(天津师范大学管理学院 天津 300387)

越来越多的人在社交网络上发布自己各方面的信息，热衷于在社交网站上展示和分享自己的生活，用户安全与隐私保护的问题也日渐突出。

许多社交网络用户通过发布照片或直接提供家庭住址和电话号码等信息，公开了自己和亲朋好友的个人隐私。此外，用户表明愿意接受陌生人的好友请求，通过接受这些陌生人的好友请求，用户会在不知不觉中向陌生的人透露他们的个人隐私。

本文针对目前社交网络用户隐私泄露，本研究旨在回答社交网络用户隐私泄露的带来的威胁有哪些。

一、社交网络用户泄露隐私面临的威胁

随着越加频繁的使用社交网络，许多用户无意识的暴露在隐私安全的威胁下。威胁可以划分为三大类，第一类是传统威胁，不仅危及社交网络用户，而且还威胁到不使用社交网络的互联网用户。第二个类是现代威胁，是对社交网络环境所特有的威胁，使用社交网络基础设施危及用户隐私和安全，第三类是组合威胁，将各种类型的攻击组合起来，以创建更加复杂和致命的攻击。

(一)传统威胁

恶意软件：网络用户在浏览一些恶意网站时，可能会连同恶意程序一并带入自己的电脑，而用户本人对此丝毫不知情。直到有恶意广告不断弹出或色情网站自动出现时，用户才有可能发觉电脑已“中毒”。在恶意软件未被发现的这段时间，用户网上的所有敏感资料都有可能被盗走，比如银行帐户信息，信用卡密码等。

网络钓鱼：网络钓鱼攻击者利用具有欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。

网络欺诈：利用互联网采用虚构事实或者隐瞒真相的方法，骗取网络用户的钱财。通过网上交友方式，从真人或网络结识，待被盗者信任后再获取财物资料的方式。建立假冒网上银行、网上证券网站，骗取用户账号密码实施盗窃。

跨站脚本攻击：利用网站漏洞从用户那里恶意盗取信息。为了搜集用户信息，攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash以欺骗用户。一旦得手，他们可以盗取用户帐户，修改用户设置，盗取污染cookie，做虚假广告等。

(二)现代威胁

点击劫持：通过覆盖不可见的框架误导受害者点击。虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。

僵尸粉：僵尸粉一般是指微博或百度贴吧上的虚假粉丝，花钱来买到“关注”，它们通常是由系统自动产生的恶意注册的用户。而随着微信用户基数的扩大，微信僵尸粉也大量出现。僵尸粉可以用来从社交网络获取用户的个人数据。此外，可以使用虚假的配置文件来发布垃圾消息，甚至操纵OSN统计数据。

推理攻击：攻击者可能通过对用户位置数据进行与时间或空间相关的推理攻击，这会造成用户敏感数据的泄露，甚至威胁到人生的安全。

信息泄露:互联网的安全问题日益凸显,信息被泄露。包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等，人为倒卖信息、PC电脑感染、网站漏洞、手机漏洞是目前个人信息泄露的四大途径。

位置泄露：随着越来越多的智能移动设备的使用，鼓励共享位置信息，许多人使用社交网络自愿分享他们(或他们的朋友)当前或未来的地理位置信息。这类信息可以被犯罪分子和跟踪者使用。

面部识别：许多人使用社交网络来上传自己和朋友的照片。每天都有成千上万的照片被上传到微博、微信上。此外，用户头像照片都可以公开查看和下载。这些照片可以用来创建一个生物特征数据库，然后可以用来在未经他们同意的情况下识别社交网络用户。

应用克隆：该攻击模型是基于移动应用的一些基本设计特点导致的，所以几乎所有移动应用都适用该攻击模型。在应用克隆攻击模型的视角下，很多以前认为威胁不大、厂商不重视的安全问题，都可以轻松“克隆”用户账户，窃取隐私信息，盗取账号及资金等。

(三)组合威胁

攻击者还可以将经典和现代的威胁结合起来，以制造更复杂的攻击。

二、结论与展望

本文讨论了在移动互联网背景下，社交网络用户的隐私泄露问题，传统的网络隐私保护趋向于阻止用户发布信息，而这种方式在移动社交网络中并不可取，因为用户加入社交网络的目的就在于参加社交活动。我们建议在这些平台上更好地保护自己的社交网络用户实现以下4项建议:1.删除不必要的个人信息；2.调整隐私和安全设置；3.不要接受陌生人的好友请求。4.安装网络安全软件；5.不要发布你的位置；6.不要相信你的OSN朋友。

移动互联社交应用是未来社交的发展趋势，开发用户友好型的社交网络应用并提供功能合理的隐私设置是移动社交网络用户隐私保护的关键内容，因而值得进一步深入研究。

【参考文献】

[1]Facebook,accessed Jan.14,2014.[Online].Available:http://www.facebook.com/

[2]仝磊.由 CSDN 信息泄露事件引发的思考[J].网络安全技术与应用，2012(2):7.

[3]魏来，郑跃.隐私2.0:Web2.0时代的用户隐私保护研究[J].图书与情报，2010(5):60-64.

[4]王永刚，蔡飞志，Eng K eong Lua，等.一种社交网络虚假信息传播控制方法[J].计算机研究与发展，2012，(s2)：131-137.

[5]袁茵.3Q大战未了局[J].中国企业家，2012(9):77-79.

[6]J.Baltazar,J.Costoya,and R.Flores,“The real face of koobface:The largest web 2.0 botnet explained,”Trend Micro Res.vol.5,no.9,p.10,2009.

[7]许晓东，肖银涛，朱士瑞.微博社区的谣言传播仿真研究[J].计算机工程.2011，37(10)：272—274.

[8]岳逍远.“CSDN泄密门”事件两名涉案黑客已落网[J].信息网络安全，2012(2):94