4月16日,国家质检总局发文披露,针对智能手机可能存在的信息安全危害,质检总局产品质量监督司近期组织开展了智能手机(信息安全)质量安全风险监测。共从市场上采集样品40批次,主要参考国内外智能手机标准要求,对用户数据的操作、操作系统的更新、预置应用软件安全、后端信息系统信息安全漏洞等项目进行了检测。 不检测不知道,检测的结果着实吓人一跳。40批次的样本,18批次存在安全隐患,这意味着全国接近一半的手机都存在的安全风险。除了智能手机本身,应用软件和云平台等多方面,也存在暗中读取数据,收集用户信息,密码强度要求低,权限控制弱等安全风险。 也就是说,用户手中的智能手机,从线上到线下都存在着安全隐患。事实上,质检总局做这个检测以及发文披露,不只是在手机存在的问题,更透露了对相关厂商的警告。而将手机安全纳入手机产品质量问题,也表明了对手机安全的重视,这应该也算是网络安全治理的一部分。 40批次手机样品,18批次存在安全隐患 最终的检测结果,40批次的手机样品,18批次样品存在安全隐患,主要存在以下四种情况: 12批次样品后端信息系统存在信息安全漏洞,包括未限制用户密码复杂度、未限制非法登陆次数、未限制短信验证码错误使用次数、重置密码的短信验证码由本地生成、未对数据包重要访问控制参数进行校验导致可被越权操作; 9批次样品中的预置应用软件未向用户明示且未经用户同意,擅自收集用户数据; 1批次样品未实现对用户数据的操作权限控制功能; 1批次样品操作系统的更新未向用户明示且未经用户同意,擅自自动升级。 对于这些问题,可能有的朋友看不懂。大家只要记住,上述问题可能导致用户隐私数据泄漏甚至智能手机被恶意控制。被控制的结果,就可能会成为诈骗短信、诈骗电话、钓鱼网站攻击的目标。国家计算机病毒应急处理中心最新发布的数据显示,目前移动终端的病毒感染比例呈上升趋势,一年中智能手机新增恶意程序样本1800多万,平均每天截获新增恶意程序样本也高达5.1万余个。质检总局的检验结果,40批次的样本,18批次存在安全隐患,这意味着接近一半的手机都存在的安全风险。 出现这样的问题,是这18家手机厂商做不好手机安全,还是因为业内一直存在这样的情况?如果是前者,尚情有可原,只要在技术加强安全管理就会好一些.但若是后者,则很有可能是厂商故意为之,这就不好说了,为了利益而对用户不负责,这种态度是不可取的。 只发布结果不公布名单,至少暗含五层深意 估计,质检总局对行业也应有所了解,因此只是公布了18个批次的手机存在的安全隐患,但没有公布有安全风险手机厂商的名字。这其中,当是有些深意的,我们不妨做下猜测。 首先,对于这次检测出问题的手机,质检总局肯定不会放过。但主要是借助这次检验发布这个公告,告诫更多的手机厂商,以前有故意留下手机“后门”的行为也就罢了,但是以后如果再有这种行为,就意味着你的产品是不达标的,以后应该提高品控与质量监督。这无疑,是在敲山震虎。 其次,将手机安全归属为质量问题,是在为手机厂商加压。这意味着,如果以后发生因手机安全而造成的事故,手机厂商也是责任人之一,用户有权投诉及起诉手机厂商,这让手机厂商以后不敢故意为之。 第三,公文是在明示,网络安全不只是与几大通讯运营商有关,更与终端厂商有莫大的关联。要想彻底的提高网络安全,遏制网络诈骗等风险,运营商应该负责,手机等终端厂商同样应该有足够大的责任。 第四,智能终端作为云产品,其网络安全不只是在手机产品本身,其服务端云平台的安全更为重要。但是目前很多手机云平台的安全风险似乎比手机还要脆弱,应该加强安全管理,不敢是手机厂商的私有云,还是为手机厂商提供云服务的云计算平台,都应该加强安全意识。应该考虑:什么样的云平台才是安全的平台,安全标准又该是怎样的。 第五,手机应用供应商以后要乖乖的,不要再做手脚。我们知道,很多大型正规的手机应用,都存在随意获取用户信息以及位置的问题,至于那些不合规的应用,则根本就不会提示用户。对于用户隐私,软件应用厂商是应该给予用户尊重的,而不是能够肆意获取的。对于这样的情况,以后用户是可以举报并投诉的,必要时可以进行维权。 猜测还能有更多,不够有这5点就足够了,至少能够让手机产业链上的诸多商家,开始真正重视网络安全问题。 将手机安全划为质量问题,重在提升网络安全 (责任编辑:本港台直播) |