如今,随着智能手機的普及和無線網絡的覆寫,使用手機處理公務的情形越來越普遍。以微信為代表的即時通信類社交媒體,以其功能實用、操作簡單、友善快捷等優勢,博得了越來越多使用者的青睐,逐漸成為資訊化社會處理公務的管道和平台之一。
其中,接入微信、支付寶等大型網際網路平台的各類小程式因無需下載下傳安裝、操作便捷、占用記憶體小等優勢,迅速融入生産生活、公共服務、政府管理的各個領域,成為大家的常用工具。
各類小程式集通信工具、傳播媒介、社交媒體、應用平台等多種功能于一體,具有龐大的使用者基礎,此類資訊洩露的違法行為更具複合性特點。特别是其資訊資源共享十分友善,一旦個人隐私被暴露,資訊往往呈幾何級擴散。
#1
小程式暴露的資訊安全問題
1.淪為“隐私扒手” 盜取使用者資訊
2021年8月,上海市警察局網安總隊在網絡巡查中發現一條重要線索:一款應用程式存在表面“清粉”,實為“引流”的違法行為。接到線索後,闵行警方通過2個多月的調查,挖出一個利用“清粉”軟體非法盜取使用者資料的幫派。
警方分析發現,幫派在使用者毫無察覺的情況下,“秒級”擷取了手機裡的公民資訊,直至案發,無人向公安機關報案。他們根本不知道,這些公民資訊資料已被傳輸到了幫派的伺服器上。
經審訊,幫派不僅用程式非法擷取公民資訊,還将這些公民資訊出售和非法使用,從中牟利。該團夥已非法獲利800餘萬元。
2.利用安全漏洞劫持使用者賬号
另外,社交媒體小程式的安全漏洞也容易成為網絡攻擊的工具和管道。據研究,黑客可利用社交媒體平台與第三方小程式授權協定漏洞劫持使用者賬号。第三方小程式還可通過僞造等方式誘導使用者授予惡意應用進階權限,利用使用者賬号傳播釣魚網站,通過對小程式自動化攻擊開展刷量刷單、非法引流等違法違規活動。
例如我們熟知的支付寶領紅包的淘密碼,在沒有複制連結的情況下打開支付寶卻出現出現紅包彈窗,其實就是你的剪貼闆被劫持了。小程式中增加劫持使用者剪貼闆的功能,也就是使用者隻要打開小程式,小程式自動複制一段吱密碼,進而實作不法分子刷量刷單,非法引流的目的。
3.文字識别導緻涉密資訊失控
小程式頻頻出現的問題不僅影響了我們日常的生活,也給工作中的保密管理帶來了新的難題。近年來,通過微信等即時通信類社交媒體辦公而導緻的失洩密案件逐年增加,已成為失洩密案件的“高發地”。
2021年2月,某市研究室從業人員張某在收到1份秘密級材料後,認為“寫得很好,可以長期學習借鑒”。為友善以後學習和引用,便利用微信小程式的文字識别功能,對材料主要内容進行拍照、識别,再将文本通過手機建立的區域網路導入非涉密計算機中存儲、處理,造成涉密資訊失控。案件發生後,張某被給予黨紀政務處分。
#2
小安說保密
網信部門建議,在掃碼使用小程式時應注意謹慎識别選擇公共場所小程式二維碼圖示,不随意掃描使用來路不明、未明示營運主體機關的小程式;詳細閱讀小程式《隐私政策》《使用者協定》,謹慎授予應用程式“發送短信”“讀取短信”“檢視通訊錄”“讀取定位資訊”等權限;使用小程式期間避免使用公共場所無需密碼的無線網絡,及時關閉藍牙功能。