其中,接入微信、支付寶等大型互聯網平臺的各類小程序,因其無需下載安裝、操作便捷、占用內存小等優勢,迅速融入生產生活、公共服務、政府管理等各個領域,成為大家的常用工具。
各種小集合通訊工具、媒體、社交媒體、應用平臺等功能於壹體,擁有龐大的用戶群,此類信息泄露違法行為較為復雜。特別是它的信息資源非常方便享用。個人隱私壹旦暴露,信息往往呈幾何級數傳播。
#1
小程序暴露的信息安全問題
1.成為“隱私扒手”,竊取用戶信息
2021年8月,上海市公安局網安總隊在網絡巡查中發現壹條重要線索:某應用表面存在“洗粉”違法行為,實則在“引流”。接到線索後,閔行警方通過兩個多月的偵查,挖出了壹個利用“掃粉”軟件非法竊取用戶數據的犯罪團夥。
警方分析發現,該犯罪團夥在用戶不知情的情況下“秒級”獲取了手機中的公民信息,直到案發也沒有人向公安機關報案。殊不知這些公民信息數據已經被傳輸到了犯罪團夥的服務器上。
經審訊,犯罪團夥不僅利用程序非法獲取公民信息,還出售、非法利用這些公民信息牟利。該團夥非法獲利800多萬元。
2.利用安全漏洞劫持用戶賬戶。
此外,社交媒體小程序的安全漏洞很容易成為網絡攻擊的工具和渠道。根據研究,黑客可以通過利用社交媒體平臺和第三方小程序授權協議中的漏洞來劫持用戶的帳戶。第三方小程序還可以通過偽造誘導用戶向惡意應用授予高級權限,通過用戶賬號傳播釣魚網站,通過對小程序的自動化攻擊進行刷單、非法引流等非法活動。
比如我們熟悉的支付寶領紅包的淘寶密碼。在沒有復制鏈接的情況下打開支付寶,會出現紅包彈窗。事實上,妳的剪貼板被劫持了。小程序中加入了劫持用戶剪貼板的功能,即只要用戶打開小程序,小程序就會自動復制壹個squeak密碼,從而達到不法分子非法引流的目的。
3.字符識別導致機密信息失控。
小程序問題頻發不僅影響了我們的日常生活,也給工作中的安全管理帶來了新的問題。近年來,通過微信等即時通訊社交媒體工作引發的泄密案件逐年增多,成為泄密“高發地”。
2021年2月,某市某研究室工作人員張收到1秘密材料後,認為“寫得好,可以長期借鑒”。為了方便以後的學習和參考,我們利用微信小程序的文字識別功能,對材料的主要內容進行拍照和識別,然後通過手機創建的局域網,將文字導入到非涉密電腦中進行存儲和處理,導致涉密信息失控。案件發生後,張被給予紀律處分。
#2
安說這是機密。
網信部門建議,在掃碼使用小程序時,要註意仔細識別和選擇公共場所小程序的二維碼圖標,不要隨意掃碼使用來源不明、經營主體不明的小程序;詳細閱讀小程序隱私政策和用戶協議,謹慎授予“發送短信”、“閱讀短信”、“查看通訊錄”、“讀取位置信息”等應用權限。小程序使用過程中避免在公共場所使用無密碼無線網絡,並及時關閉藍牙功能。