本文關(guān)鍵詞：移動(dòng)社交應(yīng)用的用戶隱私泄漏問(wèn)題研究，由筆耕文化傳播整理發(fā)布。

　　摘要 文章通過(guò)對(duì)移動(dòng)社交應(yīng)用的用戶隱私泄露問(wèn)題進(jìn)行分析，探究其隱私泄露的根本原因。完善社交應(yīng)用的通訊錄匹配功能，有效的解決了移動(dòng)社交應(yīng)用的使用者隱私泄露的問(wèn)題。

　　關(guān)鍵詞 移動(dòng)社交應(yīng)用；隱私泄露；隱私保護(hù)

　　中圖分類號(hào)G2 文獻(xiàn)標(biāo)識(shí)碼A 文章編號(hào)1674-6708（2015）136-0191-02

　　隨著科技的發(fā)展，智能終端設(shè)備以其強(qiáng)大的功能和處理功能被廣泛的應(yīng)用，社交應(yīng)用為使用者提供更加方便的通信交流服務(wù)，相比而言移動(dòng)社交應(yīng)用比傳統(tǒng)移動(dòng)通信更加經(jīng)濟(jì)實(shí)用，但是其中存在的問(wèn)題不容被忽視，就是為了增加使用者的黏度，多數(shù)應(yīng)用增加了“匹配通訊錄的功能”，這個(gè)功能被成功激活后，應(yīng)用就會(huì)向其使用者進(jìn)行自動(dòng)推薦好友，但是相對(duì)的這里就存在著一定的安全隱患，通過(guò)分析攻擊形成的原因，進(jìn)一步為開發(fā)者提供相對(duì)可行的防御措施。

　　1 用戶隱私泄露的問(wèn)題

　　1.1 匹配通訊錄功能

　　現(xiàn)在的移動(dòng)社交應(yīng)用為了增加其使用者的數(shù)量，增加使用者對(duì)其應(yīng)用的黏度，就使得通訊錄匹配功能成為了各類社交應(yīng)用的標(biāo)準(zhǔn)配備。想要使用通訊錄匹配功能就一定要滿足以下兩個(gè)方面的要求，第一，用戶需要將手機(jī)號(hào)碼在開始使用應(yīng)用的時(shí)候與其進(jìn)行綁定。第二，就需要社交應(yīng)用用戶的顯示地同意社交應(yīng)用程序可以上傳使用者的通訊錄和一些具有特定通訊摘要信息。只有在滿足這兩個(gè)條件的基礎(chǔ)上，應(yīng)用程序就會(huì)把使用者的通訊錄信息上傳到其應(yīng)用的服務(wù)終端，然后從終端返回已經(jīng)注冊(cè)和綁定的手機(jī)號(hào)碼、應(yīng)用賬戶，然后使用者就可以對(duì)其進(jìn)行瀏覽和添加好友，這種通訊錄匹配功能給使用者提供了便捷的服務(wù)，增加了好友間的溝通和交流，也使其朋友圈逐漸的擴(kuò)大范圍。這種功能的運(yùn)用是建立在一個(gè)潛在的假設(shè)上默認(rèn)使用的，就是通過(guò)通訊錄信息真正反映出這一使用者的社交關(guān)系，程序中的假設(shè)用戶會(huì)和聯(lián)系人存在一定程度上的信任，認(rèn)定推薦賬戶信息不會(huì)造成安全風(fēng)險(xiǎn)。但是，真正的事情雖然給使用者帶來(lái)了便捷，但是安全風(fēng)險(xiǎn)也是同時(shí)存在的。

　　1.2 潛在威脅分析

　　因?yàn)橘~戶信息是社交應(yīng)用使用者在虛擬的網(wǎng)絡(luò)中唯一可以識(shí)別身份的信息，所以使用者會(huì)透過(guò)這個(gè)信息判斷對(duì)方的身份的真實(shí)性，習(xí)慣于把信息填寫的盡可能詳細(xì)，貌似這些賬戶真實(shí)可信，但是攻擊者卻可以對(duì)這些信息進(jìn)行竊取和偽裝詐騙，導(dǎo)致使用者通過(guò)常識(shí)性意識(shí)進(jìn)行判斷時(shí)出現(xiàn)偏差和嚴(yán)重的失誤，致使網(wǎng)絡(luò)欺詐的發(fā)生。

　　1）網(wǎng)絡(luò)攻擊者通過(guò)此種方法非法竊取大量用戶信息和用戶的手機(jī)號(hào)碼。因?yàn)槭謾C(jī)號(hào)碼又是唯一可以進(jìn)行身份確認(rèn)的內(nèi)容，，在根據(jù)其填寫的個(gè)人信息，二者相結(jié)合就可以使攻擊者更加了解用戶的資料，所以這種方法就可作為攻擊前期的準(zhǔn)備。

　　2）通過(guò)惡意竊取用戶的身份信息以后，一些惡意用戶尤其是發(fā)送一些垃圾短信的制作人員，就會(huì)向社交應(yīng)用提供指定的一組手機(jī)號(hào)碼，查看其是否在正常運(yùn)行中。他們能夠收集大量的手機(jī)號(hào)碼，然后對(duì)這些獲取的用戶資料按照設(shè)定的不同范圍進(jìn)行統(tǒng)計(jì)。例如，年齡、性別、位置等，然后對(duì)其按照喜好和興趣投放可能會(huì)感興趣的廣告，進(jìn)一步擴(kuò)大了廣告投放的范圍。

　　3）一旦用戶注冊(cè)了數(shù)個(gè)應(yīng)用程序，這些惡意用戶就會(huì)從不同的應(yīng)用程序獲得不同版本的資料，然后這些攻擊者就會(huì)整合手里相關(guān)的資料，最終獲取到一份更加細(xì)致全面的用戶資料。例如，學(xué)校、公司等，在這些資料的基礎(chǔ)上，惡意攻擊者就會(huì)對(duì)其進(jìn)行網(wǎng)絡(luò)詐騙。

　　4）惡意攻擊者可以通過(guò)用戶的身份信息進(jìn)行身份剽竊，通過(guò)克隆的方式復(fù)制出和用戶一樣的身份，而這一用戶身份則是虛假的。通過(guò)克隆出和想要攻擊的目標(biāo)賬戶一樣的身份賬戶，展開更進(jìn)一步的攻擊。對(duì)于攻擊者來(lái)講，獲得的賬戶信息越全面，所要進(jìn)行復(fù)制克隆的身份就更加正式，而實(shí)際上的攻擊效果也會(huì)越明顯。

　　2 有效的防護(hù)措施

　　實(shí)際上，移動(dòng)社交應(yīng)用中所涉及的匹配其功能，其實(shí)際的作用價(jià)值是非常大的，不僅可以有效的提升使用者在線上的交流和溝通，還能夠很好的融合進(jìn)用戶的正常生活里增加了用戶對(duì)于移動(dòng)應(yīng)用的使用黏度。本文針對(duì)這種隱私漏洞，提出了相應(yīng)的防護(hù)措施，希望給其開發(fā)人員一些借鑒，然后設(shè)計(jì)開發(fā)出一些更加安全可靠的應(yīng)用程序。

　　首先，再以實(shí)名制為基礎(chǔ)的移動(dòng)社交應(yīng)用程序中，其應(yīng)用的賬戶名差不多都能提供有觀其用戶的身份信息時(shí)，用戶所添加的推薦用戶都是來(lái)自智能終端的通訊錄，僅需要用戶名就能對(duì)其進(jìn)行有效的身份判斷。所以在應(yīng)用進(jìn)行實(shí)名制注冊(cè)以后，服務(wù)終端所返還的信息只返回用戶名就可以，其他相應(yīng)的資料可以不用進(jìn)行返還。例如，手機(jī)號(hào)碼等。這樣就可以有效的控制應(yīng)用程序用戶的個(gè)人信息被惡意攻擊者獲取。

　　其次，對(duì)于那些沒(méi)有進(jìn)行實(shí)名制注冊(cè)的有關(guān)通信類的應(yīng)用程序，其顯示的信息只是目標(biāo)用戶的通訊錄，其中包含了通訊錄中聯(lián)系人的姓名、手機(jī)號(hào)碼，因?yàn)檫@些信息應(yīng)經(jīng)可以滿足確定推薦好友的身份，這樣就可以杜絕了手機(jī)號(hào)碼和應(yīng)用注冊(cè)賬戶之間綁定的反射，有效的控制了惡意攻擊者獲取其相應(yīng)信息資料。

　　最后，在社交應(yīng)用使用通訊錄匹配功能時(shí)，可以向應(yīng)用的使用者推薦通錄中已經(jīng)是應(yīng)用用戶好友的手機(jī)號(hào)碼，而這種具體的方法就會(huì)特別試用于這種推薦手機(jī)號(hào)碼加為好友的。這種加手機(jī)號(hào)碼的方式比使用電子郵箱地址具有更加高的隱秘度，也能更好的反映使用者之間的關(guān)系，因?yàn)檫@種擁有對(duì)方的手機(jī)號(hào)碼，可見其反映的關(guān)系多是很好的朋友，通過(guò)使用這種方法來(lái)添加朋友，不僅可以降低惡意攻擊者竊取使用者資料的可能性，也不會(huì)影響到匹配功能的實(shí)際使用。例如，騰訊騰訊公司出品的微信應(yīng)用已經(jīng)全面的采用了相應(yīng)的防護(hù)措施，但是其中還有部分問(wèn)題值得完善。雖然微信應(yīng)用已經(jīng)有效的降低了通過(guò)匹配功能來(lái)推薦好友的次數(shù)，只有在使用者已經(jīng)在添加了一部分好友的情況下，剩余的好友才會(huì)被推薦，這樣就可以有效的避免了惡意攻擊者不能夠在短期時(shí)間內(nèi)獲得用戶資料，但是在映射關(guān)系上還是存在問(wèn)題，攻擊者可以對(duì)通訊錄信息劃分小部分后進(jìn)行攻擊，進(jìn)而獲得眾多用戶的信息資料，實(shí)際上這種安全隱患并沒(méi)有很好的解決。

　　3 結(jié)論

　　總而言之，文章通過(guò)對(duì)智能終端移動(dòng)社交應(yīng)用中通訊錄匹配功能存在著致使隱私泄露的威脅，這種實(shí)際的威脅就是攻擊者惡意的獲取社交應(yīng)用使用者的資料信息，從而進(jìn)行詐騙、欺詐等活動(dòng)。但是實(shí)際情況表明，社交應(yīng)用的使用者還是比較信任社交應(yīng)用的安全性，偏向于填寫一些真實(shí)的個(gè)人信息，由于不同種類的應(yīng)用，用戶給予定位的實(shí)際價(jià)值定位和信任程度還是不同的。通過(guò)產(chǎn)生這一危險(xiǎn)的原因進(jìn)行細(xì)致分析，文章提出了一些解決實(shí)際問(wèn)題的措施。我們建議從應(yīng)用的開發(fā)者開始就應(yīng)該注重真實(shí)社會(huì)和虛擬網(wǎng)絡(luò)之間的實(shí)際區(qū)別，一旦二者之間出現(xiàn)聯(lián)系，就應(yīng)該及時(shí)意識(shí)到，在程序開發(fā)過(guò)程中對(duì)此類問(wèn)題進(jìn)行有效的處理，避免這種問(wèn)題的出現(xiàn)，盡可能的避免惡意攻擊者的攻擊。

　　參考文獻(xiàn)

　　[1]程瑤，應(yīng)凌云，焦四輩，等.移動(dòng)社交應(yīng)用的用戶隱私泄漏問(wèn)題研究[J].計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：87-100.

　　[2]吳雷，潘曉，彭志平，等.基于位置服務(wù)中半可信用戶的位置隱私保護(hù)方法[J].石家莊鐵道大學(xué)學(xué)報(bào)（自然科學(xué)版），2014，27（1）：99-105.

　　[3]霍崢，孟小峰，黃毅，等.PrivateCheckIn：一種移動(dòng)社交網(wǎng)絡(luò)中的軌跡隱私保護(hù)方法[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（4）：716-726.

　　于景賓

　　石家莊普澤電子科技有限公司，河北石家莊 050081

  本文關(guān)鍵詞：移動(dòng)社交應(yīng)用的用戶隱私泄漏問(wèn)題研究，由筆耕文化傳播整理發(fā)布。