国内SNS网站个人隐私安全隐患不容忽视

　　【IT168 评论】6月28日晚，新浪微博遭遇到XSS蠕虫攻击侵袭，在不到一个小时的时间，超过3万微博用户受到该XSS蠕虫的攻击。此事件给严重依赖社交网络的网友们敲响了警钟。在此之前，国内多家著名的SNS网站和大型博客网站都曾遭遇过类似的攻击事件，只不过没有形成如此大规模传播。虽然此次XSS蠕虫攻击事件中，恶意黑客攻击者并没有在恶意脚本中植入挂马代码或其他窃取用户账号密码信息的脚本，但是这至少说明，病毒木马等黑色产业已经将眼光投放到这个尚存漏洞的领域。

　　如何能够更好地保护用户隐私信息?安全人员首先要做的就是深入了解SNS网站面临的安全问题。通过分析国内主流SNS网站，研究人员发现出其两大主要安全问题：用户隐私保护不力和XSS蠕虫病毒攻击。在此基础上，我们还可以将问题进一步细化，如与隐私相关的信息泄露、钓鱼攻击、网络诈骗等，与XSS相关的恶意代码传播、大范围用户信息窃取及基于XSS的DDoS攻击等。下面我们结合实际情况对SNS网站面临的安全问题进行详细的描述和分析。

　　唾手可得的隐私信息

　　用户隐私问题一直是互联网上一个比较敏感的话题，随着SNS网站的出现及快速发展，用户隐私问题也变得异常严重。从目前我国SNS网站的服务人群来看，主要的用户为学生、白领及其他一些特定的人群，且此类网站大多数为强制实名制，因此使得此类用户的隐私信息更容易暴露在其他用户面前，如果恶意黑客利用此类信息那么后果将难以想像。我们通过人人网的搜索功能，获取某一账户的个人信息如图1所示。

▲图1：通过人人网搜索到的某用户隐私信息

　　从图1可以发现该用户的个人信息对外都是可见的，那么如果黑客结合搜索引擎进行“人肉搜索”的话，那么获取到的将会是更多可被黑客恶意利用的敏感信息，利用用户的个人信息或其他隐私信息，黑客便可以进行钓鱼攻击或者欺诈等。

　　跳板式获取的隐私信息

　　虽然某些SNS网站对用户信息相关数据有完备的隐私控制策略，但是这种策略并非不能够被黑客加以利用。在人人网上对用户的信息查看时，我们发现，如果用户设置了相应的隐私控制策略以后，一般用户是无法访问该用户的个人主页信息的，如图2所示。

▲图2：设置隐私相关策略后仍有可被黑客利用的信息

　　但是，从页面中我们仍然可以看到可以被黑客利用的内容，那就是该用户的好友信息，如图2中红框选中的部分。结合SNS网站所具有的极强交互性的特点，可以通过该交互寻找到不同用户之间的关系，即所谓的社交网络虚拟人际关系网，可以用图3所示。

▲图3：社交网络虚拟人际关系网

　　图中假设黑色头像所代表的是黑客希望获取相关隐私信息的用户，尽管黑客无法直接通过目标任务的账号信息获取到数据内容，但是通过SNS网站的交互性，黑客可以通过其好友账号进行间接渗透攻击。当黑客获取到其好友账号信息以后，不但可以正常浏览目标用户的个人主页和个人隐私信息，还可以通过好友用户通过发私信或邮件的方式进行钓鱼攻击。

　　危机四伏的外挂程序

　　SNS网站泄露个人隐私信息不仅仅只是以上提到的两方面，很多第三方应用也会有不少安全问题。例如，网上很多针对SNS网站“刷人气”、“刷等级”外挂软件倍受用户青睐，而这些程序通常也会有这样那样的问题。

▲图4：人人网应用程序列表

　　通过瑞星安全人员的分析发现，网络上有很大一部分外挂或辅助软件为“伪外挂”程序，即该类软件根本无法实现“刷人气”、“刷等级”等作用，而其主要功能是盗取用户的账号密码信息等内容。由于该类软件对外宣称实现的是“刷人气”、“刷等级”的作用，所以“名正言顺”地要求用户在软件运行时输入SNS网站的个人账户及密码信息，而软件在获取账号密码信息以后除了向SNS网站发送该信息外，还会向黑客的服务器发送用户的账号和密码信息，如图5所示。

▲图5：外挂辅助软件盗取用户账号和密码信息

　　在图5所示的案例中用户的账号和密码信息被提交到了黑客的网站服务器w#w.clickaider.net，黑客在接收到用户账号和密码信息以后，就可以使用正确的账号和密码信息登录，由此而带来的危害是无法想像的。