移动社交应用的用户隐私泄漏问题研究

移动社交应用的用户隐私泄漏问题研究摘要文章通过对移动社交应用的用户隐私泄露问题进行分析，探究其隐私泄露的根本原因。完善社交应用的通讯录匹配功能，有效的解决了移动社交应用的使用者隐私泄露的问题。关键词移动社交应用；隐私泄露；隐私保护中图分类号G2文献标识码A文章编号1674-6708（2015）136-0191-02随着科技的发展，智能终端设备以其强大的功能和处理功能被广泛的应用，社交应用为使用者提供更加方便的通信交流服务，相比而言移动社交应用比传统移动通信更加经济实用，但是其中存在的问题不容被忽视，就是为了增加使用者的黏度，多数应用增加了“匹配通讯录的功能”，这个功能被成功激活后，应用就会向其使用者进行自动推荐好友，但是相对的这里就存在着一定的安全隐患，通过分析攻击形成的原因，进一步为开发者提供相对可行的防御措施。1用户隐私泄露的问题1.1匹配通讯录功能现在的移动社交应用为了增加其使用者的数量，增加使用者对其应用的黏度，就使得通讯录匹配功能成为了各类社交应用的标准配备。想要使用通讯录匹配功能就一定要满足以下两个方面的要求，第一，用户需要将手机号码在开始使用应用的时候与其进行绑定。第二，就需要社交应用用户的显示地同意社交应用程序可以上传使用者的通讯录和一些具有特定通讯摘要信息。只有在满足这两个条件的基础上，应用程序就会把使用者的通讯录信息上传到其应用的服务终端，然后从终端返回已经注册和绑定的手机号码、应用账户，然后使用者就可以对其进行浏览和添加好友，这种通讯录匹配功能给使用者提供了便捷的服务，增加了好友间的沟通和交流，也使其朋友圈逐渐的扩大范围。这种功能的运用是建立在一个潜在的假设上默认使用的，就是通过通讯录信息真正反映出这一使用者的社交关系，程序中的假设用户会和联系人存在一定程度上的信任，认定推荐账户信息不会造成安全风险。但是，真正的事情虽然给使用者带来了便捷，但是安全风险也是同时存在的。1.2潜在威胁分析因为账户信息是社交应用使用者在虚拟的网络中唯一可以识别身份的信息，所以使用者会透过这个信息判断对方的身份的真实性，习惯于把信息填写的尽可能详细，貌似这些账户真实可信，但是攻击者却可以对这些信息进行窃取和伪装诈骗，导致使用者通过常识性意识进行判断时出现偏差和严重的失误，致使网络欺诈的发生。1）网络攻击者通过此种方法非法窃取大量用户信息和用户的手机号码。因为手机号码又是唯一可以进行身份确认的内容，在根据其填写的个人信息，二者相结合就可以使攻击者更加了解用户的资料，所以这种方法就可作为攻击前期的准备。2）通过恶意窃取用户的身份信息以后，一些恶意用户尤其是发送一些垃圾短信的制作人员，就会向社交应用提供指定的一组手机号码，查看其是否在正常运行中。他们能够收集大量的手机号码，然后对这些获取的用户资料按照设定的不同范围进行统计。例如，年龄、性别、位置等，然后对其按照喜好和兴趣投放可能会感兴趣的广告，进一步扩大了广告投放的范围。3）一旦用户注册了数个应用程序，这些恶意用户就会从不同的应用程序获得不同版本的资料，然后这些攻击者就会整合手里相关的资料，最终获取到一份更加细致全面的用户资料。例如，学校、公司等，在这些资料的基础上，恶意攻击者就会对其进行网络诈骗。4）恶意攻击者可以通过用户的身份信息进行身份剽窃，通过克隆的方式复制出和用户一样的身份，而这一用户身份则是虚假的。通过克隆出和想要攻击的目标账户一样的身份账户，展开更进一步的攻击。对于攻击者来讲，获得的账户信息越全面，所要进行复制克隆的身份就更加正式，而实际上的攻击效果也会越明显。2有效的防护措施实际上，移动社交应用中所涉及的匹配其功能，其实际的作用价值是非常大的，不仅可以有效的提升使用者在线上的交流和沟通，还能够很好的融合进用户的正常生活里增加了用户对于移动应用的使用黏度。本文针对这种隐私漏洞，提出了相应的防护措施，希望给其开发人员一些借鉴，然后设计开发出一些更加安全可靠的应用程序。首先，再以实名制为基础的移动社交应用程序中，其应用的账户名差不多都能提供有观其用户的身份信息时，用户所添加的推荐用户都是来自智能终端的通讯录，仅需要用户名就能对其进行有效的身份判断。所以在应用进行实名制注册以后，服务终端所返还的信息只返回用户名就可以，其他相应的资料可以不用进行返还。例如，手机号码等。这样就可以有效的控制应用程序用户的个人信息被恶意攻击者获取。其次，对于那些没有进行实名制注册的有关通信类的应用程序，其显示的信息只是目标用户的通讯录，其中包含了通讯录中联系人的姓名、手机号码，因为这些信息应经可以满足确定推荐好友的身份，这样就可以杜绝了手机号码和应用注册账户之间绑定的反射，有效的控制了恶意攻击者获取其相应信息资料。最后，在社交应用使用通讯录匹配功能时，可以向应用的使用者推荐通录中已经是应用用户好友的手机号码，而这种具体的方法就会特别试用于这种推荐手机号码加为好友的。这种加手机号码的方式比使用电子邮箱地址具有更加高的隐秘度，也能更好的反映使用者之间的关系，因为这种拥有对方的手机号码，可见其反映的关系多是很好的朋友，通过使用这种方法来添加朋友，不仅可以降低恶意攻击者窃取使用者资料的可能性，也不会影响到匹配功能的实际使用。例如，腾讯腾讯公司出品的微信应用已经全面的采用了相应的防护措施，但是其中还有部分问题值得完善。虽然微信应用已经有效的降低了通过匹配功能来推荐好友的次数，只有在使用者已经在添加了一部分好友的情况下，剩余的好友才会被推荐，这样就可以有效的避免了恶意攻击者不能够在短期时间内获得用户资料，但是在映射关系上还是存在问题，攻击者可以对通讯录信息划分小部分后进行攻击，进而获得众多用户的信息资料，实际上这种安全隐患并没有很好的解决。3结论总而言之，文章通过对智能终端移动社交应用中通讯录匹配功能存在着致使隐私泄露的威胁，这种实际的威胁就是攻击者恶意的获取社交应用使用者的资料信息，从而进行诈骗、欺诈等活动。但是实际情况表明，社交应用的使用者还是比较信任社交应用的安全性，偏向于填写一些真实的个人信息，由于不同种类的应用，用户给予定位的实际价值定位和信任程度还是不同的。通过产生这一危险的原因进行细致分析，文章提出了一些解决实际问题的措施。我们建议从应用的开发者开始就应该注重真实社会和虚拟网络之间的实际区别，一旦二者之间出现联系，就应该及时意识到，在程序开发过程中对此类问题进行有效的处理，避免这种问题的出现，尽可能的避免恶意攻击者的攻击。参考文献[1]程瑶，应凌云，焦四辈，等.移动社交应用的用户隐私泄漏问题研究[J].计算机学报，2014，37（1）：87-100.[2]吴雷，潘晓，彭志平，等.基于位置服务中半可信用户的位置隐私保护方法[J].石家庄铁道大学学报（自然科学版），2014，27（1）：99-105.[3]霍峥，孟小峰，黄毅，等.PrivateCheckIn：一种移动社交网络中的轨迹隐私保护方法[J].计算机学报，2013，36（4）：716-726.