3·15盲區?2023年個人隱私十大威脅
2023年是信息技術“工業革命”的一年,同時也意味著個人隱私正面臨前所未見的威脅。除了移動設備、APP、云服務和物聯網的安全漏洞外,2023年消費者面臨的最大隱私威脅毫無疑問是爆炸式成長的人工智能技術,在一年一度的3·15“翻牌”之前,GoUpSec整理了當下消費者應高度關注的十大個人隱私威脅話題:
一、拼多多,質量最大的隱私黑洞?
揭露手機APP的個人隱私侵犯是3·15的“保留節目”,例如個人信息超采、流氓駐留、捆綁下載、廣告“黑科技”、針對老年人的網絡詐騙等。雖然頭部互聯網企業的APP侵犯隱私已經不能算是新聞,但2023年拼多多曝出的“隱私門”還是讓所有人倒吸一口涼氣。3月上旬,國內獨立數據安全研究機構深藍DarkNavy曝光拼多多利用系統漏洞“攻擊用戶手機”,繞過隱私合規監管大規模采集(安卓)手機用戶隱私信息。該事件再次超出了廣大消費者和網絡安全業專業人士的認知和想象,將個人隱私侵犯的技術、手法、規模和膽量都提升到了令人嘆為觀止的新高度。
二、冒牌ChatGPT成惡意軟件投放渠道
隨著ChatGPT風靡全球,無法訪問該服務的消費者往往會在好奇心驅使下鋌而走險,選擇一些“第三方”渠道購買服務。目前圍繞ChatGPT的網絡欺詐空前猖獗,各種網頁版、微信版、程序版甚至短信版ChatGPT“翻墻服務”五花八門,甚至某些十八線小縣城公務員都已經開始用ChatGPT寫報告,非法提供ChatGPT訪問和“訂閱”服務儼然已經成了一個“村村冒煙”的龐大灰色產業。
值得高度警惕的是,這些“ChatGPT翻墻服務”中充斥大量網絡詐騙和信息竊取的惡意行為。網絡安全公司Cyble最新發布的報告顯示,網絡上已經出現大量仿冒ChatGPT的釣魚網站和假冒應用程序(包括PC客戶端和手機APP),其中很多甚至在Google Play官方商店上架,從事信用卡竊取、ChatGPT訂閱支付詐騙等活動。有些ChatGPT假冒程序內藏Spynote,Redline等惡意軟件,可以竊取消費者手機通話記錄、聯系人列表、短信和敏感數據等非法活動。
三、熱門電影BT種子被毒化
三年疫情期間影視行業的作品和票房都乏善可陳,這使得不久前上映的“阿凡達2”、“壯志凌云2”等好萊塢經典電影的續集吸引了大量人氣,同時也成為網絡犯罪分子的目標。目前在大量知名BT種子站點都發現了包含惡意字幕文件的盜版視頻,廣大影視愛好者需要對此給與高度重視(至少不要點擊字幕文件)。
四、WiFi隱私泄露比你想象得可怕
去年央視3·15晚會上,安全實驗室曝光了20多款打著免費WiFi旗號的流氓惡意軟件,用戶安裝這類軟件后不但沒法打開免費WiFi網絡,而且會被自動安裝大量軟件,其中一些“免費WiFi”程序還會在后臺高頻大量采集個人隱私信息。事實上,由于WiFi安全協議的先天設計缺陷,WiFi能夠泄露的隱私比你想象得多。近年來利用WiFi協議缺陷對用戶進行位置定位和行為分析的技術已經公開可獲取,不法分子可利用漏洞輕松定位用戶在建筑物中的精確位置,甚至通過移動設備(例如手機)的信號分析用戶的行為模式,為下一步攻擊偵察環境、收集情報。
五、銀行木馬和勒索軟件
銀行木馬最近卷土重來,最新版本的Xenomorph銀行木馬已經能夠自動化攻擊竊取全球400多家銀行的用戶賬戶,目前該軟件通過MaaS(惡意軟件即服務)廣泛傳播。2023年,對個人財產和隱私構成重大威脅的還包括RaaS(勒索軟件即服務),由于人工智能技術的飛躍式發展,惡意軟件變種開發和迭代速度大幅提升,且可以低成本大規模個性化“定制”,給中小企業和個人數據安全帶來極大威脅。
六、深度偽造與網絡釣魚“雙劍合璧”
網絡釣魚是人工智能技術最具威脅的濫用之一,尤其是視頻、語音的深度偽造技術飛速發展,使得電話釣魚真假難辨,防不勝防,語音銀行業務面臨重大威脅。此外,類似ChatGPT的生成式人工智能技術還推動網絡釣魚進入“大規模定制”時代,黑客可以用人工智能大批量自動化生成針對性的高質量釣魚郵件(語音、短信、甚至視頻會話),大大提高網絡釣魚的成功率。
七、多因素認證可被繞過
身份驗證器程序被普遍認為是比短信驗證更安全的多因素認證(MFA)方式。但是能夠繞過多因素認證的攻擊技術正在飛速發展,除了常見的SIM卡交換、MFA疲勞攻擊、網絡釣魚社工攻擊外,最新的安卓惡意軟件(例如Xenomorph)已經能夠抓取同一部手機中安裝的身份驗證程序(例如谷歌驗證器)中的動態驗證碼。
八、兒童隱私漏洞,不僅是兒童智能手表
去年,3·15信息安全實驗室對市場上的多款智能手表進行了測試,發現攻擊者很容易通過二維碼將惡意軟件部署到智能手表中,從后臺對手表進行遠程監控和控制,孩子存儲在手表里的重要信息,如位置、通訊錄、通話記錄等被盜取。后臺還可以對孩子實時定位,不間斷收集孩子的移動軌跡,輕松圈定孩子的活動范圍。2023年,隨著國產生成式人工智能技術在教育領域可預見的普及,大量智能音箱、語音助理、機器人玩具等智能家居產品都將與人工智能服務對接,該領域兒童隱私保護監管和行業標準的缺失將導致大量安全漏洞和威脅。
九、汽車行業網絡安全“天雷滾滾”
過去一年中,汽車行業重大數據泄露事件不斷,從去年12月曝光的蔚來泄露數十萬車主個人信息,到今年1月份奔馳寶馬豐田等20多家知名車企曝出導致大規模數據泄露的API安全漏洞,汽車行業的數據安全問題“遍地開花”,已經不能用“爆雷”形容。
汽車,尤其是新能源汽車,正在成為個人數字(隱私)中心,汽車行業拉跨的數據安全防護能力與人民群眾日益增長的車載個人隱私數據已經發生不可調和的矛盾,對全球消費者的隱私已經構成了系統性的、長遠的安全威脅。
十、密碼管理器不可全信
在個人隱私數據大規模泄露的時代,把密碼集中存放在密碼管理器里,是普及強密碼的關鍵措施之一,但并非萬無一失。2022年末密碼管理器LastPass的大規模數據泄露給全球用戶敲響了警鐘:與硅谷銀行破產引發的金融海嘯類似,流行密碼管理器一旦爆雷,對廣大消費者的隱私構成極大威脅,同時也沉重打擊了密碼管理器市場的用戶信心。
GoUpSec隱私安全專家Funny G給消費者的個人隱私安全防護建議:
- 修改默認的SIM卡PIN碼,有助于防止手機丟失后被不法分子繞過開機密碼后用短信驗證碼接管各種賬戶。
- 不要將身份驗證器程序與網銀程序安裝在同一部(尤其是安卓)手機。
- 安卓用戶謹慎安裝應用(包括拼多多這樣的頭部APP),遵循應用最小化原則。
- 不要盲目信任密碼管理器。
- 重要在線賬戶的多因素認證建議啟用硬件密鑰。
- 遠程辦公或混合辦公需要對家庭成員進行必要的安全意識培訓。
- 謹慎使用第三方ChatGPT程序和服務。
- 在社交媒體上注意保護個人生物識別特征數據(語音、包含面部信息的照片和視頻)。
- 車主最大限度減少存儲在車輛或相關APP中的個人信息。如果可能,為汽車APP設置強密碼和雙因素驗證。
