一年前几乎引起全民共愤的网络诈骗——“徐玉玉案”,7月19日迎来了一审判决。
同一天,腾讯社会研究中心与DCCI互联网数据中心联合发布了《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》(下称报告),这份报告显示,个人隐私保护依旧路途遥远,手机APP越界获取个人信息已经成为网络诈骗的主要源头。
这份报告披露了一组数据:
高达96.6%的Android应用会获取用户手机隐私权!而iOS应用的这一数据也高达69.3%。
用户更需警惕的是,25.3%的android应用存在越界获取用户手机隐私权限的情况。
基于手机应用的隐私窃取,给用户带来极大的安全隐患,比如诈骗案件、甚至生命财产安全等风险。网络诈骗也因此成为诈骗案的重灾区。
报告披露,今年一季度诈骗案件达25.3万件,其中网络诈骗占比达85.6%。
DCCI创始人胡延平表示,已经到了需要从源头重视越界获取个人隐私的时候。解决越界获取个人隐私问题需要形成长效机制。企业、用户和监管需形成一个体系共同解决问题。
Android和ios手机谁更安全?
移动互联网和智能手机的普及,各类手机应用(APP)应运而生。针对手机应用给用户隐私带来的隐患,DCCI联合腾讯社会研究中心进行隐私安全测试,并发布了该份报告。
本次研究隐私安全部分采取应用测试的方式,测试对象为Android手机应用及iOS手机应用。其中Android手机应用测试数量为813个,iOS手机应用测试数量为300个。
报告调查发现,96.6%的Android应用获取用户手机隐私权限。其中常用工具所占比例最大,达24.7%,网络游戏次之,占比达22.0%。25.3%的Android应用存在越界获取用户手机隐私权限的情况。
越界获取隐私权限是指手机应用在自身功能不必需的情况下获取用户隐私权限的行为。
69.3%的iOS应用获取用户手机隐私权限,但在iOS版本手机中,系统提供隐私权限管理自助设置服务功能,应用越界获取隐私权限受到了极大制约。
越界获取用户隐私会带给用户哪些风险?
手机应用越界获取用户隐私权限会带来巨大的安全风险隐患。报告提示,恶意软件获取相应权限后,将带来如下风险:
1、隐私信息被窃取
用户存在手机里的隐私资料、照片就会被肆意查看、窃取,或会对用户造成不可挽回的损失。
2、用户经济损失
随意访问联系人、短信、记事本等应用,可以查看到用户的银行卡账号密码等信息,从而对用户造成经济损失;其中最常见的,就是用户手机话费被暗扣和银行账号支付账号被盗。
3、用户信息被用于网络诈骗
以用户的名义参与到网络诈骗事件中,会造成用户的名誉损失和不必要的麻烦,同时危及到用户身边的家人同事同学。
4、用户被恶意营销
获知用户的联系方式或地理位置等信息后,存在对用户进行恶意营销的可能,造成垃圾广告的泛滥和对用户不必要的骚扰。
5、手机卡顿现象严重
侵犯用户财产、窃取用户隐私的同时,也会让手机运行缓慢,造成手机卡顿严重等现象。
6、手机套餐资源被消耗
滥发短信、彩信,消耗流量等资源,会造成用户手机套餐资源被不必要占用,形成手机资源浪费。
该报告将Android手机应用常见隐私权限按照风险程度的不同可分为三种级别:核心隐私权限、重要隐私权限及普通隐私权限三大类。
通常手机应用通过“访问联系人”、“获取手机号”、“读取短信记录”、“读取通话记录”等通讯信息,获取用户的核心隐私权限;
通过“发送短信”、“拨打电话”、“打开摄像头”、“使用话筒录音”等获取用户的重要隐私权限;
普通隐私权限更为常见,通过允许“打开WIFI”、“打开蓝牙”、“打开数据网络”等不经意的操作获取这一权限。
不同级别的隐私权限会给用户带来不同程度的风险和安全隐患。
核心隐私权限的恶意获取严重时会危及用户财产甚至人身安全,重要隐私权限的恶意获取会给网络欺诈制造机会,对用户的财产造成威胁,普通隐私权限风险最低,比如消耗手机流量。
胡延平总结,目前APP越界获取用户个人隐私有6大特征:
越界获取个人隐私的比例在下降,但造成的后果在上升。
应用开发者等业界,对越界侵权从不当回事,到现在比较慎重。
用户正从无意识到有意识,但还远远不够,很少查看APP读取信息的情况。
数据绝对值在下降,但网络成为诈骗的主要场所。互联网无法回避这个问题,包括内鬼问题。
信息泄露是分分钟的事。到了需要从源头重视越界获取个人隐私的时候。越界获取个人信息已成为网络诈骗的源头。
解决越界获取个人隐私问题到了需要形成长效机制的时候。企业、用户和监管需形成一个体系共同解决问题。数据是基础,但是要由规则和边界。否则,当数据被不法分子掌控的时候,就为时晚矣。
Android应用白名单和灰名单
经过测试,报告提供了Android应用隐私安全白名单。包括10大类共100款Android应用。通讯类有微信、QQ、微博、百度贴吧、飞信等,影音娱乐有腾讯视频、优酷、爱奇艺QQ音乐等。
报告还给出了一份包括 10个应用的隐私安全灰名单,分别是号簿助手、微桌面、Hola桌面、追书神器、4399游戏盒、微锁屏、粉粉日记、爱阅读、雷霆战机、KingRoot。
如何防止手机应用“窃取”你的用户隐私?
报告给出了一份移动应用隐私权限用户管理手册:
1、提高用户隐私权限的安全认知意识
用户应重视手机隐私权限的安全风险和隐患,在APP的下载安装和使用时提高警惕,有意识的甄别掉可疑APP。
2、从正规渠道下载手机应用
部分开发者存在越界获取用户手机隐私权限,并利用拿到的用户隐私信息换取利益的现象。想要尽量避免下载他们开发的APP,防止来路不明的APP对用户隐私信息造成侵害,可从手机官方应用商店、互联网大企业的应用商店等具备企业公信力的渠道下载安装使用。
3、积极管理手机隐私权限
绝大多数APP都较为安分守己,只获取需要保证功能正常使用的隐私权限,但少数APP会越界获取隐私权限。建议用户APP安装时把重要的隐私权限统统禁止,在以后提示确实需要相关的隐私权限时再允许APP获取。
《互联网时代》总导演石强建议用户,使用APP时一定要多想一步,尽量查看每个APP的权限,关掉不必要权限,使用时再打开。
4、常用安全软件和隐私保险箱
在正规渠道下载类似腾讯手机管家的隐私权限保护工具,可协助用户甄别并关闭那些不必要不需要的权限,使用户管理起隐私权限更方便快捷。
网络诈骗占诈骗案比例超8成,6招制胜
“一段20秒的色情视频背后的黑产业链条就高达6亿元!”
腾讯安全管理部门副总监李键均以色情诈骗举例介绍网络诈骗的操作手段和巨大黑色利益。这涉及到四个环节。第一个是色情APP的制作,对源代码技术开发门槛非常低。第二个是完成支付对接。第三最重要让人知道这个APP,网上推广环节。第四就是变现,通过各种方式扣费充值。
李键均还透露, 腾讯安全管理部刚配合湖南长沙警方在柬埔寨破了一个裸聊敲诈案件,抓获74个犯罪嫌疑人押送回国。一个窝点大概30来人,一个月获利是240万,简直是一本万利,比卖毒品还赚钱。而受害者主要是大学教授、中学老师等高知人群。
正由于网络和移动互联网的普及,用户隐私被侵犯越来越频繁,网络诈骗已成为诈骗案的重灾区。全国专线报案数据显示,2017年第1季度总诈骗案件数量达25.3万件,其中来自网络的案件数量达216780件,占比达85.6%;涉案总金额达33.4亿元,其中来自网络的涉案金额达25.2亿元,占比达75.4%。
在不同类型的网络诈骗案件中,网络购物诈骗和网络商业投资行为中的诈骗案件共占据80%,其中网上购物诈骗占比最高达59%。
针对高发的网络诈骗,报告中的《网络诈骗用户防护手册》提出了六条具体防范建议:
1、远离黄赌毒相关网站
2、勿使用来路不明安装包
3、熟人生人不轻信,财产行为长点心
4、下载安装安全软件
5、购物选靠谱的官方网站
6、个人信息轻易不要泄露
除了用户提高警惕,注意防范,与会专家一致建议,除了个人提高安全意识外,还要完善法律和制度设计来保护个人隐私。
专家解读:
中国社科院法学所研究员周汉华:
今天是徐玉玉案宣判的日子,徐玉玉这个案子再过几年大家更深刻认识到,这个案子对中国在信息保护方面,打击电信诈骗方面是里程碑的作用。
徐玉玉案已经对整个国家层面制度建设发挥了很大影响,包括网络安全法的制定,包括公安部等多部委打击电信诈骗部级联席会议的运作机制。
最近连续几个大案子的破获,3月份破获的网络诈骗案涉及到50亿条个人信息,人均5条,我们在座的无人幸免。国际上,去年的互联网报告,发达国家两年半一共涉及到个人信息泄露是40亿条,我们一个案子就50亿条,前几天又打掉一个20多亿条,问题已经非常严重。
现在手机里面所蕴含的价值,远远大于你房子的价值。有人冲到你房子里面去得不到什么。 80后、90后,要么月光族,要么不用现金,冲到你房子里没有什么。但如果通过任何一个渠道进入到你的手机,你的名誉,你的财产,你的声誉,统统处在危险当中。我们手机承载的是你所有。手机里面全是APP,任何一个APP都可以进入到你的手机。
法律规定是什么?就是三条:合法、正当、必要。
《互联网时代》总导演石强:?这个时代用得最多的词就是“生态”,所谓“生态”就是非常多的细胞和个体组合成一个相互影响、相互作用、并且产生新的可能性的体系。
既然是生态,国外通常说“四位一体”,个人、政府、企业、行业协会,形成共治,各自承担各自的责任,非常明确地用法规表示,或变成一些操作中的具体规定,把握“下限”。企业则是需要不断提升“上限”,用户是需要增强意识,不仅仅停留在意识层面,还应思考用户也应去承担什么样的责任、可以行使什么样的权利?责任背后就是权利,如何参与到共治之中,如何面对海量的人、信息,海量不断跳转的东西,只有一条出路,就是技术。从这个角度来讲,对于服务安全,应向用户提供安全性或者一定的保护性。隐私范畴也需不断地考量界定,重要隐私、核心隐私等等,重新界定隐私边界的同时,它的重要性也在变化。一个普通的电话号码,一个指纹开锁,和其他信息一旦进行匹配,就可能涉及到的你的钱包、声誉或关系网络。
腾讯安全管理部副总监李键均:
分享下关于色情诈骗黑产领域做的手法还原。
我们前段时间跟大连警方和武汉警方两地警方共同打击色情诈骗诱导,这短短20秒黑产冻结资金6000万,整个黑产链条达到6个亿。
这涉及到四个环节:第一个环节是色情APP的制作,色情APP制作对源代码技术开发门槛非常低。
下一个环节是完成诈骗的闭环,支付。现在支付平台对于介入门槛也很低,一套三证在网络黑市上只需要1000——1500块钱就可以买到。
第三个是网上推广环节,包括广告主,网站主和广告联盟,形成利益共享。
第四块就是变现。扣费、充值是变现的主要方式。还有很多方式,把色情APP做成木马病毒植入你手机里面。
DCCI互联网研究院院长刘兴亮:
腾讯可以联合一些互联网公司形成一个行业标准,工具类、社交类的软件,哪些不应读取隐私信息,可设立用户举报机制,超出一定权限的就进行下架处理。? 另外,第三方研究机构可定期发布一些分析报告,比如排名前100的APP,哪些公司“干了坏事”,可以公布出来,通过媒体的力量施压。?更重要的还是要堵住问题源头,目前我们的网络安全,平台、法律,各方面的防范都比较滞后,应增强个人防护,擦亮慧眼,认清读取哪些信息可能带来危害。