基于SNS隐私悖论的社会工程学研究

2018-03-04 07:03刘慧康赵禹铭
电脑知识与技术 2018年36期

刘慧康 赵禹铭

摘要:社交网络服务(Social Networking Services,SNS)在日常生活中应用广泛,但SNS在带来便利的同时,产生了用户的隐私泄露问题。用户的共享性需求与保护个人隐私产生的矛盾,SNS提供商与用户之间产生的矛盾,所引发的隐私悖论以及隐藏的可以被攻击的漏洞也应当引起重视。该文将从社会工程学的角度审视个人在SNS中的安全威胁,并给出社交网络服务提供商与搜索引擎厂商两方的解决方案。

关键词:隐私泄露;社交网络;社会工程学;隐私悖论

中图分类号:TP393        文献标识码:A        文章编号:1009-3044(2018)36-0013-03

Abstract:Social Networking Services has been widely used in daily life, however, SNS brings convenience, at the same time it brings the user privacy issues. The contradiction between users share demand and personal privacy preservation, SNS providers and users, causes the privacy paradox and hidden vulnerability that should be taken seriously.This article will examine from the angle personal security threats from social engineering in the SNS, and give solution for social network service providers and search engine manufacturers.

Key words:privacy disclosure; social Networking; social engineering; privacy paradox

在互聯网技术快速发展的今天,社交网络服务作为网络生活中举足轻重的应用,已得到快速的发展。但SNS在逻辑上以及一些功能上仍存在许多问题。

比如目前主流的SNS网站,在用户主动泄露隐私的情况下难以对抗攻击者的解匿名攻击,即当攻击者获得了一些关于目标的背景消息,而社交节点间的相似性不足以将用户隐藏到特定集合的时候,用户的信息安全将得不到保障。所以,社交网站提供的服务并不能够按照预想的那样保证使用者的绝对隐私,本文将从社会工程学的安全视角去审视个人在SNS中的信息安全,并对基于共享性需求导致的隐私泄露问题给出解决方案。

1 现状

1.1 SNS的使用现状

有CNNIC发布的数据显示,早在2012年底,我国使用社交网站的用户规模就已经达到2.75亿人,而社交网络使用者在网民中占比48.8%,且社交网站的每月至少一次使用率由63.2%逐步攀升。由此可见,SNS在互联网服务中占据着重要地位。然而在社交网站流失用户原因的调查中[1],认为浪费时间而放弃继续使用的用户占45.8%,失去兴趣而离开的用户占比40.4%,余下的原因如垃圾信息太多,网站无用等原因均与安全性无直接联系。即用户目前不会因为安全性而大规模离开某个SNS。

1.2 用户对个人隐私的态度

隐私泄露可以获得三个方面的收益,其中包括金融收益,个性化和社会调解收益[2]。基于这个原因,假设用户可以获得较高的个性化服务,那么他就可能降低对隐私的关注。因此知乎与微博的用户会有较高的隐私披露意愿,而贴吧用户则较少有这种意愿。这种情况在青少年之中更为明显,青少年使用互联网的动机中,自我展示的均差和标准差为(2.843±0.908)[3],而这种强烈的社交倾向很可能成为隐私泄露的源头。

1.3 隐私悖论

隐私悖论指隐私关注与实际的隐私披露行为有很明显的二元性,即隐私关注水平高的用户仍会泄露自己的隐私[4]。本文所提及的隐私悖论,是用户对SNS有共享性需求时,而造成的隐私悖论。这是由于获取资源的需求与获取资源必须在SNS上留下关于个人的敏感信息的矛盾,我们将某用户分割为SNS与现实世界两个部分,倘若存在某一元素A,使得在已知A的情况下可以由左向右或由右向左完全推导出用户的全貌,则A成为一个可以连接目标用户现实生活与虚拟SNS生活中的一个桥梁。则可以获取用户在制定SNS上的使用痕迹。由于获取信息A的难度是无法控制的,即用户在SNS层面无法抵抗社会工程学攻击,只能限制现实生活中信息的泄露。但诸如姓名住址电话等信息难以保密,故此时用户抗社会工程学攻击程度低。

1.4 存在问题

由于社交网络的复杂性以及用户的主动泄露,这类隐私问题很难得到解决。与此同时,用户对于信息安全的态度也不容乐观。尽管用户的隐私无法得到完全的保障,但是用户并不会因此放弃SNS。一方面有人在忧心忡忡地担心个人隐私和信息安全,而另一方面,人们往往又在各种SNS中或有意或无意地主动泄露个人的隐私[5]。这体现了社交交互对隐私悖论的重要影响,而有限理性与前文所提到的隐私收益理论可以很好地解释这一现象 [6]。

2 获取泄露隐私的用户信息

2.1 理论推导

如下图1所示,单个目标用户的属性可以为SNS与现实生活两大类,若存在元素a既可以唯一标识某SNS用户,又与现实生活中test_user相关联,则a可以成为一次去匿名攻击的攻击载荷。当去匿名攻击成功后,再对目标SNS检索用户,可以得到所有发言,此时,用户的信息安全受到了严重威胁。