盗取信息、劫持账号、泄密文件......这些功能你可能每天都在用

如今，随着智能手机的普及和无线网络的覆盖，使用手机处理公务的情形越来越普遍。以微信为代表的即时通信类社交媒体，以其功能实用、操作简单、方便快捷等优势，博得了越来越多用户的青睐，逐渐成为信息化社会处理公务的渠道和平台之一。

其中，接入微信、支付宝等大型互联网平台的各类小程序因无需下载安装、操作便捷、占用内存小等优势，迅速融入生产生活、公共服务、政府管理的各个领域，成为大家的常用工具。

各类小程序集通信工具、传播媒介、社交媒体、应用平台等多种功能于一体，具有庞大的用户基础，此类信息泄露的违法行为更具复合性特点。特别是其信息资源共享十分方便，一旦个人隐私被暴露，信息往往呈几何级扩散。

#1

小程序暴露的信息安全问题

1.沦为“隐私扒手” 盗取用户信息

2021年8月，上海市公安局网安总队在网络巡查中发现一条重要线索：一款应用程序存在表面“清粉”，实为“引流”的违法行为。接到线索后，闵行警方通过2个多月的调查，挖出一个利用“清粉”软件非法盗取用户数据的犯罪团伙。

警方分析发现，犯罪团伙在用户毫无察觉的情况下，“秒级”获取了手机里的公民信息，直至案发，无人向公安机关报案。他们根本不知道，这些公民信息数据已被传输到了犯罪团伙的服务器上。

经审讯，犯罪团伙不仅用程序非法获取公民信息，还将这些公民信息出售和非法使用，从中牟利。该团伙已非法获利800余万元。

2.利用安全漏洞劫持用户账号

另外，社交媒体小程序的安全漏洞也容易成为网络攻击的工具和渠道。据研究，黑客可利用社交媒体平台与第三方小程序授权协议漏洞劫持用户账号。第三方小程序还可通过伪造等方式诱导用户授予恶意应用高级权限，利用用户账号传播钓鱼网站，通过对小程序自动化攻击开展刷量刷单、非法引流等违法违规活动。

例如我们熟知的支付宝领红包的淘口令，在没有复制链接的情况下打开支付宝却出现出现红包弹窗，其实就是你的剪贴板被劫持了。小程序中增加劫持用户剪贴板的功能，也就是用户只要打开小程序，小程序自动复制一段吱口令，从而实现不法分子刷量刷单，非法引流的目的。

3.文字识别导致涉密信息失控

小程序频频出现的问题不仅影响了我们日常的生活，也给工作中的保密管理带来了新的难题。近年来，通过微信等即时通信类社交媒体办公而导致的失泄密案件逐年增加，已成为失泄密案件的“高发地”。

2021年2月，某市研究室工作人员张某在收到1份秘密级材料后，认为“写得很好，可以长期学习借鉴”。为方便以后学习和引用，便利用微信小程序的文字识别功能，对材料主要内容进行拍照、识别，再将文本通过手机创建的局域网导入非涉密计算机中存储、处理，造成涉密信息失控。案件发生后，张某被给予党纪政务处分。

#2

小安说保密

网信部门建议，在扫码使用小程序时应注意谨慎识别选择公共场所小程序二维码图标，不随意扫描使用来路不明、未明示运营主体单位的小程序；详细阅读小程序《隐私政策》《用户协议》，谨慎授予应用程序“发送短信”“读取短信”“查看通讯录”“读取定位信息”等权限；使用小程序期间避免使用公共场所无需密码的无线网络，及时关闭蓝牙功能。