有空可鉆折射網(wǎng)絡(luò)安全漏洞

　　警方審訊得知，吳某計算機專業(yè)畢業(yè)后做起了技術(shù)員。他喜歡黑客技術(shù)，一個偶然機會看到網(wǎng)上有人賣手機聊天工具定位軟件，但使用功能很一般，就想自己開發(fā)定位精度更高的軟件。沒多久，他破解了一款手機聊天程序的位置信息防護系統(tǒng)，開發(fā)出“APP神探”，通過QQ群、微信群、聊天室等網(wǎng)上渠道銷售。

　　目前，各種手機APP在使用時，都要獲取個人通訊、位置等信息的授權(quán)。這些個人信息是否得到各個平臺安全保護，很多人心中是存有疑問的。

　　記者在網(wǎng)上簡單搜索，就找到多家號稱提供手機定位功能的廠商。有廠商聲稱只要提供手機、微信或QQ號就可以定位，單次定位幾百元，交一部分定金，位置出來后付清尾款。

　　相關(guān)專家表示，類似定位軟件使用的技術(shù)原理可以用在很多APP應(yīng)用軟件上，風險極大。

　　凌振認為：“如果聊天軟件提供的增值服務(wù)中，有查找陌生人的功能，并且沒有對GPS位置進行噪聲干擾，或是對大量的重復(fù)查詢進行限制、驗證，那就是服務(wù)器的漏洞。”

　　據(jù)記者了解，之前國內(nèi)另一款著名的即時通訊軟件也存在這樣的問題，經(jīng)過升級已經(jīng)堵上了這個漏洞。但是，在黑客界還有一些模擬虛假GPS位置信息的手段，比如用一種可發(fā)射GPS、藍牙WiFi等信號的設(shè)備，配置一個程序，就可以發(fā)射出虛擬的位置信息，從而欺騙軟件服務(wù)器，達到一些不可告人的目的。

　　“這個人應(yīng)該有一些功底，再加上網(wǎng)上的黑客教程很多，潛心鉆研一下，開發(fā)這款‘APP神探’的確不是什么難事。”凌振說。

　　專家介紹，黑客攻擊主要是研究軟件或服務(wù)器的結(jié)構(gòu)原理，反向分析查找漏洞，通過漏洞盜取所需信息，或者“合法”地發(fā)送請求，獲取海量數(shù)據(jù)進行計算分析。

　　根據(jù)騰訊安全發(fā)布的《2018年度互聯(lián)網(wǎng)安全報告》顯示，2018年曝光了大量利用家庭和工作場所中成千上萬的存在安全漏洞的物聯(lián)網(wǎng)設(shè)備，生成流量而發(fā)起的大型DDoS攻擊，這種情況在今后或?qū)⒗^續(xù)。

　　缺乏保護的網(wǎng)民或網(wǎng)上裸奔

　　過去，公民的個人隱私掌握在個人手里；現(xiàn)在，當我們享受互聯(lián)網(wǎng)的便利時，也將隱私作為交換上傳給機房的服務(wù)器。如果不加以保護，那么所有人都將在網(wǎng)上裸奔。

　　專家認為，軟件的一些權(quán)限需要用戶自己去判斷，提高安全意識、隱私保護意識。此外，相關(guān)企業(yè)、行業(yè)組織和國家機關(guān)，應(yīng)加強對網(wǎng)絡(luò)安全標準的制定、企業(yè)違規(guī)行為的處罰。

　　“比如這個案件，你一直關(guān)著GPS，他怎么也查不到你。”凌振說，在一些看不到的地方，更需要用戶加以注意。不論是手機APP還是其他的智能設(shè)備，安全漏洞不可能百分之百杜絕，總會存在被攻擊的可能性。

　　專業(yè)從事網(wǎng)絡(luò)安全攻防研究的凌振發(fā)現(xiàn)，許多智能設(shè)備或多或少都有安全問題存在，“我們會定期對市面上在售的智能設(shè)備進行攻防演練，前不久我們分析了一款智能插座，幾個月就破解了，就是這么簡單。”

　　技術(shù)是一把雙刃劍，就看是誰在用它。此案中，吳某是計算機專業(yè)畢業(yè)，但是所學(xué)知識沒有用在正道上，這也讓凌振等教師感到無奈。他認為，高校必須加強科研倫理教育，告訴學(xué)生哪些事情可以做，哪些事情不可以做，“雖然你掌握了這個技能，并不代表你可以用它為所欲為。”

　　“目前的數(shù)據(jù)搜集技術(shù)已經(jīng)非常高效，但是缺少有效的控制和評價手段，這就像一個小孩拿著自動步槍玩耍，誰也不知道危險會在何時以什么樣的方式發(fā)生。”東南大學(xué)倫理學(xué)副教授程國斌說。

　　而對于技術(shù)使用者的倫理和法規(guī)要求，現(xiàn)階段仍是支離破碎和虛弱無力。例如，去年支付寶收到罰單，因其存在個人金融信息收集不符合最少、必需原則，以及存在對個人金融信息使用不當?shù)男袨?。但是，其付出的代價只有區(qū)區(qū)5萬元。難怪有網(wǎng)友稱，“這處罰也就是罰酒一杯”。

　　法律人士指出，除非是依照法定的需要進行調(diào)取，或者說經(jīng)過當事者本人的同意，除此以外，任何人、組織獲取公民的定位信息，都是一種違法行為，達到了一定的數(shù)量之后，就可能涉嫌構(gòu)成違法犯罪。APP的運營商、生產(chǎn)商，如果研制出這樣的定位軟件，軟件本身存在技術(shù)上的漏洞和安全隱患，使用者定位信息能輕易被黑客破解、盜取，那么，由此給消費者造成的相關(guān)損失，APP的生產(chǎn)者和運營商要承擔相關(guān)的法律責任。（記者 張 曄）