不到1分钟,一部看似 “正常”的手机在复旦大学博士杨珉手中已经成了窃听器;仅仅扫描过一个二维码,记者用手机登录的QQ账号和密码便被安全专家王琦获取……今天,第三届上海市信息安全周启动。在昨天的新闻通气会上,业内专家对手机漏洞、个人隐私防护等场景进行了现场演示,变魔术般的过程让参与体验的记者也目瞪口呆。
据统计,仅今年8月,上海就检测发现各类信息安全威胁总计2643次,共有2.8万余个IP地址对应的主机被通过木马或僵尸程序秘密控制。面对严峻形势,上海首份《市民信息安全手册》今起向市民免费发送。正如手册中所强调的,信息安全应从每个人做起,“不随意打开链接!不随意下载软件!不随意填写信息! ”
十几秒,智能手机变窃听器
昨天下午,第三届上海市信息安全周新闻通气会在位于浦东新区张衡路的国家信息安全基地举行。作为通气会上的重头戏,来自业内的专家现场演示了魔术般的手机漏洞攻击。
复旦大学软件学院的博士杨珉拿出一部看似正常的智能手机,没有打开网络,也没有打开蓝牙功能,就是一部只能通话的普通手机。随后,他将这部测试手机交给现场一位记者,并让记者用自己的手机拨打了该手机。整个过程很平常,该测试手机的通话记录内留下了记者的手机号码。
随后,杨珉用自己手里的电话拨打了该测试手机。 “你说话试试看,你说什么,我这里都能听到。”让在场所有人吃惊的是,测试手机在没有接通的情况下,将拿着该测试手机的记者周围的声音清晰传到了杨珉手中的手机上。记者检查了测试手机,确认杨珉打来的电话从未接通过,也根本没有来电记录。
“这是因为一个恶意程序已安装进对方手机。 ”杨珉表示,这个恶意程序安装的方式多种多样,只要能接触到对方手机,十余秒就能完成安装。 “即使不接触对方手机,通过恶意链接等方式来插入对方手机,在技术上也不会很难。”杨珉说,做这样的一个演示是想告诉大家,将手机变成窃听器技术上的门槛并不高,人们身边的信息安全应该更加受到重视。
杨珉说,由于智能手机上面搭载了大量传感器,比如麦克风、GPS等使得利用手机监视、监听变得非常容易。对此,杨珉建议市民购买智能手机后,最好不要“越狱”或“刷机”,因为在街边小店“越狱”或“刷机”时,很容易被人偷偷植入木马、病毒。此外,市民一定要经常留意手机话费,慎用手机支付。
![[小心]扫个二维码致QQ密码丢失](http://www.523qq.com/wp-content/uploads/2013/11/小心扫个二维码致QQ密码丢失.png)
扫一扫二维码,QQ密码也丢失
王琦是上海碁震Keen安全研究团队的负责人,是从往届“信息安全技能竞赛”中脱颖而出的技术高手。他在现场拿出一部全新的手机,交给一位女记者,并让该记者对着自己的名片拍了一张照片。接下来,他又让女记者拿着这部手机,对着演示屏上的二维码扫了一下。
就是这看似随意的一扫,马上有了出人意料的结果。女记者刚刚拍摄的照片,已经被王琦获取,并展现在了大屏幕上。在此过程中,这部手机一直在女记者手里,没有进行过其他操作。
“黑客攻击你的手机,难道只是为了获取你的隐私照片吗?”王琦接下来又把这部手机交给本报记者,并让记者在手机上登录QQ。记者在输入QQ账号和密码后,不到5秒钟,这两串数字便通过明码发送给了王琦。 “如果你用这部手机购物、在线支付、转账,账号密码等信息都可能泄露。 ”王琦说,一部全新的、干净的手机,怎么会漏洞百出呢?关键就在于之前该手机在演示中曾扫描了一个二维码,恶意程序在此过程中已经被植入,造成后面的一系列泄密。
“手机存在漏洞,所以才会被侵入。 ”王琦表示,他的演示说明任何手机都不可能完全避免漏洞,使用时也不能掉以轻心。
此外,王琦还强调,“二维码本身并没有好坏对错,问题在于隐藏于二维码后面的恶意链接,即便我们不扫码,打开邮件内的附带链接,也很容易中招。 ”
四大行业新技术打击“李鬼”
公兴搬场是上海知名企业,作为最早的一批专业搬场公司,公兴在市民心目中具有良好口碑。然而,好口碑却引来“李鬼”的竞相仿冒。一些“李鬼”公兴,开价500元搬家,中途加价到几千甚至上万元,有时还用暴力手段威胁市民,影响非常恶劣。从今年3月底开始,公兴搬场作为首批试点单位,使用了凭安科技的“假冒网站发现与阻断平台”。 “试用半年多,我们已经成功将400多个李鬼网站阻断。 ”公兴搬场物流公司副总经理刘伟军说,有效清理假冒网站后,在公兴搬场公司96964呼叫平台的呼叫量中,大约30%是从网上引导而来。
上海市道路运输行业协会搬场专业委员会秘书长吴润元表示,目前包括公兴、永兴、金沙江和蚂蚁这四家搬场公司首批试点了凭安科技的“假冒网站发现与阻断平台”。其中,蚂蚁搬家统计显示,打击李鬼后,官方网站的流量增加了八成。
昨天,凭安科技总经理杨茂江介绍,“假冒网站发现与阻断平台”通过和趋势科技、奇虎360的合作,目前能覆盖大约80%的网民。在现场演示中,他在百度中打开“蚂蚁搬家”几个字,可以看到,假冒网站的搜索结果被红色方框包围,还有提醒信息。
杨茂江介绍,凭安科技目前已在搬场运输、家电维修、物流快递、电子产品等“李鬼”猖獗的行业率先试点实施,利用科技手段发现、曝光、阻断危害性大的“忽悠”网站,以保护消费者权益和合法企业品牌。
市经信委安全信息处处长杨东升表示,这些领域的“李鬼”网站层出不穷,市民早已怨声载道,但苦于违法成本低,很多网站又建在国外,屡屡打击却难以根治。随着电信等运营商的加入,“假冒网站发现与阻断平台”有望从根本上对“李鬼”网站一刀切,届时,上海市民将可能彻底告别“李鬼”网站扰民宰客的苦恼。
公共WiFi上网网银难以被盗
面对这些网络中的 “明枪暗箭”,作为普通市民该如何应对呢。此次见面会现场,还进行了《我身边的信息安全》宣传手册和“享安全”手机应用软件的上线发布。这本小小的手册,从个人电子财产的保管、个人信息的保护、上网设备的使用以及突发事件的应对等方面,告诉读者一些与日常上网活动息息相关的非常实用的信息安全防范技巧。通过朗朗上口的信息安全“三不”原则、网上信息搜索“三步骤”和许多就在我们身边发生的真实小案例,提醒市民首先要具备防范信息安全风险的意识,然后再通过掌握这些技巧,来提高保护个人信息和网上财产安全的能力,最大程度避免掉入黑客和不法分子的陷阱。通过下载“享安全”手机应用软件,市民不仅能在线阅读手册内容,还能了解最新的病毒木马预报、信息安全要闻和信息安全日常知识,还能对自己掌握信息安全小技巧的水平进行在线测试。
这本《我身边的信息安全》手册,通过印刷版、网页版等发布。市民可以用手机微信“信息安全竞赛”或者下载APP“享安全”即可。
记者看到,手册的扉页上印着“信息安全”三不”原则”:不随意打开链接,不随意下载软件,不随意填写信息。此外,要防范手机风险,还得注意别在公共WiFi区域随便上网。在张江信息安全基地专家的演示中,用公共WiFi热点上网后,手机如果登录人人网等APP应用,账号、密码就会被连在同一个热点的电脑截取,解密。
专家表示,普通人没必要太担心,因为要攻破苹果iOS的漏洞,要投入巨资,所以黑客的目标不会是个人密码之类的。利用公共WiFi信号上网时,网银密码是无法被第三方读取的。