网络安全315:这些信息泄露事件,你肯定中过招!

百家 作者:锦行科技 2022-03-16 21:05:59

3月15日晚,一年一度的央视315晚会正式举行。今年的315晚会以“公平守正 安心消费”为主题,继续关注消费领域的违法侵权现象。


自2017年以来,央视315晚会每年都会曝光一些网络安全事件,今年晚会首设315信息安全实验室,重点关注网络信息安全和儿童互动产品的信息安全。


“信息安全在万物互联时代,比产品本身更重要”晚会总导演尹文接受采访时说到。


信息安全相关案例

此次315晚会揭露的九类消费问题中,有三大案例与个人信息安全相关:

免费WiFi连接

手机应用市场上,打着提供“免费WiFi连接”服务的应用程序也比比皆是。


315信息安全实验室测试人员从应用市场下载并安装了“WiFi破解精灵“后,发现里面罗列着一大排WiFi资源。然而点击多个“免费连接”,却显示破解失败,反而有两个伪装的广告链接中的应用程序自动安装到了手机里。


测试人员发现,秘密就隐藏在刚才点击过的“确认”和“打开”字样的弹窗里,这其实都是伪装的广告链接。一旦用户被诱导点击,没有任何提示,广告链接中的应用程序就会自动安装到手机里。


免费WiFi没连上,手机被莫名其妙的应用程序占满,且这一类应用程序还在后台收集包括地理位置在内的手机用户信息。比如,一款名叫雷达WiFi的应用程序,一天之内就可以收集这款测试手机的位置信息多达67899次。

手机浏览网页

比免费WiFi更隐蔽的信息窃取方式——用手机浏览网页,没有留下任何联系方式,竟然会收到骚扰电话。


央视315晚会曝光,某通信专门为电销公司搭建外系统、提供外呼线路,会向拨打骚扰电话的公司收取每分钟0.1元左右的通话费。公司相关人员表示,有很多电销公司在通过他们的系统拨打骚扰电话,只是话术进行了伪装。

场景一:隐藏真正主叫号码

某通信公司销售部:《中华人民共和国民法典》里面明确规定,是不能陌拜客户的。你像我们平常就说陌拜,或者说陌call(拨打)。


记者:陌拜陌call(拨打)意思是对方不同意,或者说是等于打骚扰电话的意思吧?


某通信公司销售部:对,其实就是盲打。

“陌拜”只是业内对骚扰电话隐晦的称呼。通过某通信公司的外呼系统拨打骚扰电话,可以隐藏真正的主叫号码,防止被投诉。


以下场景二中,骚扰电话同样被隐晦地称作“陌拜”。公司为拨打骚扰电话的用户推出了另一种技术,来应对用户的投诉和监管。

场景二:来电号码轮显

公司业务经理:只能给您申请有一个号码池的那种,号码池里面有几十个、几百个、几千个号码。您每外呼一次,就会轮显里面一个号码。


记者:每次显的号码,是不一样的吧?


公司业务经理:对,而且有可能是以前被人家用过的。

此外,还衍生了一些信息技术公司,为骚扰电话提供大数据支撑,由此形成了一条环环相扣的“灰色产业链”。

儿童智能手表

手机之外,儿童智能手表也成了“行走的偷窥器”。315晚会,央视曝光了低配版的儿童智能手表安全问题。


工程师对一款儿童智能手表测试后发现,低配儿童智能手表藏隐患,恶意程序可轻松进入到孩子的智能手表中,孩子的位置、人脸图像、录音等个人信息被非法获取。


而问题的根源,就在于这款智能手表为了降低成本,选用了过于老旧的操作系统。这是一款没有任何权限管理要求的安卓4.4操作系统,距今已将近10年。而它的最新版本已经更新到了安卓12。


只要App申请什么样的权限,安卓4.4操作系统就会给App什么样的权限,也不会有任何告知用户和得到用户授权同意的环节。


各种App安装后,无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限。这也就意味着它们能轻易获取孩子的位置、人脸图像、录音等隐私信息。


这些厂家选用低版本的操作系统是出于压低成本的考虑。但是它忽略了用户使用的安全性,给消费者带来了无穷的后患。


3·15信息安全实验室也对其他低配版的儿童智能手表进行测试。这款儿童智能手表使用的是安卓9的操作系统,看起来版本较新。安装App时,系统会弹窗提示是否给予某个权限。可是,一旦拒绝授权,App就会闪退,拒绝提供任何服务。

如此,消费者只有两种选择,要么完全不用,要么就拿所有的权限去换取服务。

案例来源|央视财经


那么,导致信息安全问题出现的原因是什么?其中很大部分是因为权限管理问题


当一个人的位置、通讯录、通话记录等等,通过各式各样的智能设备形成一条条数据,就能够让他变成完全透明的状态,进而被有心人利用,或用于商业行为,或用于犯罪行为,最终对我们的生活、财产造成伤害。


内部威胁是由于数据泄露造成的,而数据泄露的首要原因依然是账号密码的泄露,这就不得不提起守护账号密码安全的特权账号管理。


特权账号管理平台——安权


锦行科技凭借多年的行业经验,结合客户实际痛点及诉求,在满足监管合规要求的前提下,围绕信息安全防护核心需求自主研发了一套以身份认证为中心进行动态访问控制的特权账号管理平台——安权。通过对特权账号用户进行精细分级授权,实现企业特权账号安全、自动化管理;建立统一认证管理体系和密码管理模式,确保特权账号的安全。同时,具备完善的审计管理机制,保证特权账号的合规。

安权在践行零信任安全架构的理念,实现对特权账号持续性安全管控:

1

特权账号全生命周期管控:

通过资源管理、访问控制与审计、账号发现与改密等实现账号的全生命周期管理


2

灵活精准的分级授权管理:

使用PBAC安全模式,支持无限层级,任意维度授权,满足多种精细化管理需求;


3

完善的审计管理机制:

从自定义角色,多维访问授权,工单流程审批等实现过程全透明,全程可审计;

4

防盗式”合规性密码安全策略:

一旦账号被攻击者盗用之后将无法正常使用,同时满足密码合规性要求;


5

“水密舱” 安全结构设计:

结合企业实际业务需求可实现动态式的结构设计,可最大限度保障业务开展。




作为中国新一代主动式网络与数据安全防御专家,锦行科技专注于Web安全、攻防渗透、APT防御等多个领域。服务客户覆盖政务、金融、能源、科技等百余家企业。未来,锦行科技时刻以社会利益为己任,坚持“使科技更可信,让世界更安全”的企业使命,守护个人信息安全,为网络安全建设和国家利益贡献自己的力量。


推 荐 阅 读






关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接