滬穗深百萬地鐵族擔(dān)心:花生WiFi到底安全嗎?

責(zé)任編輯:editor007

作者:汪建君

2017-04-01 20:11:50

摘自:IT時報

多位權(quán)威信息安全專家向《IT時報》記者表示,如果網(wǎng)帖內(nèi)容屬實,則花生地鐵WiFi確實存在過度收集信息的嫌疑。另一名信息安全專家金龍則明確表示:“如果知乎網(wǎng)帖所描述情況屬實,那么花生地鐵WiFi確實過度收集用戶隱私信息。

3月27日開始,一則知乎網(wǎng)帖在微信朋友圈里刷爆,該帖透露上?;ㄉ罔FWiFi不但抓取用戶的位置信息,還能獲取手機里的任意文件內(nèi)容、安裝的所有App名稱以及粗略的家庭與工作地址等信息,甚至在特定情況下還有可能獲取用戶提交的敏感信息,比如銀行卡號碼等。

多位權(quán)威信息安全專家向《IT時報》記者表示,如果網(wǎng)帖內(nèi)容屬實,則花生地鐵WiFi確實存在過度收集信息的嫌疑。3月29日,《IT時報》記者向花生地鐵WiFi官方求證,但并未收到回復(fù)。

3月30日,截至記者發(fā)稿前,花生地鐵WiFi運營方召開新聞通氣會稱, 文中存在大量失實描述及常識性錯誤,花生地鐵在無線方面遵守國家工信部、安全方面遵守國家公安部的有關(guān)規(guī)定。

一條刷爆微信群的知乎帖

就在幾天之前,一篇名為《上海旁友!請遠離“花生地鐵”免費WiFi,被賣了都不知道!》的微信公眾號文章在微信朋友圈里火爆刷屏,公號名為“上海名大夫”,文章內(nèi)容來源于知乎網(wǎng)帖——網(wǎng)友提問:“上海的‘花生地鐵’WiFi盈利模式是什么?”,一位知乎網(wǎng)友利用圖文數(shù)據(jù)表明,花生地鐵WiFi通過App接入上網(wǎng)的方式,不但抓取用戶的站點位置信息,還能獲取用戶手機里已保存的網(wǎng)絡(luò)名、手機網(wǎng)卡MAC地址、用戶的進出站點信息、手機里的任意文件內(nèi)容以及安裝的所有App名稱。

此外,該帖還表示,花生地鐵WiFi有可能利用App向其他互聯(lián)網(wǎng)公司上傳用戶手機內(nèi)的信息,以作商業(yè)用途。

針對這條網(wǎng)帖,《IT時報》記者用安卓系統(tǒng)手機專門下載了花生地鐵WiFi的App,發(fā)現(xiàn)在安裝過程中,會有“是否允許花生地鐵WiFi讀取短信、彩信、位置信息、已安裝應(yīng)用列表”等提示,用戶可以選擇禁止或允許,并提示可以在手機管家等權(quán)限管理中配置權(quán)限。

花生地鐵WiFi到底安全嗎?

就在該帖火熱刷屏之際,上海市民孫女士也向記者反映了她第一次使用花生地鐵WiFi的經(jīng)歷,當(dāng)時她按照顯示步驟進入上網(wǎng)頁面,網(wǎng)頁出現(xiàn)是否信任該鏈接的提示,當(dāng)孫女士點擊“信任”鏈接時,她的手機馬上出現(xiàn)黑屏死機現(xiàn)象。由于該手機綁定了銀行卡、支付寶和微信,涉及金額高達好幾萬,當(dāng)時她十分恐慌,擔(dān)心錢財被騙走。

孫女士至今心有余悸地說:“我懷疑是不是花生地鐵WiFi的鏈接植入了木馬病毒,當(dāng)時我急得一身冷汗,人都在發(fā)抖,為什么會在點擊信任的那一瞬間手機就出現(xiàn)了故障。”

《IT時報》記者隨機采訪了幾位地鐵乘客,多位乘客表示,“平時一直用花生WiFi,覺得挺好,地鐵很多站點根本沒手機信號,想上網(wǎng)一定得靠它。”同時,也有乘客表示,“如果存在泄露個人隱私的情況,那么自己很難接受,希望安全專家和花生WiFi官方能給個說法。”

信息安全專家呂禮勝分析表示,很難判定孫女士手機的故障是由花生地鐵WiFi導(dǎo)致,有可能和App自身的兼容性相關(guān)。從技術(shù)上來說手機系統(tǒng)自身已經(jīng)支持WiFi連接協(xié)議,并不需要第三方App。加入第三方App主要目的就是為了收集用戶手機上的信息,而這些信息收集的種類取決于手機系統(tǒng)允許App安裝時獲取的權(quán)限。Android比較開放,獲取的權(quán)限就較多,能被收集的信息種類也比較多,而蘋果手機比較封閉,能收集到的信息就會相對較少。

另一名信息安全專家金龍則明確表示:“如果知乎網(wǎng)帖所描述情況屬實,那么花生地鐵WiFi確實過度收集用戶隱私信息。”

信息抓取的邊界在哪?

公開信息顯示,花生地鐵WiFi是由深圳南方銀谷公司建設(shè)并運營的免費地鐵WiFi,2014年底在上海試運營一直發(fā)展至今,目前已在十二條上海地鐵線路完成WiFi建設(shè)。數(shù)據(jù)顯示,僅在上海接入用戶量已經(jīng)超過300萬,另外,廣州、深圳等城市地鐵也均已完成覆蓋。業(yè)內(nèi)人士表示,由于公共WiFi沒有資本支撐,目前盈利狀況堪憂,對于公共WiFi來說,大數(shù)據(jù)收集或許是一個有效出路。

花生地鐵WiFi官方也曾透露,目前他們可掌握使用用戶的年齡、性別、位置信息、婚姻信息、消費習(xí)慣等大數(shù)據(jù),日后將有能力提供有價值的數(shù)據(jù)服務(wù)。

王?。ɑ┰谝患铱萍脊緩氖戮W(wǎng)絡(luò)安全工作,他認為,從商家經(jīng)營的角度看,既然花生地鐵提供免費WiFi自然就會考慮企業(yè)的盈利模式,為了確保精準營銷,提供個性化服務(wù),這類公共WiFi抓取更多用戶信息,形成大數(shù)據(jù)應(yīng)用就有天然的需求。王俊對《IT時報》記者表示:“據(jù)我觀察,花生地鐵WiFi傳送的數(shù)據(jù)都已進行了加密,理論上來說不會被人截取,即使被截取了也是一堆密文,沒有什么用。”

信息安全專家朱易翔表示:“如果花生地鐵WiFi可以抓取用戶手機上安裝的所有App名稱,那么確實存在過度收集用戶信息的嫌疑,但仍不好判斷其惡意程度。”而對于App采集用戶信息的邊界范疇,他認為需要根據(jù)具體的法律法規(guī)標(biāo)準和App的應(yīng)用方向來判斷,他舉例說,如果是與天氣相關(guān)的App卻要抓取用戶的通信信息,這就屬于過度收集,因為這不是這款應(yīng)用的必須信息。“但最為關(guān)鍵是App在下載安裝時,應(yīng)該告知用戶將抓取哪些信息,又將對信息進行怎樣的處理,這個知情權(quán)應(yīng)該給予用戶。”朱易翔強調(diào)。

專家建議:少用免費公共WiFi

公共WiFi抓取用戶隱私信息并非新鮮話題。

王俊表示,現(xiàn)在很多免費公共WiFi存在安全隱患,他提醒普通用戶,在上海各大商業(yè)地標(biāo)有一個i-Shanghai的ssid可以免費上網(wǎng),這是正規(guī)和安全的,但個別黑客通過改變字母大小寫等不被注意的手段,搭建如i-shanghai、i-shangHai或i-ShangHai等名字的釣魚WiFi網(wǎng)絡(luò),誘騙用戶登錄,用戶連上后,所有信息都可能瞬間暴露。王俊建議,普通用戶應(yīng)該盡量少用免費公共WiFi,尤其是不加密的需要特別注意。

呂禮勝則提醒用戶,使用相關(guān)服務(wù)前看看有沒有隱私條款,是否和自己的隱私保護要求存在沖突,如果要進行購物支付、網(wǎng)銀等高風(fēng)險的操作,建議使用4G網(wǎng)絡(luò),而不是免費公共WiFi。

金龍則直接表示,目前普通用戶的信息安全防范意識還偏低,他認為“免費的往往是最貴的”,如果沒有特別需求,不建議使用免費公共WiFi。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號