WIFI环境下茶区微商个人信息安全性研究

李常先，宋雪杰，宋明严

（1.青岛农业大学，山东青岛 266000；2.青岛农业大学海都学院，山东莱阳 265200；3山东莱阳市住建局，山东 莱阳 265200）

引言

茶区微商总量不断上升，开启“互联网+”的茶叶贸易发展模式，势必需要广泛的WIFI环境覆盖。但在WIFI环境中，并不代表终端设备具备了较强的保护机制与功能。在茶区微商收集了大量终端用户信息后，已经成为黑客攻击的重点目标。如何加强WIFI环境下的个人信息保护效果，已经是极为严重的茶区微营销发展问题。为此，需进一步探讨WIFI环境下茶区微商个人信息安全性，现做如下分析。

1 茶区微商WIFI环境介绍

WIFI是一种短程无线传输技术，能够在数百英尺范围内支持互联网接入的无线电信号。随WIFI技术快速发展，以及IEEE802.11a、802.11g、802.11b、802.11n等技术标准先后出现，我国多数茶区已经能够为几乎所有茶叶微商提供无线网络环境支持。但这种环境本身也存在一定的安全风险，当前我国多数茶区内微商所采取的WIFI覆盖环境主要为两种模式：商业WIFI区域覆盖，WIFI热点资源共享，现对其WIFI环境下的个人信息安全风险进行如下介绍：

1.1 商业WIFI区域覆盖

商业WIFI，特指茶区交易中心所设置的WIFI网络环境。目前我国多数茶叶交易中心，为了向微商提供更为便捷的交易环境，保障交易区内的网络覆盖广度，以及网络流量速度，在线下扩建WIFI区域覆盖面已经成为普遍措施。由茶叶交易中心所提供的公共免费WIFI，个人信息泄露风险相对较低。但是在多数茶叶交易区内，同样有个体商家为了招揽客户，开启了共享WIFI模式。

商业WIFI最大的特征是共享区域广泛，而用户在无法区分WIFI设置性质时，无意中进入了个体商家WIFI环境，则容易出现个人信息泄露风险。公共WIFI的安全隐患在于将微商与黑客建构在同一网络环境之下。一套无线热点附加一套Wireshark软件，便可在15min内通过公共网络渠道侵入终端设备，进而获取通过临时无线网络用户的账号和密码。那么如果微商登陆WIFI环境并非茶区交易中心所提供的指定网络，那么其个人信息被盗取的风险必然有所增加。

1.2 WIFI热点资源共享

WIFI热点是将手机接收的GPRS、3G或4G信号转化为WIFI信号，以供他人获取网络信号。虽然我国多数茶区目前已经建设了较为健全的WIFI网络覆盖，但部分茶区由于地处偏僻、人迹罕至，故而并未建立WIFI基站。那么茶区微商在这样的环境下，则需要选择他人提供的WIFI热点资源，方能保障微信交易信息畅通无阻。

目前几乎所有智能手机都开发了热点开启功能。如果将iPhone当做移动热点，TOUCH、PAD等均可产生局域WIFI功能，其他用户亦然可以通过附近搜索进入WIFI网络，连接以后TOUCH所建立的WIFI环境同样附加了间接网络流量，消耗共享资源的GPRS或3G流量。消耗流量并不会产生直接的信息泄露风险，但破解分享资源后，利用该用户所设密码，可间接跨越后台操作，对终端内连带信息进行检索。如遇黑客潜伏WIFI热点区域内，个人信息被盗取风险也会随之增加。

2 WIFI环境下茶区微商个人信息泄露风险程度及类型

在WIFI技术快速发展的过程中，除传输速率不断提升，其安全加密技术也在不断更新。最早进入WIFI标准的加密技术名为：WEP有线等效保密，但由于其加密功能脆弱性较为明显，很快被WPA无线网络安全存取技术，以及WPA2安全加密技术所取代。目前我国茶区所采用的WIFI网络安全加密技术均为WPA2的技术类型，在相对开放的交易场所内，其安全性仍然较弱，即便采取了“商用密码管理条例”，架构了WAPI（Wireless LAN Authentication and Privacy Infrastructure）安全标准，但总体而言仍有较多微商曾在茶区内丢失个人信息。2017年我国大中型茶区随机调查报告统计的个人信息泄露类型，以调查总量基数为占比，其丢失信息类型依次从高到低可排列为：电话号（77.0%）、线下地址（77.0%）、支付记录（74.5%）、通讯短信信息（69%）、社交分享信息（63.5%）、搜索内容记录（60.5%）、性别（60.5%）、浏览阅读记录（59.5%）、兴趣爱好（58.5%）、网络邮箱及邮件（58.0%）、姓名（55.5%）、移动端设备信息（55.5%）、社交账号（51.5%）、年龄（49.5%）、线下位置信息（49.0%）、移动端文件信息（47.5%）、身份证号（45.5%）。

3 茶区微商在WIFI环境下个人信息泄露风险居高不下的本质因素

3.1 黑色数据交易产业链

国内研究在选取了七个最具代表性的安卓应用商城中330个APP应用后，进行了随机调查取样，发现65%的APP应用平台将信息泄露于开发者，38%泄露于广告商，12%泄露于未知第三方。故而黑色数据交易产业链的繁衍成为终端用户信息泄露的本质因素。而茶区微商在WIFI环境下被恶意推送APP程序时，由于交易量庞大或业务量集中，忽略了对个人信息的保护，致使个人信息在无意间暴露。尤其茶区微商本身的交易数据量涵盖信息价值更高，故而在黑色数据交易产业链的利益价值被黑客高度关注，多数情况下被反复交易，形成了个人信息的多重泄露风险。

3.2 终端管理及安全漏洞

目前我国茶区微商为了能够使用更多的营销软件，亦或适应多种WIFI环境，多数选择了Android安卓系统，其安装率占比约为68.1%，有16.9%的茶区微商选择了苹果iOS操作系统。安卓系统作为一种开放源代码操作系统环境，其安全机制相对缺失，而且目前安卓平台并未设置高级别审核机制，也致使恶意程序泛滥，降低了茶区微商在WIFI环境下的操作安全性。但是另一方面，iOS系统虽然受攻击比例相对较低，对WIFI环境下的病毒侵入具有较为良好的防御机制。但个人用户信息保护效果也曾遭受质疑，泄密问题主要集中在不经用户同意，而擅自上传用户信息至视频库/图片库到网络云端，亦或本地数据库，因此其安全漏洞虽然较少，但终端管理并未真正完善，也是茶区微商在使用iOS操作系统后遇到的个人信息泄露风险因素。

3.3 过度收集群体信息

茶区微商以用户基数保障总体交易量，收集终端用户的个人品茶喜好、统计交易额、支付方式等关键数据信息，是电子数据生成的重要商业机制。因此，茶区微商终端所存储的信息类型绝非个人信息，而是用户基数极为庞大的群体信息网络。一旦茶区微商这一网络节点被攻破，其个人存储的整体终端用户群体信息也会被盗取。故而，过度收集群体信息，成为网络节点被攻破之后的信息泄露风险极端，是造成极大经济损失的信息泄露危害。另外，由于茶区微商是出于社交媒体平台中的电子商务类型，部分应用软件之间的信息交互实现了资源互通。诸如A应用要求绑定B应用中的账号，AB信息变形成了双向互通与牵制，微商信息便在其中扩宽了信息渠道，相对的泄露风险无形增加。目前智能手机所附加的应用软件功能，也在安装程序时默认了获取多项个人信息的连带条件。安装前并未公开和透明化，实质上也是造成个人隐私信息暴露的另一种关联因素。

3.4 山寨应用与恶意程序

在APP软件功能逐步扩展，新型网络销售渠道也在不断扩大的情况下。茶区微商虽然以微信平台开发的电子商务终端网络结构为主流业务渠道，但附加在其他软件应用的业务阔增量，亦或间接流量引导也在不断增加。但依据360安全中心发布的《2018手机安全状况报告》显示，本年度新增恶意软件样本多达174977款，且集中于茶区微商高频使用的安卓系统中。其中包括：非正规应用商店、二维码、刷机、论坛、短信链接等非法途径。对于窃取安卓茶区微商隐私信息具有极高的安全风险威胁。在主流移动App电子商务平台中，便出现了350余款恶意程序，成为盗取茶区微商用户通讯录的主要安全风险类型。

4 建议

不得不承认WIFI环境本身存在一定的安全隐患和技术漏洞，个人信息泄露的安全风险在所有科技产品服务中均长期存在。此前，WIFI设备曾经出现过WPS协议漏洞，黑客通过密码穷举法，利用高性能计算设备便可对茶区微商所设置的密码排列组合逐一尝试，进而暴力破解其个人信息。为了保护茶区微商在WIFI环境下的常规业务往来，避免出现高频次和高危险系数的个人信息泄露事件。需采取以下几项措施：

4.1 附加网银交易监管

广东发展银行表示，目前网络银行在主流页面中已经附加了安全控件技术，且登录页面均选择了HTTPS超文本传输安全协议技术，在终端和服务器之间架构了多重密文形式，可保护WireShark类型的关联信息不被截取。附加网银交易监管，已经成为目前防控WIFI环境下茶区微商个人信息泄露的关键发展方向。

4.2 加强终端数字验证

支付宝官网此前宣布，网络第三方支付账户在终端登录，亦或以智能手机账号绑定，均形成了较高的信息安全防控效果。如果在终端用户选择数字证书认证技术设置终端后，亦可提高智能终端信息保护效果，即使黑客借助“钓鱼WiFi”获得了账户密码，也不可能在不具备数字证书的情况下获取手机短信验证，因此可最大限度的保护茶区微商个人信息安全性，避免出现虚拟账户资金调动的高危风险。

4.3 补充公共WIFI标识

茶区交易中心所提供的WIFI无线网络环境之所以安全性较高，在于运营商同步提供24小时监控，一旦链接用户出现了信息泄露危险预兆，也会被第一时间快速发掘动态变化。之所以被不法之徒利用，也是基于个体商户开放自营WIFI环境所造成的间接风险。为此，在茶区微商集中密度较高的场所，需尽量加大公共商业WIFI覆盖率，同时提高本地网络的标识度，方能令茶区微商快速识别更为安全的WIFI无线网络环境，降低个人信息被盗取的风险。

5 结语

综上所述，WIFI环境下茶区微商个人信息泄露风险较高，且存在多种信息类型泄露的风险因素。包括：黑色数据交易产业链、终端管理及安全漏洞、过度收集群体信息、山寨应用与恶意程序等等。为了加强针对茶区微商在WIFI环境下的个人信息安全性，需要附加网银交易监管，加强终端数字验证，补充公共WIFI标识，进而为茶区微商打造安全度更高的WIFI环境，降低茶区微商个人信息泄露风险。