社交软件引发隐私焦虑 个人信息被滥用埋隐患
通过微信能找到对方的准确位置?最近,“微信三点定位法”在网络上疯传,引起网友热议。网传“三点定位法”是通过微信“附近的人”功能,连续变换3次以上位置,再辅以电子地图,就能定位出其他微信用户在哪儿!记者通过实验证实该方法确实能锁定被寻找目标的大概位置区域。对于近期社交定位引发的网友焦虑,警方表示,利用微信、陌陌等社交工具进行犯罪的案件增多,民众要提高警惕,保护隐私。
“微信”成危信,社交软件引发隐私焦虑
微博、腾讯QQ、微信等国内外各种社交服务网站及应用都给用户带来了诸多的便捷,成为重要的社交平台。微信的出现更加拉近了人与人之间的距离,一摇一晃即可搜索和查看手机附近的人将其加为好友。当这些社交服务网站及应用风头正劲时,随之而来的安全和隐私问题却让广大用户很焦虑。一些不法分子利用网络社交平台的漏洞进行不法活动企图从中牟利,给部分用户带来困扰甚至危险。
据了解,目前国内主流社交应用微信,微博、陌陌、QQ等都会在用户授权的情况下公开用户的地理位置信息。除公开定位信息外,用户在这些社交平台上发布的内容也会在不知情的情况下泄露自己的信息。而这些无意中泄露出来的信息,往往被犯罪分子所利用。例如6月,网上一则新闻报道称,一名歹徒利用微信查看“附近的人”等功能,掌握了沈阳一名23岁女孩的活动规律及相貌,尾随女孩将其杀害。这样的例子不少,在百度搜索中输入关键字“微信犯罪”,结果超400万条。犯罪分子运用微信实施犯罪主要方式是通过“附近的人”这一方式寻找位置信息,再通过聊天等方式诱骗受害者。
在智能手机普及的当下,“微信三点定位”引发的热议,也折射出公众对隐私暴露的不安。有网友在一个博客里称,他在手机里安装游戏等应用软件时,常被要求“使用你的位置”,一旦点击“好”,这些应用便肆意扫描并把他手机里的信息上传到互联网云服务器。该博客一经发布就引发了众多网友的讨论与不安。许多智能手机应用在初次使用时都会询问用户是否允许“使用你的位置”,网友“_Mrchen”说:“我也一直奇怪,玩个游戏有必要老是问我位置在哪?”正是不经常间的一个“允许”,或对个人隐私泄露造成极大负面影响。
界定标准模糊,个人信息就这样被盗用
互联网时代,想必大家对各种“门”事件已是司空见惯,特别是前段时间的“棱镜门”更引发了人们对“信息防盗门”的思考。过去,隐私泄露可能来自一个木马病毒或者黑客网站,也可能是人为的有意泄露。现在社交应用软件能收集用户隐私,更是掀起了舆论风暴。
不过,如何界定个人信息与隐私的边界一直是个棘手的问题。简单地说,当一个人在互联网上看到了涉及到他/她的一些信息、收到了陌生人直呼其名的骚扰,才能醒悟到个人的隐私遭到了泄露,在这之前,这个人隐私和公开的边界,到底应该划在哪里?电话号码、微博内容、通讯录、个人照片、性别……这些个人信息有些可以被分享,有些却不愿被分享,这是否能成为划分隐私与个人信息的“红线”?恐怕很难得出答案。因为当我们在大众点评上交换出地理位置信息时,不觉得这是问题;当我们使用QQ,交换出去好友关系时,不觉得这会出现问题;当我们使用天猫商城交换出去联系方式时,不觉得这会引发问题;但以上这些看似正常的日常行为都可能成为泄露个人隐私的途径。
个人信息与隐私界定标准的模糊让人头疼,用户亦因此不自觉地泄露个人信息。有互联网人士就曾担心,一旦发生隐私恐慌,用户把所有个人信息都打上“神圣不可侵犯”的标签,那么互联网的很多模式都可能会走向终结,比如O2O、个性化推荐等。因此可以预见,判断个人信息在什么情况下会成为隐私的问题将会是互联网下一步发展的重大命题。
合理开发个人信息,亟需监管跟进
个人信息是未来互联网经济发展的重要模块,尽管目前国内对它与隐私的界定仍然模糊,但是站在人类社会进化的角度,个人信息的释放不可阻挡,个人信息的透明与顺畅流转是整个互联网经济下一步发展的关键基石,比如O2O模式就是通过对个人信息的分析达到精准营销的目的,个人喜好、行为习惯、年龄、性别……
越多的个人信息开放,一些O2O的业务就能提供越有针对性的服务,但建立行业秩序和规则,合理开发个人信息的价值,则是必须正视的问题,否则个人信息被滥用将会引发社会问题。
工信部电信研究院通信信息所副总工程师张焱滨透露,微信等OTT业务的安全和隐私问题日益凸显,工信部正在探索对其监管,而安全和隐私保护是重点。
目前,我国在隐私保护方面的相关法律缺位,这需要政府、移动互联网企业、安全厂商、用户共同参与来完善个人信息保护相关法律法规和配套制度。在制度、法律保护之外,技术的防范不可获取,创新移动互联网领域信息安全监管的体制、机制,建立多主体、多手段、多技术的安全监管体系。
专家认为,一方面,可建立从虚拟空间到现实社会的对接认证制度,使虚拟空间的犯罪可查、可防、可控。网络用户有权决定自已的个人信息能否公开,相关企业现个人在使用用户个人信息数据时必须自律,保证用户个人信息安全。另一方面,建立便捷、有效的投诉、索赔和纠纷解决机制,监管机构提升执行力,对相关违法个人与企业严格处罚。
编者按:软件安全问题一直是开发人员关注的重点,简单高效的漏洞探测方法能够为程序的平稳运行提供强大助力。近日,微软研究人员开发出一种可以用于发现软件安全漏洞的新方法。这个名为微软安全风险检测(Microsoft Security Risk Detection)的工具能够大大简化安全测试流程,让你无须成为安全问题专家也可以消除软件中的漏洞。本文译自 “Neural fuzzing: applying DNN to software security testing ”。
微软研究人员开发出一种用于发现软件安全漏洞的新方法——借助机器学习和深度神经网络,系统可以从既往经验中学习如何更好地发现这些漏洞。这个名为“神经网络模糊测试”的最新研究项目旨在对传统模糊测试技术加以强化,而且早期实验已经显现出良好的效果。
软件安全测试是一项艰巨任务,通常是由安全专家通过昂贵且针对局部的代码评审流程来实现,或者借助针对特定场景设计,专用而复杂的安全工具来检测和评估代码中的漏洞。微软最近发布了一个名为微软安全风险检测(Microsoft Security Risk Detection,缩写为MSRD)的工具,它大大简化了安全测试流程,让你无须成为安全问题专家也可以定位软件中的漏洞。这款基于Azure的工具已向Windows用户开放,并向Linux用户开放了预览版。
模糊测试
驱动这套微软安全风险检测工具(MSRD)的关键技术名为模糊测试(fuzz testing)。这种程序安全测试方法可以查找出导致程序被攻破的输入(如缓冲区溢出、内存访问冲突和无效指针引用取消等)。
模糊测试器(fuzzer)可以分成几个不同类别:
黑箱模糊测试器,也被称为“傻瓜模糊测试器”,完全依靠样本输入文件生成新的输入。
白箱模糊测试器,它对目标程序进行静态或动态分析,以此引导搜索更多新的输入,旨在尽可能多地探查代码路径。
灰箱模糊测试器,与黑箱模糊测试器相似,它对目标程序的结构没有任何了解,但可根据对目标程序既往执行行为的观察,利用反馈回路来指导搜索。
图一:由MSRD中支持的神经网络AFL报告的崩溃
神经网络模糊测试
今年早些时候,微软研究员William Blum、Rishabh Singh和Mohit Rajpal等人启动了一个研究项目,研究如何使用机器学习和深度神经网络来改进模糊测试技术,通过在灰箱模糊测试器的反馈回路中插入一个深度神经网络来研究机器学习模型的学习过程。
在最初的实验中,研究员们考察了系统是否能够随着时间推移,对当前模糊测试器的历史模糊迭代进行观察并从中学习,他们将神经网络模糊测试的方法应用于一种名为American Fuzzy Lop(AFL)的灰箱模糊测试器中,尝试使用四种不同类型的神经网络对四个目标程序进行实验,分别是ELF、PDF、PNG和XML四种不同文件格式的解析程序。
结果非常鼓舞人心——对于上述四种输入格式解析器而言,这种基于神经网络的方法在代码覆盖率、唯一代码的路径和崩溃方面都比传统AFL有了显著进步。
对于ELF和PNG这两种格式的解析器而言,基于长短期记忆(LSTM)神经网络模型的AFL系统在代码覆盖率方面比传统AFL提高了10%。
对于除PDF格式以外所有的解析器,神经网络AFL都能够比传统AFL找到更多的唯一路径。对于PNG解析器而言,在经历过24小时的模糊测试之后,它发现的非重复代码路径比传统AFL多一倍。
图二:libpng文件解析库中找到漏洞数量随时间变化图示
评估模糊测试器的方法之一是比较报告的崩溃次数。对于ELF文件解析器,神经网络AFL报告了至少20次崩溃,而传统AFL却未能报告任何崩溃。这一结果是令人惊讶的,因为神经网络AFL就是利用AFL自身进行训练的。同时,对于文本型文件格式(如XML),神经网络AFL发现的崩溃次数比传统AFL多38%。对于PDF而言,传统AFL在搜寻新代码路径方面总体上优于神经AFL。但是,这两个系统都没有报告任何崩溃。
图三:针对readelf(左)和libxml(右)文件解析器报告的崩溃次数
总的来说,除了PDF以外,使用基于神经网络的模糊测试工具在每个实例上的表现都优于传统AFL。而面对PDF,神经网络AFL并没有优势的原因可能是因为在对神经模型进行查询时,PDF文件的较大尺寸会引起显著的资源开销。
总体而言,神经网络模糊测试方法催生了一种简单、高效和通用的灰箱模糊测试新途径。
简单:搜索漏洞并不依靠复杂的手工启发——系统从现有模糊测试器中学习策略。我们只需要向它提供一些字节序列,让它自行找出各种特征,并从中自动推广,进而预测哪种类型的输入比其他类型更重要,以及模糊测试器的注意力应该集中在何处。
高效:在AFL实验中,最初24小时内,神经网络AFL探测的唯一代码路径数量显著高于传统AFL。对于某些文件分析器,神经网络AFL甚至报告了AFL从未报告的崩溃。
通用:虽然这项研究只在AFL模糊测试工具上进行了测试,但这种方法可以应用于任何模糊测试器,其中包括黑箱及随机模糊测试器。
相比于使用深度神经网络进行模糊测试所能发挥的潜力而言,现阶段的神经网络模糊测试研究项目只是触及了皮毛而已。目前,这个模型只能学习模糊测试的代码定位,但接下来它还可以用来学习其它的模糊测试参数,如产生变种的类型或策略等。研究员们也在考虑为这一机器学习模型开发线上版本,让模糊测试器能够从不断进行的模糊迭代中永续学习。