WIFI環(huán)境下茶區(qū)微商個人信息安全性研究

李常先，宋雪杰，宋明嚴

（1.青島農(nóng)業(yè)大學(xué)，山東青島 266000；2.青島農(nóng)業(yè)大學(xué)海都學(xué)院，山東萊陽 265200；3山東萊陽市住建局，山東 萊陽 265200）

引言

茶區(qū)微商總量不斷上升，開啟“互聯(lián)網(wǎng)+”的茶葉貿(mào)易發(fā)展模式，勢必需要廣泛的WIFI環(huán)境覆蓋。但在WIFI環(huán)境中，并不代表終端設(shè)備具備了較強的保護機制與功能。在茶區(qū)微商收集了大量終端用戶信息后，已經(jīng)成為黑客攻擊的重點目標。如何加強WIFI環(huán)境下的個人信息保護效果，已經(jīng)是極為嚴重的茶區(qū)微營銷發(fā)展問題。為此，需進一步探討WIFI環(huán)境下茶區(qū)微商個人信息安全性，現(xiàn)做如下分析。

1 茶區(qū)微商WIFI環(huán)境介紹

WIFI是一種短程無線傳輸技術(shù)，能夠在數(shù)百英尺范圍內(nèi)支持互聯(lián)網(wǎng)接入的無線電信號。隨WIFI技術(shù)快速發(fā)展，以及IEEE802.11a、802.11g、802.11b、802.11n等技術(shù)標準先后出現(xiàn)，我國多數(shù)茶區(qū)已經(jīng)能夠為幾乎所有茶葉微商提供無線網(wǎng)絡(luò)環(huán)境支持。但這種環(huán)境本身也存在一定的安全風(fēng)險，當前我國多數(shù)茶區(qū)內(nèi)微商所采取的WIFI覆蓋環(huán)境主要為兩種模式：商業(yè)WIFI區(qū)域覆蓋，WIFI熱點資源共享，現(xiàn)對其WIFI環(huán)境下的個人信息安全風(fēng)險進行如下介紹：

1.1 商業(yè)WIFI區(qū)域覆蓋

商業(yè)WIFI，特指茶區(qū)交易中心所設(shè)置的WIFI網(wǎng)絡(luò)環(huán)境。目前我國多數(shù)茶葉交易中心，為了向微商提供更為便捷的交易環(huán)境，保障交易區(qū)內(nèi)的網(wǎng)絡(luò)覆蓋廣度，以及網(wǎng)絡(luò)流量速度，在線下擴建WIFI區(qū)域覆蓋面已經(jīng)成為普遍措施。由茶葉交易中心所提供的公共免費WIFI，個人信息泄露風(fēng)險相對較低。但是在多數(shù)茶葉交易區(qū)內(nèi)，同樣有個體商家為了招攬客戶，開啟了共享WIFI模式。

商業(yè)WIFI最大的特征是共享區(qū)域廣泛，而用戶在無法區(qū)分WIFI設(shè)置性質(zhì)時，無意中進入了個體商家WIFI環(huán)境，則容易出現(xiàn)個人信息泄露風(fēng)險。公共WIFI的安全隱患在于將微商與黑客建構(gòu)在同一網(wǎng)絡(luò)環(huán)境之下。一套無線熱點附加一套Wireshark軟件，便可在15min內(nèi)通過公共網(wǎng)絡(luò)渠道侵入終端設(shè)備，進而獲取通過臨時無線網(wǎng)絡(luò)用戶的賬號和密碼。那么如果微商登陸WIFI環(huán)境并非茶區(qū)交易中心所提供的指定網(wǎng)絡(luò)，那么其個人信息被盜取的風(fēng)險必然有所增加。

1.2 WIFI熱點資源共享

WIFI熱點是將手機接收的GPRS、3G或4G信號轉(zhuǎn)化為WIFI信號，以供他人獲取網(wǎng)絡(luò)信號。雖然我國多數(shù)茶區(qū)目前已經(jīng)建設(shè)了較為健全的WIFI網(wǎng)絡(luò)覆蓋，但部分茶區(qū)由于地處偏僻、人跡罕至，故而并未建立WIFI基站。那么茶區(qū)微商在這樣的環(huán)境下，則需要選擇他人提供的WIFI熱點資源，方能保障微信交易信息暢通無阻。

目前幾乎所有智能手機都開發(fā)了熱點開啟功能。如果將iPhone當做移動熱點，TOUCH、PAD等均可產(chǎn)生局域WIFI功能，其他用戶亦然可以通過附近搜索進入WIFI網(wǎng)絡(luò)，連接以后TOUCH所建立的WIFI環(huán)境同樣附加了間接網(wǎng)絡(luò)流量，消耗共享資源的GPRS或3G流量。消耗流量并不會產(chǎn)生直接的信息泄露風(fēng)險，但破解分享資源后，利用該用戶所設(shè)密碼，可間接跨越后臺操作，對終端內(nèi)連帶信息進行檢索。如遇黑客潛伏WIFI熱點區(qū)域內(nèi)，個人信息被盜取風(fēng)險也會隨之增加。

2 WIFI環(huán)境下茶區(qū)微商個人信息泄露風(fēng)險程度及類型

在WIFI技術(shù)快速發(fā)展的過程中，除傳輸速率不斷提升，其安全加密技術(shù)也在不斷更新。最早進入WIFI標準的加密技術(shù)名為：WEP有線等效保密，但由于其加密功能脆弱性較為明顯，很快被WPA無線網(wǎng)絡(luò)安全存取技術(shù)，以及WPA2安全加密技術(shù)所取代。目前我國茶區(qū)所采用的WIFI網(wǎng)絡(luò)安全加密技術(shù)均為WPA2的技術(shù)類型，在相對開放的交易場所內(nèi)，其安全性仍然較弱，即便采取了“商用密碼管理條例”，架構(gòu)了WAPI（Wireless LAN Authentication and Privacy Infrastructure）安全標準，但總體而言仍有較多微商曾在茶區(qū)內(nèi)丟失個人信息。2017年我國大中型茶區(qū)隨機調(diào)查報告統(tǒng)計的個人信息泄露類型，以調(diào)查總量基數(shù)為占比，其丟失信息類型依次從高到低可排列為：電話號（77.0%）、線下地址（77.0%）、支付記錄（74.5%）、通訊短信信息（69%）、社交分享信息（63.5%）、搜索內(nèi)容記錄（60.5%）、性別（60.5%）、瀏覽閱讀記錄（59.5%）、興趣愛好（58.5%）、網(wǎng)絡(luò)郵箱及郵件（58.0%）、姓名（55.5%）、移動端設(shè)備信息（55.5%）、社交賬號（51.5%）、年齡（49.5%）、線下位置信息（49.0%）、移動端文件信息（47.5%）、身份證號（45.5%）。

3 茶區(qū)微商在WIFI環(huán)境下個人信息泄露風(fēng)險居高不下的本質(zhì)因素

3.1 黑色數(shù)據(jù)交易產(chǎn)業(yè)鏈

國內(nèi)研究在選取了七個最具代表性的安卓應(yīng)用商城中330個APP應(yīng)用后，進行了隨機調(diào)查取樣，發(fā)現(xiàn)65%的APP應(yīng)用平臺將信息泄露于開發(fā)者，38%泄露于廣告商，12%泄露于未知第三方。故而黑色數(shù)據(jù)交易產(chǎn)業(yè)鏈的繁衍成為終端用戶信息泄露的本質(zhì)因素。而茶區(qū)微商在WIFI環(huán)境下被惡意推送APP程序時，由于交易量龐大或業(yè)務(wù)量集中，忽略了對個人信息的保護，致使個人信息在無意間暴露。尤其茶區(qū)微商本身的交易數(shù)據(jù)量涵蓋信息價值更高，故而在黑色數(shù)據(jù)交易產(chǎn)業(yè)鏈的利益價值被黑客高度關(guān)注，多數(shù)情況下被反復(fù)交易，形成了個人信息的多重泄露風(fēng)險。

3.2 終端管理及安全漏洞

目前我國茶區(qū)微商為了能夠使用更多的營銷軟件，亦或適應(yīng)多種WIFI環(huán)境，多數(shù)選擇了Android安卓系統(tǒng)，其安裝率占比約為68.1%，有16.9%的茶區(qū)微商選擇了蘋果iOS操作系統(tǒng)。安卓系統(tǒng)作為一種開放源代碼操作系統(tǒng)環(huán)境，其安全機制相對缺失，而且目前安卓平臺并未設(shè)置高級別審核機制，也致使惡意程序泛濫，降低了茶區(qū)微商在WIFI環(huán)境下的操作安全性。但是另一方面，iOS系統(tǒng)雖然受攻擊比例相對較低，對WIFI環(huán)境下的病毒侵入具有較為良好的防御機制。但個人用戶信息保護效果也曾遭受質(zhì)疑，泄密問題主要集中在不經(jīng)用戶同意，而擅自上傳用戶信息至視頻庫/圖片庫到網(wǎng)絡(luò)云端，亦或本地數(shù)據(jù)庫，因此其安全漏洞雖然較少，但終端管理并未真正完善，也是茶區(qū)微商在使用iOS操作系統(tǒng)后遇到的個人信息泄露風(fēng)險因素。

3.3 過度收集群體信息

茶區(qū)微商以用戶基數(shù)保障總體交易量，收集終端用戶的個人品茶喜好、統(tǒng)計交易額、支付方式等關(guān)鍵數(shù)據(jù)信息，是電子數(shù)據(jù)生成的重要商業(yè)機制。因此，茶區(qū)微商終端所存儲的信息類型絕非個人信息，而是用戶基數(shù)極為龐大的群體信息網(wǎng)絡(luò)。一旦茶區(qū)微商這一網(wǎng)絡(luò)節(jié)點被攻破，其個人存儲的整體終端用戶群體信息也會被盜取。故而，過度收集群體信息，成為網(wǎng)絡(luò)節(jié)點被攻破之后的信息泄露風(fēng)險極端，是造成極大經(jīng)濟損失的信息泄露危害。另外，由于茶區(qū)微商是出于社交媒體平臺中的電子商務(wù)類型，部分應(yīng)用軟件之間的信息交互實現(xiàn)了資源互通。諸如A應(yīng)用要求綁定B應(yīng)用中的賬號，AB信息變形成了雙向互通與牽制，微商信息便在其中擴寬了信息渠道，相對的泄露風(fēng)險無形增加。目前智能手機所附加的應(yīng)用軟件功能，也在安裝程序時默認了獲取多項個人信息的連帶條件。安裝前并未公開和透明化，實質(zhì)上也是造成個人隱私信息暴露的另一種關(guān)聯(lián)因素。

3.4 山寨應(yīng)用與惡意程序

在APP軟件功能逐步擴展，新型網(wǎng)絡(luò)銷售渠道也在不斷擴大的情況下。茶區(qū)微商雖然以微信平臺開發(fā)的電子商務(wù)終端網(wǎng)絡(luò)結(jié)構(gòu)為主流業(yè)務(wù)渠道，但附加在其他軟件應(yīng)用的業(yè)務(wù)闊增量，亦或間接流量引導(dǎo)也在不斷增加。但依據(jù)360安全中心發(fā)布的《2018手機安全狀況報告》顯示，本年度新增惡意軟件樣本多達174977款，且集中于茶區(qū)微商高頻使用的安卓系統(tǒng)中。其中包括：非正規(guī)應(yīng)用商店、二維碼、刷機、論壇、短信鏈接等非法途徑。對于竊取安卓茶區(qū)微商隱私信息具有極高的安全風(fēng)險威脅。在主流移動App電子商務(wù)平臺中，便出現(xiàn)了350余款惡意程序，成為盜取茶區(qū)微商用戶通訊錄的主要安全風(fēng)險類型。

4 建議

不得不承認WIFI環(huán)境本身存在一定的安全隱患和技術(shù)漏洞，個人信息泄露的安全風(fēng)險在所有科技產(chǎn)品服務(wù)中均長期存在。此前，WIFI設(shè)備曾經(jīng)出現(xiàn)過WPS協(xié)議漏洞，黑客通過密碼窮舉法，利用高性能計算設(shè)備便可對茶區(qū)微商所設(shè)置的密碼排列組合逐一嘗試，進而暴力破解其個人信息。為了保護茶區(qū)微商在WIFI環(huán)境下的常規(guī)業(yè)務(wù)往來，避免出現(xiàn)高頻次和高危險系數(shù)的個人信息泄露事件。需采取以下幾項措施：

4.1 附加網(wǎng)銀交易監(jiān)管

廣東發(fā)展銀行表示，目前網(wǎng)絡(luò)銀行在主流頁面中已經(jīng)附加了安全控件技術(shù)，且登錄頁面均選擇了HTTPS超文本傳輸安全協(xié)議技術(shù)，在終端和服務(wù)器之間架構(gòu)了多重密文形式，可保護WireShark類型的關(guān)聯(lián)信息不被截取。附加網(wǎng)銀交易監(jiān)管，已經(jīng)成為目前防控WIFI環(huán)境下茶區(qū)微商個人信息泄露的關(guān)鍵發(fā)展方向。

4.2 加強終端數(shù)字驗證

支付寶官網(wǎng)此前宣布，網(wǎng)絡(luò)第三方支付賬戶在終端登錄，亦或以智能手機賬號綁定，均形成了較高的信息安全防控效果。如果在終端用戶選擇數(shù)字證書認證技術(shù)設(shè)置終端后，亦可提高智能終端信息保護效果，即使黑客借助“釣魚WiFi”獲得了賬戶密碼，也不可能在不具備數(shù)字證書的情況下獲取手機短信驗證，因此可最大限度的保護茶區(qū)微商個人信息安全性，避免出現(xiàn)虛擬賬戶資金調(diào)動的高危風(fēng)險。

4.3 補充公共WIFI標識

茶區(qū)交易中心所提供的WIFI無線網(wǎng)絡(luò)環(huán)境之所以安全性較高，在于運營商同步提供24小時監(jiān)控，一旦鏈接用戶出現(xiàn)了信息泄露危險預(yù)兆，也會被第一時間快速發(fā)掘動態(tài)變化。之所以被不法之徒利用，也是基于個體商戶開放自營WIFI環(huán)境所造成的間接風(fēng)險。為此，在茶區(qū)微商集中密度較高的場所，需盡量加大公共商業(yè)WIFI覆蓋率，同時提高本地網(wǎng)絡(luò)的標識度，方能令茶區(qū)微商快速識別更為安全的WIFI無線網(wǎng)絡(luò)環(huán)境，降低個人信息被盜取的風(fēng)險。

5 結(jié)語

綜上所述，WIFI環(huán)境下茶區(qū)微商個人信息泄露風(fēng)險較高，且存在多種信息類型泄露的風(fēng)險因素。包括：黑色數(shù)據(jù)交易產(chǎn)業(yè)鏈、終端管理及安全漏洞、過度收集群體信息、山寨應(yīng)用與惡意程序等等。為了加強針對茶區(qū)微商在WIFI環(huán)境下的個人信息安全性，需要附加網(wǎng)銀交易監(jiān)管，加強終端數(shù)字驗證，補充公共WIFI標識，進而為茶區(qū)微商打造安全度更高的WIFI環(huán)境，降低茶區(qū)微商個人信息泄露風(fēng)險。