【IT商業新聞網綜合】 (記者 付澠) 12月28日消息,知名手機管理軟件豌豆莢近期爆出安全漏洞,由此引發業界對于移動互聯網軟件業安全擔憂。
據國內媒體報道,就在CSDN泄密還未平息之時,豌豆莢等多款安卓手機管理軟件也曝出安全漏洞。在公共WiFi環境下,安卓手機用戶可能會被處于同一網絡的攻擊者盜取所有個人隱私信息,這也是目前為止國內最嚴重的智能手機安全風險。有關專家倡議,應未雨綢繆,盡快構建手機管理安全標準,以保護移動互聯網時代的隱私安全。
消費者
對手機安全觀念淡薄
隨著移動互聯網的快速發展,手機管理軟件幾乎已經成為智能手機的必備工具。它主要是方便智能手機與電腦之間的內容同步。用戶通過該軟件,可在電腦中直接管理手機中的通訊錄、短信、照片、視頻、音樂等個人信息,也可以直接為手機安裝應用程序和游戲等。
但記者在調查中發現,諸多的用戶在使用手機管理軟件時,并沒有什么安全觀念。記者在東單、西單等區域隨機走訪了一些智能手機使用者。他們大都認為自己的手機管理軟件相對安全,并沒有什么風險。“我只是在手機管理軟件上下載一些小程序,應該不會有什么安全風險吧。”在新東安商場購物的鄭小姐告訴記者。
金山網絡安全專家李鐵軍告訴記者,手機管理這類軟件主要通過FTP(文件傳輸協議)服務來管理手機文件,但如果技術實現存在漏洞,就會導致在同一網絡下的計算設備均能登錄FTP訪問該手機。比如在咖啡館、商務辦公場所、機場等公共WiFi網絡環境中,攻擊者不經允許就可以惡意訪問、上傳、下載或篡改、刪除手機信息,包括手機內存、存儲卡中的照片、短信、聊天記錄、電話錄音、視頻以及其他文檔等個人隱私。
最新數據顯示,截至今年三季度,國內網民擁有的安卓手機總量約2500萬臺,超過蘋果iPhone,成為最大的國內智能手機平臺。此外,由于安卓平臺開源開放、價格較低,安卓手機正處于高速爆發的時期。因此該WiFi漏洞可能影響上千萬安卓用戶,是目前為止國內最嚴重的智能手機安全風險。
3款安卓手機
管理軟件存漏洞
由于影響較大,該風險引發了安全機構的極大重視。金山安全中心對此進行了專門的技術分析,并發布了研究報告。該報告顯示,在360手機精靈、豌豆莢、騰訊手機助手這3款覆蓋了80%安卓手機的管理軟件中,360手機精靈帶給手機用戶的安全威脅最大。
據分析,360手機精靈也是通過FTP服務來管理手機文件的,但是它的FTP用戶名、密碼是沒有經過加密的,明文保存在程序配置文件中,該密碼固定不變。而且,該FTP的登錄也并未限制客戶端,這就意味著,除了用戶自己連線的電腦外,其他電腦或者手機也可登錄該FTP訪問該手機。此外,360手機精靈目前通過360安全衛士(微博)捆綁推廣,用戶的電腦和手機在沒有得到明確提示的情況下被靜默安裝,并默認開機自啟動。
另外,與360手機精靈相比,騰訊應用助手雖然也存在安全風險,但騰訊應用助手不使用固定的訪問用戶名、密碼和端口號,也不使用FTP協議,有動態驗證,因此風險較小。
記者發現,目前,這3款軟件在發現漏洞之后均進行了升級。但有專家分析發現,即使升級之后,新解決方案仍然存在較大的安全風險。像豌豆莢升級后關閉了在WiFi環境下管理手機文件的功能來避免漏洞的風險,但豌豆莢使用的WiFi連接驗證碼是固定的,仍然存在一定風險。
手機管理安全標準
提上日程
專業機構LookOut的調查顯示,97%的手機用戶認為,個人隱私最重要。尤其使用智能手機,其中得到的個人隱私信息更多。如果泄露,隨時會給個人生活帶來非常大的麻煩,甚至引發“艷照門”、敲詐門等更大的安全風險。
隨著公眾對隱私權的擔憂,制定相關的法律法規也被提上議事日程。記者通過查閱發現,目前只有《互聯網終端軟件服務行業自律公約》對個人信息做了初步界定,但屬于行業自律規范,不具有法律約束力。據悉,工信部正在制定《信息安全技術信息系統個人信息保護指南》。這個屬于個人信息保護的國家標準,仍在制定之中。
國內殺毒廠商網秦的相關負責人表示,對于擁有永遠在線、身份識別、位置和電子支付能力的智能手機來說,它的安全性遠比PC時代復雜和嚴重。因此盡快出臺智能手機安全管理辦法和標準已是大勢所趨。
中國軟件資訊網相關負責人陳禮明表示,手機管理軟件確實為廣大智能手機用戶帶來了極大的便利,使得用戶可以通過電腦便利地管理手機信息,但是,便利性不能以犧牲用戶數據安全為代價。“除立法外,手機管理軟件廠商應建立技術交流機制,共同構建相關技術標準,推動中國移動互聯網健康發展。”
鏈接
用戶數據泄露后“亡羊補牢”
安全廠商發布密碼安全鑒定器
本周,人氣網站天涯社區被曝出用戶數據庫遭黑客公開,涉及的用戶量據稱有4000萬之多。對此,天涯方面回應,此次被盜的數據為2009年之前的備份數據,但尚未確認具體的泄露數據及原因。
記者了解到,針對越來越嚴重的密碼泄密事件,金山網絡等安全廠商已經發布一級紅色安全預警,提醒網民盡快修改密碼。金山還緊急推出了密碼是否泄露的快速查詢服務,并在金山毒霸“百寶箱”中新增了鑒定用戶密碼安全性功能的“密碼專家”。
12月21日,國內知名程序員網站CSDN的大量用戶數據庫被公布在互聯網上,600多萬個明文的注冊郵箱和密碼被曝光。12月22日,泄密事件繼續擴大,更多網站卷入其中,網上曝出人人網(微博)、天涯、多玩等多家知名網站的用戶數據也被泄露。
據悉,該事件為近年來規模最大的互聯網泄密事件,大眾網民連夜修改網上賬戶和密碼。由于牽涉網站眾多,且很多網民在多個網站均使用相同的賬號和密碼,雖然修改了部分賬號與密碼,但心里仍然不能確定自己隱私是否安全。
大量用戶數據被公開后,分析發現,國內網民的密碼安全意識十分薄弱。CSDN高達640萬個賬戶信息被曝光后,有人對此進行統計,結果顯示,有239萬人的密碼和別人存在重復。在所有密碼中, “123456789”使用率最高,有23.5萬人在使用;其次為“12345678”有21萬多人使用。
記者了解到,目前,國內殺毒廠商也開始提供相關服務。金山毒霸就應急推出了“金山密碼專家”。它不僅能鑒定密碼的強度,還能根據用戶輸入密碼實時推薦強度較高的“優化密碼”,且針對用戶高頻使用的密碼或已被網絡曝光的弱密碼,它會給予用戶警告。
推薦閱讀
部分公交車輛上POS機的時間確實與標準時間存在誤差,類似的乘客遭遇并不是個例。對此,公交公司表示,駕駛員發車前應校準POS機的時間,乘客若發現有時間誤差,可以向司機提出,也可向公交熱線反映。 明明是在兩個小時>>>詳細閱讀
本文標題:CSDN遭黑陰影未過 豌豆莢漏洞再現隱憂
地址:http://m.sdlzkt.com/a/xie/20111230/163460.html
網友點評
精彩導讀
科技快報
品牌展示