和法律法规、行业标准等方面及时更新,才能织牢“大安全网”。

左晓栋说:“技术更新太快,另外社会需求又比较强烈,所以厂商可能更多考虑的是尽快把产品设计研发出来,尽快投入市场,尽快占据市场,安全让位于尽快推出、占领市场的需求了。这个产业应该不断成熟,经过了一段市场的快速扩大以后更加理性,回归到凸显安全价值的程度。”

看似普普通通的一个APP,却能一瞬间让我们的个人信息在互联网上裸奔;看似方便生活的智能家电和汽车,它的安全漏洞却能让我们没有隐私可言,甚至是危及生命,而这些只是网络安全问题的冰山一角。但是互联网中的我们也不能因为有安全风险,就因噎废食。怎么办?未知攻焉知防。知其黑,守其白。我们要不断完善制度、更新技术、增强意识,给网络穿上坚固铠甲,才能构筑“安全网”,也才能让我们在发展人工智能、物联网、下一代通信网络等新技术新应用时更有保障,没有后顾之忧。