APP处处皆陷阱个人隐私还有没有安全(2)

发布时间:2015-10-30 11:28 作者:丁丁来源:搜狐IT 点击:加载中...次

　　APP开发流程不规范致用户遭殃

事实证明，并没有完全安全的系统或应用程序，黑客是否会破解一个系统或应用，完全要看破解之后是否能给黑客带来价值。

众所周知，业界普遍有种说法是MAC系统、Linux系统非常安全。但从黑客角度来看，当地一个系统用户量很少时，即使破解了，也给其带来不了多少价值。CIH病毒作者陈盈豪对搜狐科技表示，对黑客而言，破解Windows、Android、iOS等用户基数大的系统或应用，甚至利用漏洞盗取企业或个人用户的信息，能让黑客有更大成就感，他们也能从这些行为中获得更大价值。

一位安全行业人士对搜狐科技表示，现在很多应用开发公司对安全重视程度并不高。这主要表现在两个方面，一是在流程管理方面，二是在应用开发方面。

以苹果XcodeGhost事件为例，事件发生后，安全厂商及受波及的应用开发公司，几乎都避重就轻，只注重技术层面的分析，而没有从根源上认识到程序开发过程中因流程不规范而导致的这些问题。如果应用开发团队都是用官方的套件做开发并在之后的审核等流程中做有效的控制，根本不会出现这样的问题。

这件事情暴露了很多知名互联网公司内部IT安全管理、代码复审等环节存在严重不规范的问题。因为这些企业的原因，导致用户设备信息甚至个人信息泄露，需要引起业界足够的重视。

　　金融P2P应用安全堪忧

随着互联网金融的发展，企业不重视安全的问题，在移动支付、理财类应用上也日益突出。

据搜狐科技了解，目前除了银行类APP应用及第一梯队互联网公司的金融类应用安全性更有保障外，其它中小企业的金融P2P、理财类等应用或多或少都存在安全隐患。

一家安全企业日前给搜狐科技完整演示了四五家P2P及理财应用中还没有正式对外披露的漏洞。

从这家安全企业演示的过程来看，一家位于广州的互联网金融公司，其一款基金类应用甚至明？发送用户的账号和密码。用户的姓名、？份证、预留？机号码、银？卡号也同样使用明？传输，存在极大安全风险。

这家金融公司旗下另一款理财类应用，虽然数据传输进行了加密，但全程使用http协议，而没有采用业界普遍使用的https协议，数据存在传输过程中被劫持并篡改的风险。

另一家位于深圳的金融理财公司，其APP在验证用户？份时，姓名及？份证号也同样使用明？传输。更奇葩的是，在验证用户身份时，这款APP对姓名并没有做校验，只要身份证号曾经在这个APP上注册过，输入任意姓名+真实身份证号就能验证通过。

　　与其教育用户，不如从源头保证安全

趋势科技安全研究副总裁Rik Ferguson对搜狐科技表示，Android系统的开放性及碎片化，使得这个系统存在大量的漏洞，也让恶意代码有了生存空间。但Google一直不愿承认恶意代码的问题。Android平台的用户也有很多人无法意识到这个问题的存在，无法或者也没有能力去花更多时间和精力保护他们设备的安全。

Rik Ferguson表示，从用户方面来讲，因为大部分用户本身不懂技术，而且他们对于安全甚至对于手机本身也不是怎么感兴趣，所以要想从用户方去解决安全问题，不见得是一个好的方案。Ferguson认为，安全厂商与制造商、运营商、互联网服务商、应用开发企业等渠道加强合作，确保各平台及管道是安全的，从源头去保护用户的信息安全，会更加现实。

此前CSDN、天涯等网站的数据库被黑，QQ群数据被黑客公开，多家商旅网站数据库被黑客拖库等事件，以及这次网易邮箱漏洞事件，也从侧面说明，在保护用户个人信息安全方面，安全机构、企业等平台的责任更大。

　　个人如何保护信息安全？

更安全的安全机制是保护个人信息安全的有效机制，但这也不是说个人用户就可以高枕无忧了。

IDC最新的数据统计报告显示，苹果手机全球占比在2015年第二季度出货量呈季节性下降的趋势，占比为13.9%，出货量为4750万部;Android系统手机占比为82.8%，出货量约为2.828亿部。

CNNIC最新报告显示，截至2015年6月，我国手机网民规模达5.94亿，较2014年12月增加3679万人。尽管手机、PAD等终端增长放缓，但移动互联网用户数量仍保持较高的增长速度。

庞大的用户基数，也使得黑色产业链更关注个人信息的收集与利用。瑞星安全专家唐威表示，个人信息安全的保护一直被大众所忽略。很多用户认为，自己的电脑或手机上安装了安全软件就万事大吉了，其实，有了安全软件的保护，还远远不够。

在IDG主办的第四届Android全球开发者大会上，一位做APP推广的从业人员对搜狐科技披露，国内很多Android应用都试图获取更多的用户信息。由于国内大多数品牌Android手机出厂时都内置了安全软件，恶意应用一般会被安全软件自动拦截。不过，为了能绕过安全软件，不少做推送的厂商都跟国内外安全厂商接洽，以避免其应用被安全软件自动拦截。如果这类软件没有特别过分的行为，一般安全厂商往往会设置相应的规则，允许这类软件默认获取用户的设备信息等后台行为。据搜狐科技了解，这样的做法在十年前的PC互联网时代曾经很普遍，当时国内外不少安全软件厂商的产品，曾对占据用户桌面、浏览器及任务栏中的流氓软件不闻不问。

唐威表示，对于个人消费者而言，使用安全性更高的密码并定期更新;谨慎使用社交应用，不点击朋友圈里的不明网络链接;从官方网站下载APP应用;不随意连接公共场所的无线网络等措施，可以在一定程度上保证自己的信息安全。不过，这些措施也不是万能的，企业及用户从根源上树立必要的安全意识才是最重要的。

(责任编辑：安博涛)