信息来源:Freebuf
又是一年一度的3·15晚会。本届3·15晚会以“公平守正,安心消费”为主题,让我们一起看今年央视如何实锤不安全。
随着互联网逐渐渗透至生活的方方面面,网络安全问题也成为了3·15晚会常客,尤其是近几年,网络安全所占的比重越来越大,那些隐藏在互联网伪装下的违法、违规行为,赤裸裸地出现在观众的眼前。
在2022年3·15晚会上,网络安全问题依旧是重头戏,涉及“直播诱导刷礼物”、“人为操纵评价、口碑”,“浏览网页就能泄露手机号”,“电脑APP安装乱象”等多个网络安全相关案例。
值得一提的是,本次3·15晚会首次设立了信息安全实验室,并测试了两款产品,分别是“免费WiFi”和“儿童智能手表”,揭露了以免费之名行诱导下载之事的五花八门的“免费WiFi”APP;也披露了链家“儿童手表”不安全的地方和原因,期望能够引起家长和厂家的重视。
正如3·15晚会总导演所说,“3·15晚会不是为了打击谁,而是给一些厂家一个善意的提醒。你在做好产品的同时,别忘了你的软件背后的安全也很重要。信息安全在万物互联时代,比产品本身更重要,这是我们给大家的一个提醒。”
网络安全违法、违规何其多
2022年的3·15晚会向用户展示了一大波网络安全违法、违规的操作,尤其是各种互联网技术手段的加持,让这些违法、违规操作变的更加隐蔽且危害巨大。
1、人为操纵口碑
央视3·15晚会曝光网络水军刷评问题:靠口碑机构伪造、篡改标题评论、左右搜索结果等行为,点名了牛推等多家企业。而所谓的口碑不过是一场人为的作秀,也正应了那句老话:我们所看到的答案,都是那些不良企业想让你看到的。
这些企业手中掌握着大量的素人账号,所有的问题全部都是提前策划好,再利用这些账号自问自答,伪装成用户的真是反馈,从而提高企业的口碑和评价,诱导用户选择。更有甚者还可以做到传说中的“万词霸屏”,企业关键词高达十几万个,无论用户搜索什么显示出来的都是某企业或某产品,让人避无可避。
而针对一些负面评价,某些公司利用所谓的技术手段直接删帖,用户点击进去后显示“404”页面,或者是篡改原有的标题,千方百计掩盖其负面消息。
2、浏览网页就会泄露手机号
只要浏览了网页,你的手机号码就会被泄露出去,并被企业打包卖给其他公司进行电话推销,这样的经历让人不寒而栗。推销电话、骚扰电话、大数据的精准推送等现象屡屡发生,互联网营销的精准不能建立在非法获取、加工、买卖个人信息上。
本届3·15晚会曝光了多家企业抓取网上数据。根据杭州以渔公司总经理介绍,用户只要浏览网站,即使没有留下电话信息,也可以给用户打电话。通过收集手机上的MAC码,即识别码,便可以精准匹配对应手机。
同时还有一些公司专门为推销电话做伪装。比如被曝光的融营通信公司,就专门为一些电销公司搭建外呼系统、提供外呼线路。通过融营通信外呼系统拨打骚扰电话,可以隐藏真正的主叫号码,防止被投诉。上市企业容联云通讯旗下子公司容联七陌则为骚扰电话推出了另一种技术,来应对用户的投诉和监管。
3、电脑APP“高速下载”一拖六
用户在下载安装软件时,可能会去一些专门的软件网站下载,下载完成后电脑上却多了很多垃圾软件,莫名其妙出现一些弹窗广告,甚至电脑变得有些卡顿。而这些软件和弹窗广告的出现,就是电脑APP“高速下载”搞的鬼。
在调查采访中,记者发现PC6下载站、桔梗下载站、腾牛网、ZOL软件下载等平台均涉嫌利用“高速下载”的噱头捆绑下载,而它们所使用的“高速下载”均是由百助公司提供。它们都有一个绿色的、很显眼的高速下载选择,下面还有一行小字提示:提速50%,需下载高速下载器。
百助公司销售部业务经理却告诉记者,这个所谓的高速下载只是一个噱头,跟普通的软件下载没有任何区别,为的是诱导用户通过百助下载器下载软件。
因此,当选择了“高速下载”后,用户选择的是安装更多的捆绑软件,有时候用户即使将所有默认勾选取消掉,关闭下载器,有时也会有弹窗广告像牛皮癣一样不时出现在电脑右下角,如果用户习惯性地点击右上角试图关闭广告,就很可能会被偷偷的静默安装其它软件。
3·15晚会曝光的百助公司不过是其中的一个案例,事实上许多下载网站都在使用这一套路,堂而皇之往用户电脑上塞垃圾软件和广告。
首设信息安全实验室
和往年不同的是,2022年3·15晚会首次设立了信息安全实验室,针对消费者日常生活中那些容易忽视的信息安全隐患,进行专业测试,及时发出风险预警。 首先测试的两款产品分别是“免费WiFi”和“儿童智能手表”,测试的形式也直观展示了,“免费WiFi”的大陷阱和“儿童智能手表”存在的巨大安全隐患。
1、免费WiFi不免费
应用市场上,打着提供“免费WiFi连接”服务的应用程序比比皆是,但真正为用户提供服务的却没有多少。因此,“免费wifi”成了信息安全实验室的第一件测试品。
在测试过程中,测试人员尝试了所有号称免费的WiFi资源,没有一个能连上。但连接测试结束后,两个陌生的应用程序自动下载到手机里。测试人员发现,连接时点击过的“确认”和“打开”字样的弹窗,都是伪装的广告链接。
一旦用户被诱导点击,没有任何提示,广告链接中的应用程序就会自动安装到手机里。最终,用户想要的免费WiFi没用上,手机里却多了一堆莫名其妙的应用程序。
工程师进一步测试发现,这类免费WiFi的应用程序还在后台大量收集用户信息。比如,一款叫“雷达WiFi”的应用程序,一天之内收集测试手机的位置信息,竟然高达67899次。这意味着,用户从早到晚、包括睡觉,这些应用程序都在不断定位,用户的生活轨迹、行踪,甚至是职业、喜好都会被曝光。更可怕的是,多了这些应用程序后,手机间歇性抽疯,各种广告自动弹出,不看够5秒还关不上,用户躲也躲不掉。
一些不法分子还不断翻新网络欺诈的手法、套路,甚至将人工智能机器学习、大数据挖掘等新技术应用都在违法违规的行为上,使其更加的智能化、低成本化、隐蔽化。
2、儿童手表安全隐患多
儿童智能手表是信息安全实验室测试的第二款产品。
当下,给孩子买一块儿童智能已经越来越普遍,随时可以联系孩子,掌握孩子的行踪也让很多家长放心,但是市面上的很多儿童手表都存在严重的安全漏洞,存在巨大的安全隐患。
测试人员挑选了一款在电商平台上卖的十分火爆的儿童智能手表进行测试。当小朋友扫描了一个伪装成抽奖游戏的恶意软件二维码后,这款儿童智能手表就被轻松攻破,测试人员可以远程控制该手表。
比如窃取手表中的通讯录、通话记录等重要信息;实时定位手表的位置,通过多次采集到的位置信息还可以推断小朋友家和学校的位置,获取其活动范围;还可以调用手表的相机、麦克风等各种权限,时时刻刻偷窥着孩子和其家庭的一举一动。
测试人员发现根本原因就在于这款智能手表的操作系统过于老,使用的还是10年前的安卓4.4操作系统,没有任何权限管理要求,因此可以轻松攻破并调用各类权限,获取孩子的各种隐私信息。
此外,测试人员还测试了其他的儿童智能手表,发现在安装APP时会弹窗提示索要各种权限,一旦用户拒绝那么APP就会闪退,不再提供任务服务。
在测试过程中,一个天气APP竟然需要读取照片、拨打电话、查看通讯录等多种权限,完全超过了该APP的必要权限,而当测试工程师点击拒绝后,这个APP马上就闪退了。此时消费者只有两种选择,要么提供权限,要么不再使用。
而一旦用户把权限交出去,手表里的信息也就交出去了,孩子的地理位置、图片视频、通话录音等隐私将会被收集,孩子的安全隐患可想而知。
国家持续治理信息安全乱象
针对网络领域和数字经济的新型侵权行为,各级政府也在不断完善治理体系,提高治理能力现代化水平,改进监督技术和手段,把监管和治理贯穿全过程。
中央网信办深入开展2021年“清朗”专项行动,指导主要网站平台取消各种明星榜单以及相关超话社区榜单,有效遏制因榜单排名而滋生的应援打榜、刷量投票、数据造假等乱象。重点整治饭圈乱象,在主要网站平台解除多个网络名人账号和虚假粉丝关注关系,严肃处置各类恶意营销账号,有力打击了互联网用户账号违法违规行为。
2021年工业和信息化部重点聚焦违规调用手机权限,超范围收集个人信息等问题,整治手机APP开屏弹窗关不掉,乱跳转现象。开展了12批次APP技术抽检,通报了1549款违规APP,下降514款拒不整改的APP,大力推进APP专项整治工作。
国家市场监督管理总局部署开展2021年“网剑行动”,各地督促平台删除违法商品信息113.4万条,责令停止平台服务的网店2.5万个次,查处涉网案件2.2万件,着力解决网络消费痛点难点问题,有效保护消费者知情权和选择权。
督促平台删除违法商品信息113万余条,责令停止平台服务的网店2.5万个次,查处涉网案件2.2万件,着力解决网络交易痛点难点问题。
当下,用户的隐私被各种技术手段肆无忌惮的抓取,并被滥用至电话推销中,给用户带来了无休止的电话骚扰。而在黑科技的加持下,我们看到骚扰电话组成了一条黑色产业链,让你我变成了没有隐私的透明人。
互联网营销更加精准,更加高效,但这并不能够建立在随意收集、违法获取、过度使用、非法侵害个人信息权益的基础上,置身互联互通的网络时代,个人信息的采集与记录十分普遍,这为拓展网络应用提供了条件,但同时也为个人信息安全提出了更高要求。
2021年的11月1号,个人信息保护法正式实行,明确了任何组织个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖提供或者公开他人个人信息,只有把法制的篱笆扎紧扎牢,才能彻底斩断骚扰电话的利益链条。