3·15盲区?2023年个人隐私十大威胁

作者:Funny G

2023年是信息技术“工业革命”的一年,同时也意味着个人隐私正面临前所未见的威胁。除了移动设备、APP、云服务和物联网的安全漏洞外,2023年消费者面临的最大隐私威胁毫无疑问是爆炸式成长的人工智能技术,在一年一度的3·15“翻牌”之前,GoUpSec整理了当下消费者应高度关注的十大个人隐私威胁话题:

一、拼多多,质量最大的隐私黑洞?

揭露手机APP的个人隐私侵犯是3·15的“保留节目”,例如个人信息超采、流氓驻留、捆绑下载、广告“黑科技”、针对老年人的网络诈骗等。虽然头部互联网企业的APP侵犯隐私已经不能算是新闻,但2023年拼多多曝出的“隐私门”还是让所有人倒吸一口凉气。3月上旬,国内独立数据安全研究机构深蓝DarkNavy曝光拼多多利用系统漏洞“攻击用户手机”,绕过隐私合规监管大规模采集(安卓)手机用户隐私信息。该事件再次超出了广大消费者和网络安全业专业人士的认知和想象,将个人隐私侵犯的技术、手法、规模和胆量都提升到了令人叹为观止的新高度。

二、冒牌ChatGPT成恶意软件投放渠道

随着ChatGPT风靡全球,无法访问该服务的消费者往往会在好奇心驱使下铤而走险,选择一些“第三方”渠道购买服务。目前围绕ChatGPT的网络欺诈空前猖獗,各种网页版、微信版、程序版甚至短信版ChatGPT“翻墙服务”五花八门,甚至某些十八线小县城公务员都已经开始用ChatGPT写报告,非法提供ChatGPT访问和“订阅”服务俨然已经成了一个“村村冒烟”的庞大灰色产业。

值得高度警惕的是,这些“ChatGPT翻墙服务”中充斥大量网络诈骗和信息窃取的恶意行为。网络安全公司Cyble最新发布的报告显示,网络上已经出现大量仿冒ChatGPT的钓鱼网站和假冒应用程序(包括PC客户端和手机APP),其中很多甚至在Google Play官方商店上架,从事信用卡窃取、ChatGPT订阅支付诈骗等活动。有些ChatGPT假冒程序内藏Spynote,Redline等恶意软件,可以窃取消费者手机通话记录、联系人列表、短信和敏感数据等非法活动。

三、热门电影BT种子被毒化

三年疫情期间影视行业的作品和票房都乏善可陈,这使得不久前上映的“阿凡达2”、“壮志凌云2”等好莱坞经典电影的续集吸引了大量人气,同时也成为网络犯罪分子的目标。目前在大量知名BT种子站点都发现了包含恶意字幕文件的盗版视频,广大影视爱好者需要对此给与高度重视(至少不要点击字幕文件)。

四、WiFi隐私泄露比你想象得可怕

去年央视3·15晚会上,安全实验室曝光了20多款打着免费WiFi旗号的流氓恶意软件,用户安装这类软件后不但没法打开免费WiFi网络,而且会被自动安装大量软件,其中一些“免费WiFi”程序还会在后台高频大量采集个人隐私信息。事实上,由于WiFi安全协议的先天设计缺陷,WiFi能够泄露的隐私比你想象得多。近年来利用WiFi协议缺陷对用户进行位置定位和行为分析的技术已经公开可获取,不法分子可利用漏洞轻松定位用户在建筑物中的精确位置,甚至通过移动设备(例如手机)的信号分析用户的行为模式,为下一步攻击侦察环境、收集情报。

五、银行木马和勒索软件

银行木马最近卷土重来,最新版本的Xenomorph银行木马已经能够自动化攻击窃取全球400多家银行的用户账户,目前该软件通过MaaS(恶意软件即服务)广泛传播。2023年,对个人财产和隐私构成重大威胁的还包括RaaS(勒索软件即服务),由于人工智能技术的飞跃式发展,恶意软件变种开发和迭代速度大幅提升,且可以低成本大规模个性化“定制”,给中小企业和个人数据安全带来极大威胁。

六、深度伪造与网络钓鱼“双剑合璧”

网络钓鱼是人工智能技术最具威胁的滥用之一,尤其是视频、语音的深度伪造技术飞速发展,使得电话钓鱼真假难辨,防不胜防,语音银行业务面临重大威胁。此外,类似ChatGPT的生成式人工智能技术还推动网络钓鱼进入“大规模定制”时代,黑客可以用人工智能大批量自动化生成针对性的高质量钓鱼邮件(语音、短信、甚至视频会话),大大提高网络钓鱼的成功率。

七、多因素认证可被绕过

身份验证器程序被普遍认为是比短信验证更安全的多因素认证(MFA)方式。但是能够绕过多因素认证的攻击技术正在飞速发展,除了常见的SIM卡交换、MFA疲劳攻击、网络钓鱼社工攻击外,最新的安卓恶意软件(例如Xenomorph)已经能够抓取同一部手机中安装的身份验证程序(例如谷歌验证器)中的动态验证码。

八、儿童隐私漏洞,不仅是儿童智能手表

去年,3·15信息安全实验室对市场上的多款智能手表进行了测试,发现攻击者很容易通过二维码将恶意软件部署到智能手表中,从后台对手表进行远程监控和控制,孩子存储在手表里的重要信息,如位置、通讯录、通话记录等被盗取。后台还可以对孩子实时定位,不间断收集孩子的移动轨迹,轻松圈定孩子的活动范围。2023年,随着国产生成式人工智能技术在教育领域可预见的普及,大量智能音箱、语音助理、机器人玩具等智能家居产品都将与人工智能服务对接,该领域儿童隐私保护监管和行业标准的缺失将导致大量安全漏洞和威胁。

九、汽车行业网络安全“天雷滚滚”

过去一年中,汽车行业重大数据泄露事件不断,从去年12月曝光的蔚来泄露数十万车主个人信息,到今年1月份奔驰宝马丰田等20多家知名车企曝出导致大规模数据泄露的API安全漏洞,汽车行业的数据安全问题“遍地开花”,已经不能用“爆雷”形容。

汽车,尤其是新能源汽车,正在成为个人数字(隐私)中心,汽车行业拉跨的数据安全防护能力与人民群众日益增长的车载个人隐私数据已经发生不可调和的矛盾,对全球消费者的隐私已经构成了系统性的、长远的安全威胁。

十、密码管理器不可全信

在个人隐私数据大规模泄露的时代,把密码集中存放在密码管理器里,是普及强密码的关键措施之一,但并非万无一失。2022年末密码管理器LastPass的大规模数据泄露给全球用户敲响了警钟:与硅谷银行破产引发的金融海啸类似,流行密码管理器一旦爆雷,对广大消费者的隐私构成极大威胁,同时也沉重打击了密码管理器市场的用户信心。

GoUpSec隐私安全专家Funny G给消费者的个人隐私安全防护建议:

  • 修改默认的SIM卡PIN码,有助于防止手机丢失后被不法分子绕过开机密码后用短信验证码接管各种账户。
  • 不要将身份验证器程序与网银程序安装在同一部(尤其是安卓)手机。
  • 安卓用户谨慎安装应用(包括拼多多这样的头部APP),遵循应用最小化原则。
  • 不要盲目信任密码管理器。
  • 重要在线账户的多因素认证建议启用硬件密钥。
  • 远程办公或混合办公需要对家庭成员进行必要的安全意识培训。
  • 谨慎使用第三方ChatGPT程序和服务。
  • 在社交媒体上注意保护个人生物识别特征数据(语音、包含面部信息的照片和视频)。
  • 车主最大限度减少存储在车辆或相关APP中的个人信息。如果可能,为汽车APP设置强密码和双因素验证。

前一篇中消协发布《2022年个人信息保护领域消费者权益保护报告》
后一篇GitHub大数据:10%的程序员泄密