网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　G3商讯：个人信息泄漏早已算不得新鲜话题，近日来，寒门学子徐玉玉等人的被骗离世又将这个话题推上了风口浪尖。无独有偶，《移动互联网金融APP信息安全现状白皮书》近日发布，又将问题的矛头指向了智能移动终端上的APP，报告指出，目前国内移动互联网金融APP存在大量信息安全问题。国内大部分为客户提供移动金融服务的APP都缺少规范的安全监管的标准和流程，许多APP缺乏对其代码和业务逻辑的充分安全性的测试，客户的信息很可能置于风险之中。个人信息泄露问题严重，也许危险就存在于我们身边，我们该如何防范这些危险的发生呢?开始这个话题之前，我们先来分析几个典型的案例。

　　案例一，iOS史上最为严重的系统漏洞出现，运营商“罕见”发公告提醒用户及时更新版本

　　9月12日，上海电信在其网上营业厅发出一则“重要提醒：iPhone用户请注意!”的公告，建议用户尽快升级自己的iPhone操作系统，避免个人隐私泄露等安全问题的发生。运营商发公告提醒用户更新iOS版本，这是比较少见的。运营商之所以这样做，是因为这次iOS遭遇了其史上最为严重的系统漏洞，用户如果不及时更新，个人信息有可能被窃取，通话、社交聊天等信息可能被截获，更可怕的是iPhone手机还可能变成被不法分子控制的远程音频视频录制器。

　　据了解，iOS系统此次更新主要是针对三个新发现的iOS漏洞。这三个漏洞统称为Trident，其中一个存在于Safari WebKit(一种开源的浏览器引擎)，一旦目标用户被盯上，点击一个网页链接，或将导致“整台设备就‘缴械投降’了”。另一个漏洞存在于iOS核心，有可能致使信息泄露，第三个问题是内核内存损坏。这三个高危漏洞被研究人员称作“三叉戟”。简单来说，如果用户点击黑客发来的链接，就可能导致手机被远程控制，聊天记录、密码泄露，黑客可利用这些漏洞获得对iPhone的几乎全部控制权。

　　这已经是苹果继icloud泄露事件之后再一次被爆重大漏洞，好在还未因此造成负面影响。在此笔者提醒广大iPhone用户，尽快升级系统，防止漏洞被有心之人利用造成个人损失。

　　案例二，APP厂商迟迟不肯修复漏洞导致大量隐私信息泄露，微博热议引网民不满

　　事件起因，早在去年，乌云漏洞发布平台就公布了一家专门做体育场地整合的公司“新赛点”就被大量用户举报有泄漏个人信息的行为，并且乌云也公布了新赛点“泄漏用户敏感信息”的漏洞，危害等级被评为：高。通过新赛点泄漏出的内部管理系统无需密码和账号就能看到用户姓名，身份证号，联系方式，银行卡信息，涉及的银行包括中国银行的美运卡、无限卡;广发银行的私人银行、信用卡;民生的钻石卡等等。此漏洞在发布之前就已通知其厂商，然而从去年截止至今，此漏洞一直未修补。

　　后因用户接到大量骚扰电话发现泄露根源在此，随即在微博上曝光了这件事，并举出大量的实例。(原微博为#新赛点漏洞百动网导致广发，中行，民生等银行的大量客户信息被泄露#)微博发出后又有多人评论转发，进而引起大部分网民的不满，导致网民再次对信息安全问题感到担忧。此事虽不是APP行业中的个例，但笔者依然想提醒下其厂商，知错能改善莫大焉。

　　从以上案例可以看出，在智能移动终端可能导致个人信息泄露的问题主要存在于两方面。一是终端系统自身存在的漏洞，无论是安卓系统还是iOS系统，漏洞都是不可避免的，及时修复升级才能保障个人信息的安全。二是终端中的不安全APP，这个问题由于各种各样的原因说起来比较复杂，下面笔者从几个方面介绍一下防范措施。

　　一，谨慎root/越狱。root/越狱后的终端更容易被恶意APP破坏，且破坏程度比一般非root/越狱终端更严重。同时root之后，可以随意删除系统文件，容易因为误删而造成系统崩溃。越界有风险，爬墙需谨慎。

　　二，注意系统提示的权限信息。在安装APP时，系统可能会提示该应用即将获取使用系统权限的信息。比如要求“获取位置信息”“访问通讯录”“连接网络”“发送短信”等。这时候千万不要掉以轻心，一定要根据直接的需求慎重决定是否继续安装或者是否对该应用授权。比如安装一款单机游戏，系统却提示需要“读取通讯录”权限，这一权限与该应用的常规功能并不匹配，那么就可能存在问题。所以大家在安装APP的时候一定要谨慎小心。

　　三，选择官方下载。相比而言，在官方下载的APP安全系数会高一些，不过现在许多应用商店都为APP附加了安全标签，如“官方”“安全”“无广告”等。用户可以优先考虑下载具有安全标签的应用。