个人信息安全防护指南:从手机验证码到应用权限管理
个人信息安全防护指南:从手机验证码到应用权限管理
在当今网络化生活中,个人信息安全面临着诸多威胁。本文将为您介绍移动互联网使用中个人信息存在的安全隐患,并提供相应的安全防范建议。
移动互联网使用的各类信息存在安全隐患
1. 手机验证码信息安全需注意
为保障用户信息安全,目前市面上的App在开发初期已设定好相关验证机制,涉及用户使用安全的场景均需向用户发送短信验证码进行操作验证,小到账号登录,大到账户消费。日常中的网站注册、网络购物、金额消费、转账汇款等场景,都需要利用到手机短信验证码。一旦手机遗失、号码易主或遭遇不法分子欺诈,验证码信息被窃取,个人信息、账户信息的安全将直接面临威胁。
2. 在第三方平台的账号安全难保障
用户在第三方平台浏览资讯、购物或发表观点时,一般会被要求进行账号注册并登录,部分平台还会要求填写个人信息。虽然在平台注册页面都附有隐私保护协议,但部分平台未向用户详细说明信息收集的范围、用途、使用权限等。与此同时,大部分用户在注册及后续登录时,对于隐私保护协议内容未能做到逐条确认。基于此现状,平台服务商在对用户的信息收集、存储和利用等方面都处于有利地位。在平台服务商数据安全防护能力薄弱并成为不法分子攻击目标时,大量平台用户账号数据安全无法得到保障。
3. 应用程序过度索取用户隐私信息
移动终端操作系统权限是系统中建立的访问与控制的机制。用户作为移动终端的所有者,根据系统设置的安全规则或安全策略,对安装应用进行授权资源的限制,包括功能级与数据级,通过权限管理,达到日常使用移动设备的最佳体验。但随着移动互联网的普及,移动终端的激增,满足大众日常使用所需的应用类别不断扩增,一些App会通过借助操作系统向用户申请开启权限来收集相应的个人信息。App在挖掘用户需求的同时,可利用大数据的独特优势,对用户提供更加精准的服务,获取更多的商业利益,也使过度索取权限成为行业的“潜规则”。反观用户角度,大多数人在面对App的权限授权提示时,并未深究其授权目的,也较难判断必要权限与过度索取权限,导致个人信息被过度收集,对个人信息安全与数据安全造成潜在威胁。
个人信息安全防范建议
近年来我国从立法、执法、普法等多个方面加强对个人信息的保护力度,但部分黑灰产业人员仍顶风作案,违法获取、非法买卖个人信息,给人们正常工作生活造成恶劣影响。个人信息的黑灰产业链路主要经历非法获取、加工处理贩卖、变现3个阶段,本文针对上述3个阶段提出个人信息保护建议。
1. 防止个人终端设备隐私被窃取
黑灰产窃取个人信息的手段多种多样,主要是利用病毒、漏洞攻击个人终端设备,或是通过钓鱼网址、恶意App窃取私密信息。针对这一问题,用户需及时更新升级终端操作系统,安装完善系统补丁,防止因系统漏洞问题,产生信息泄露、终端入侵风险。
2. 警惕应用程序的过度索权
(1)加强对正规应用的权限和隐私管理
应用程序App为保障功能的正常运行需收集个人信息,部分程序在运行时会调用大量系统的权限维持运行,调用的部分权限比较敏感,会涉及用户的个人信息数据,如通讯录权限、短信权限、定位权限。因此,用户在注册、使用App时,必须仔细查看相关用户协议、隐私声明,也可结合App中的个人信息收集清单、第三方信息共享清单功能,了解该App收集的信息内容、对应的业务场景,防止超权收集行为。
(2)规范个人网络行为,避免被恶意应用“感染”
在一些诈骗场景中,不法人员会使用话术诱导受害人,通过非应用商店的方式安装应用,如访问指定二维码(下载链接)安装应用,此类非正规渠道的应用多存在隐私窃取功能,非法窃取个人信息。对此,用户必须切实提升个人网络行为的安全意识,对于来源渠道不明的应用安装包、网站、二维码等,要谨慎点击或扫描,建议通过正规渠道下载安装应用。
3. 不要轻易泄露支付验证信息
早期黑灰产业冒充电子停车收费系统(ETC)、银行机构向受害人发送含钓鱼网址的短信,通过高仿的页面,诱导受害人填写银行账号信息、支付短信验证码等,进而盗刷受害人的资金。随着攻防对抗的升级,黑灰产业现在使用电话联系上受害人后,以话术诱导受害人安装含屏幕共享功能的会议App,再通过屏幕共享功能远程查看受害人收到的支付短信验证码完成资金盗刷操作。
在万物互联的大数据时代,碎片化的个人信息不断涌入互联网浪潮中,面对错综复杂的网络环境,我们需要提升自身的信息防护意识,增强警惕心,积极学习并实践各类信息保护手段,从而切实的保护个人信息安全。