当心!手机正在出卖你
近日,央视在报道中披露,苹果手机一项功能暗藏隐私泄露的危险,当用户在使用时,位置等信息将会被记录。这将在一定程度上危及个人信息安全乃至于国家网络安全。这一事件一时间成为社会关注的焦点,并再次引起人们对移动互联网安全的担忧。
定位功能 争议由来已久
中国在全功能接入互联网20周年后,目前,已成为一个不折不扣的网络大国。根据中国互联网信息中心于7月22日发布的《中国互联网络发展状况统计报告》,截至2014年6月,中国网民规模达6.32亿,互联网普及率达到46.9%。而随着3G的普及和4G的加速推进,我国网民手机上网使用率首次超越PC端,手机成第一大上网终端设备。
移动互联网的发展和智能终端设备的普及,极大地改变了人们的生活形态。然而新技术也是一把双刃剑,它在给我们带来了巨大的便利的同时,也使得我们的隐私保护和个人信息安全等面临着一系列的风险和挑战。而手机作为移动互联网的主要载体,其安全尤为引人关注。
正如中国工程院倪光南院士指出的:“智能终端设备的用户数量以‘十亿’计,一般提供操作系统的公司很容易获取用户的身份、账号、位置、活动、爱好等信息,所以在各种监控计划中,智能终端设备往往会扮演重要的角色。”
据央视近日报道,苹果iPhone5S手机有一项默认打开的定位服务。该功能详细记录了用户在什么时间去过哪些地方,以及在该地点停留了多长时间。该功能可以根据手机定位服务显示信息完整分析个人行迹,将活动地点自动分析、归类。值得注意的是,此种获取信息的方式与软件使用同步,并且比手机基站、WIFI等定位精度更高。
苹果公司在回应央视报道时表示,“坚持给予用户清晰而透明的提示和选择,让用户得以控制自己的信息。”实际上,手机定位功能是可以关闭的。但根据中国人民公安大学网络安全保卫学院院长马丁在接受媒体采访时的说法:“即使用户将定位功能关掉,也不会改变后台系统,该系统还是能将手机软件使用时所在地点、时间等信息完整地记录下来。”
设想一下,当用户是肩负着一些特殊使命的政府领导人或者对外谈判代表时,其行踪或其他个人信息如果被泄露出去,其对手就可能掌握其行踪,洞悉其秘密,进而采取相应对策,甚至可以达到“不战而屈人之兵”的目的。相关人士指出,这一功能在给用户带来个人信息泄露危险的同时,也会危及到国家信息安全。
这个问题其实由来已久,相关公司在2011年和2012年,就因为在美国和韩国涉嫌搜集用户位置信息受到起诉和处罚。
手机安全 面临三大挑战
尽管围绕“定位功能”的这段公案众说纷纭,但移动互联网安全面临信息泄露挑战和威胁是毋庸置疑的。
首先,移动终端无法像PC端那样内置功能完善的防病毒软件,移动终端上的病毒比在PC端上要多、危害也更大。据专家介绍,目前,移动终端上的恶意程序还在快速增长,截至2013年,达到了200多万个。其中,某些恶意软件可以实现对用户的电话窃听、环境监听、短信监控、GPS定位等。当特定恶意软件被植入后,手机已经变成一个窃听器了,用户的相关信息会传送到这一软件的监控端,而这一行为是在未经用户同意和认可,并在用户毫不知情的情况下实现的。
另外,大数据和云计算的出现,也对移动互联网安全提出了新的挑战。正如有专家指出的,海量的个人信息,经过大数据的处理,汇总到一起后,一些原本平淡无奇的数据,甚至成为反映国民经济的关键数据。中国工程院院士邬贺铨在2014年计算机网络安全年会上指出:“大数据对我们也是很大的挑战,中国人口居世界首位,但是2010年中国新储存的数据仅为日本的60%和北美的7%,而且我国所存的数据有一半未受到保护。”
随着云计算应用的发展,云安全开始成为一个广泛关注的问题,这也为云时代的隐私保护提出了更高的要求。“云计算首先就是安全。”北京工业大学计算机学院蔡永泉教授说。
此外,斯诺登事件的出现也说明中国信息安全面临重大挑战。正如有专家所指出:“斯诺登和其他一些相关事件也表明,之前根据对象、有选择的监督,已变成无所不在的监控。”中国互联网新闻研究中心于5月26日发表的《美国全球监听行动记录》报告指出,美国互联网主要的九大软硬件供应商都提供了很核心的技术支持,并与美国国家安全局合作。
尽管苹果公司在近日的声明中表示,“从未与任何国家的任何政府机构就任何产品或服务建立过所谓的‘后门’。”但在苹果和安卓手机操作系统被美国国安局视为数据资源金矿的情况下,正如《美国全球监听行动记录》提到的,美国国家安全局多年前就已攻破了主要公司开发的几乎所有安全架构,“美国国家安全局至少从2008年起,向全球近10万台计算机植入专门软件,旨在时刻监控或攻击目标计算机。即使计算机没有连接上网,美国国家安全局仍可通过无线电波入侵。”显然,美国毫无底线可言的监控,也使得手机用户的信息安全面临着威胁。
多管齐下 维护隐私安全
正如邬贺铨院士所说的:“现在处于大智移云时代(大数据、智慧城市、移动互联网、云计算的时代)。当前移动智能终端与PC端相比安全挑战更严峻,因为它涉及的用户身份信息多,它具有定位能力但可能被跟踪,增加了安全的风险。移动支付涉及银行账号,财产的安全不可忽视。”令人遗憾的是,一直以来,移动终端的操作系统,中国缺乏自主控制能力,维护信息安全可谓任重道远。
事实上,为了保护信息安全,世界上一些国家已经出台了相应的法规,这为中国提供了一个借鉴。为此,中国也应加快制定网络安全战略和相关政策,加速构筑综合防范体系,完善相关制度。值得称道的是,最近中央网信办发布网络设备安全审查制度,在这方面迈出了坚实一步。这一制度规定重点应用部门需采购和使用通过安全审查的产品,以确保安全性和可控性。
“如果操作系统本身不可控,只是在计算机外围加信息安全产品进行防护,往往是没有成效的。”倪光南如是说。因此,加大自主创新力度,协同创新,开发自主可控的国产开源软件,提高核心设备的国产化水平,才是治本之策。真正基于开源软件发展国产软件,既能提高开发效率,又能减少手动和存在后门的风险。
尽管中国在相关领域受制于人,手机操作系统基本为苹果公司和谷歌所控,核心芯片很多仍然依赖进口,存在后门风险,在信息安全领域难以做到自主可控,但中国庞大的市场以及相关企业已有的资金和技术的积累,已为中国在研发领域取得突破创造了条件。
移动互联网的发展呼唤并需要“中国式突围”。“我们需要完善产业基础,突破基础设施不可控思维,实现产品技术的服务化。要改变信息安全人员缺乏的状况,加强信息安全深度感知技术研究,研究新技术、新应用环境下的信息安全防护方法。”北京一家信息科技公司负责人如是说。
雪漠文化网,智慧更清凉!www.xuemo.cn