多款安卓軟件曝隱私漏洞 手機(jī)管理安全標(biāo)準(zhǔn)待出

　　就在CSDN泄密還未平息之時(shí)，豌豆莢等多款安卓手機(jī)管理軟件也曝出安全漏洞。在公共WiFi環(huán)境下，安卓手機(jī)用戶可能會被處于同一網(wǎng)絡(luò)的攻擊者盜取所有個(gè)人隱私信息，這也是目前為止國內(nèi)最嚴(yán)重的智能手機(jī)安全風(fēng)險(xiǎn)。有關(guān)專家倡議，應(yīng)未雨綢繆，盡快構(gòu)建手機(jī)管理安全標(biāo)準(zhǔn)，以保護(hù)移動互聯(lián)網(wǎng)時(shí)代的隱私安全。

　　消費(fèi)者

　　對手機(jī)安全觀念淡薄

　　隨著移動互聯(lián)網(wǎng)的快速發(fā)展，手機(jī)管理軟件幾乎已經(jīng)成為智能手機(jī)的必備工具。它主要是方便智能手機(jī)與電腦之間的內(nèi)容同步。用戶通過該軟件，可在電腦中直接管理手機(jī)中的通訊錄、短信、照片、視頻、音樂等個(gè)人信息，也可以直接為手機(jī)安裝應(yīng)用程序和游戲等。

　　但記者在調(diào)查中發(fā)現(xiàn)，諸多的用戶在使用手機(jī)管理軟件時(shí)，并沒有什么安全觀念。記者在東單、西單等區(qū)域隨機(jī)走訪了一些智能手機(jī)使用者。他們大都認(rèn)為自己的手機(jī)管理軟件相對安全，并沒有什么風(fēng)險(xiǎn)�！拔抑皇窃谑謾C(jī)管理軟件上下載一些小程序，應(yīng)該不會有什么安全風(fēng)險(xiǎn)吧。”在新東安商場購物的鄭小姐告訴記者。

　　金山網(wǎng)絡(luò)安全專家李鐵軍告訴記者，手機(jī)管理這類軟件主要通過FTP(文件傳輸協(xié)議)服務(wù)來管理手機(jī)文件，但如果技術(shù)實(shí)現(xiàn)存在漏洞，就會導(dǎo)致在同一網(wǎng)絡(luò)下的計(jì)算設(shè)備均能登錄FTP訪問該手機(jī)。比如在咖啡館、商務(wù)辦公場所、機(jī)場等公共WiFi網(wǎng)絡(luò)環(huán)境中，攻擊者不經(jīng)允許就可以惡意訪問、上傳、下載或篡改、刪除手機(jī)信息，包括手機(jī)內(nèi)存、存儲卡中的照片、短信、聊天記錄、電話錄音、視頻以及其他文檔等個(gè)人隱私。

　　最新數(shù)據(jù)顯示，截至今年三季度，國內(nèi)網(wǎng)民擁有的安卓手機(jī)總量約2500萬臺，超過蘋果iPhone，成為最大的國內(nèi)智能手機(jī)平臺。此外，由于安卓平臺開源開放、價(jià)格較低，安卓手機(jī)正處于高速爆發(fā)的時(shí)期。因此該WiFi漏洞可能影響上千萬安卓用戶，是目前為止國內(nèi)最嚴(yán)重的智能手機(jī)安全風(fēng)險(xiǎn)。

　　3款安卓手機(jī)

　　管理軟件存漏洞

　　由于影響較大，該風(fēng)險(xiǎn)引發(fā)了安全機(jī)構(gòu)的極大重視。金山安全中心對此進(jìn)行了專門的技術(shù)分析，并發(fā)布了研究報(bào)告。該報(bào)告顯示，在360手機(jī)精靈、豌豆莢、騰訊手機(jī)助手這3款覆蓋了80%安卓手機(jī)的管理軟件中，360手機(jī)精靈帶給手機(jī)用戶的安全威脅最大。

　　據(jù)分析，360手機(jī)精靈也是通過FTP服務(wù)來管理手機(jī)文件的，但是它的FTP用戶名、密碼是沒有經(jīng)過加密的，明文保存在程序配置文件中，該密碼固定不變。而且，該FTP的登錄也并未限制客戶端，這就意味著，除了用戶自己連線的電腦外，其他電腦或者手機(jī)也可登錄該FTP訪問該手機(jī)。此外，360手機(jī)精靈目前通過360安全衛(wèi)士捆綁推廣，用戶的電腦和手機(jī)在沒有得到明確提示的情況下被靜默安裝，并默認(rèn)開機(jī)自啟動。

　　另外，與360手機(jī)精靈相比，騰訊應(yīng)用助手雖然也存在安全風(fēng)險(xiǎn)，但騰訊應(yīng)用助手不使用固定的訪問用戶名、密碼和端口號，也不使用FTP協(xié)議，有動態(tài)驗(yàn)證，因此風(fēng)險(xiǎn)較小。

　　記者發(fā)現(xiàn)，目前，這3款軟件在發(fā)現(xiàn)漏洞之后均進(jìn)行了升級。但有專家分析發(fā)現(xiàn)，即使升級之后，新解決方案仍然存在較大的安全風(fēng)險(xiǎn)。像豌豆莢升級后關(guān)閉了在WiFi環(huán)境下管理手機(jī)文件的功能來避免漏洞的風(fēng)險(xiǎn)，但豌豆莢使用的WiFi連接驗(yàn)證碼是固定的，仍然存在一定風(fēng)險(xiǎn)。

　　手機(jī)管理安全標(biāo)準(zhǔn)

　　提上日程

　　專業(yè)機(jī)構(gòu)LookOut的調(diào)查顯示，97%的手機(jī)用戶認(rèn)為，個(gè)人隱私最重要。尤其使用智能手機(jī)，其中得到的個(gè)人隱私信息更多。如果泄露，隨時(shí)會給個(gè)人生活帶來非常大的麻煩，甚至引發(fā)“艷照門”、敲詐門等更大的安全風(fēng)險(xiǎn)。

　　隨著公眾對隱私權(quán)的擔(dān)憂，制定相關(guān)的法律法規(guī)也被提上議事日程。記者通過查閱發(fā)現(xiàn)，目前只有《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》對個(gè)人信息做了初步界定，但屬于行業(yè)自律規(guī)范，不具有法律約束力。據(jù)悉，工信部正在制定《信息安全技術(shù)信息系統(tǒng)個(gè)人信息保護(hù)指南》。這個(gè)屬于個(gè)人信息保護(hù)的國家標(biāo)準(zhǔn)，仍在制定之中。

　　國內(nèi)殺毒廠商網(wǎng)秦的相關(guān)負(fù)責(zé)人表示，對于擁有永遠(yuǎn)在線、身份識別、位置和電子支付能力的智能手機(jī)來說，它的安全性遠(yuǎn)比PC時(shí)代復(fù)雜和嚴(yán)重。因此盡快出臺智能手機(jī)安全管理辦法和標(biāo)準(zhǔn)已是大勢所趨。

　　中國軟件資訊網(wǎng)相關(guān)負(fù)責(zé)人陳禮明表示，手機(jī)管理軟件確實(shí)為廣大智能手機(jī)用戶帶來了極大的便利，使得用戶可以通過電腦便利地管理手機(jī)信息，但是，便利性不能以犧牲用戶數(shù)據(jù)安全為代價(jià)�！俺�立法外，手機(jī)管理軟件廠商應(yīng)建立技術(shù)交流機(jī)制，共同構(gòu)建相關(guān)技術(shù)標(biāo)準(zhǔn)，推動中國移動互聯(lián)網(wǎng)健康發(fā)展。”

　　商報(bào)記者 金朝力/文

　　企業(yè)/供圖

　　鏈接

　　用戶數(shù)據(jù)泄露后“亡羊補(bǔ)牢”

　　安全廠商發(fā)布密碼安全鑒定器

　　本周，人氣網(wǎng)站天涯社區(qū)被曝出用戶數(shù)據(jù)庫遭黑客公開，涉及的用戶量據(jù)稱有4000萬之多。對此，天涯方面回應(yīng)，此次被盜的數(shù)據(jù)為2009年之前的備份數(shù)據(jù)，但尚未確認(rèn)具體的泄露數(shù)據(jù)及原因。

　　記者了解到，針對越來越嚴(yán)重的密碼泄密事件，金山網(wǎng)絡(luò)等安全廠商已經(jīng)發(fā)布一級紅色安全預(yù)警，提醒網(wǎng)民盡快修改密碼。金山還緊急推出了密碼是否泄露的快速查詢服務(wù)，并在金山毒霸“百寶箱”中新增了鑒定用戶密碼安全性功能的“密碼專家”。

　　12月21日，國內(nèi)知名程序員網(wǎng)站CSDN的大量用戶數(shù)據(jù)庫被公布在互聯(lián)網(wǎng)上，600多萬個(gè)明文的注冊郵箱和密碼被曝光。12月22日，泄密事件繼續(xù)擴(kuò)大，更多網(wǎng)站卷入其中，網(wǎng)上曝出人人網(wǎng)、天涯、多玩等多家知名網(wǎng)站的用戶數(shù)據(jù)也被泄露。

　　據(jù)悉，該事件為近年來規(guī)模最大的互聯(lián)網(wǎng)泄密事件，大眾網(wǎng)民連夜修改網(wǎng)上賬戶和密碼。由于牽涉網(wǎng)站眾多，且很多網(wǎng)民在多個(gè)網(wǎng)站均使用相同的賬號和密碼，雖然修改了部分賬號與密碼，但心里仍然不能確定自己隱私是否安全。

　　大量用戶數(shù)據(jù)被公開后，分析發(fā)現(xiàn)，國內(nèi)網(wǎng)民的密碼安全意識十分薄弱。CSDN高達(dá)640萬個(gè)賬戶信息被曝光后，有人對此進(jìn)行統(tǒng)計(jì)，結(jié)果顯示，有239萬人的密碼和別人存在重復(fù)。在所有密碼中， “123456789”使用率最高，有23.5萬人在使用；其次為“12345678”有21萬多人使用。

　　記者了解到，目前，國內(nèi)殺毒廠商也開始提供相關(guān)服務(wù)。金山毒霸就應(yīng)急推出了“金山密碼專家”。它不僅能鑒定密碼的強(qiáng)度，還能根據(jù)用戶輸入密碼實(shí)時(shí)推薦強(qiáng)度較高的“優(yōu)化密碼”，且針對用戶高頻使用的密碼或已被網(wǎng)絡(luò)曝光的弱密碼，它會給予用戶警告。