作者:趨勢科技資深分析師Rik Ferguson
想像一個全世界所有人都能參加的俱樂部。您只要提供身分證明,就能申請俱樂部的會員鑰匙,只不過,就算您自己用蠟筆跟厚紙板畫一張假的身分證明,俱樂部也不會管你。
俱樂部的門口有保鏢看守,您必須使用會員鑰匙才能進入,只是,沒有人保證這個大門是通往俱樂部的入口。
俱樂部是人們聊天的地方。來這的人,三不五時就喜歡抒發幾句心中的想法,或是分享一下自己新發現的事物。俱樂部訂了一些遊戲規則來維持這樣的運作方式。當然,這就是會員喜歡來這兒的理由。
可是,在這樣的運作規則之下,若有人邀您看看新鮮的事物時,您必須去了才會知道到底是什麼,問題是,很多人都因為這樣而受騙上當,而您發現時一切都已太遲。
這樣的俱樂部,您會想要經常光顧嗎? 事實上,如果您是 Twitter 微型部落格的使用者,那您已經是這類俱樂部的會員 (根據華爾街日報的報導,此部落格的會員已達到 3 千 2 百萬人)。
Twitter 只是其中之一而已
千萬別誤會,我們並不是專挑 Twitter 的麻煩。其他的社交網路其實也存在著類似的問題。只是礙於篇幅,本文只能針對 Twitter 來討論,其他的網站我們等以後有機會再說明。在此事先聲明,我自己也是 Twitter 的愛用者,而這網站之所以廣受歡迎,也絕非偶然。
然而,高知名度的背後也隱藏著安全弱點,整個系統遭到大規模濫用的情況日益嚴重。最近在 Twitter 上出現的一些攻擊當中,網路犯罪者專門竊取使用者的登入帳號和密碼,然後進入這些帳號張貼一些訊息。 這些狡猾的 Twitter 訊息,會引誘使用者進入一些可疑的瘦身食品網站 (請看:好友Twitter 你買巴西紫莓減肥?是駭客冒充的,這個案例攻擊者透過使用者的點按次數來賺錢),然後再將使用者重導到色情網路網站,或者是暗藏病毒和木馬程式的網站,目的是希望從遠端遙控使用者的電腦,或者竊取隱私資料。 這跟前面那個俱樂部的例子有什麼關聯?
厚紙板和蠟筆
當您申請一個 Twitter 帳號時,您必須提供一個電子郵件地址 (這就是您的身分證明)。問題是,您不需證明您的確擁有或能夠存取這個電子郵件帳號,您就能開始使用 Twitter 服務。
保鏢和會員鑰匙
Twitter 提供了一個開放的平台,並且鼓勵獨立軟體開發者在這個平台上發展新的介面和服務。問題是,Twitter 並未要求這些開發者必須透過 Twitter 本身的安全系統來驗證使用者帳號和密碼 (也就是您的會員鑰匙),而是讓開發人員自行蒐集使用者的帳號和密碼之後再傳給 Twitter。
字數限制
除此之外,Twitter 還有一個眾所周知的訊息長度限制 ─ 140 個字元。這項限制是一個很棒的點子,也是 Twitter 之所以顯得活潑有趣、充滿樂趣又與眾不同的原因。
但這項限制有一項嚴重問題。很多人 (包括我在內) 都會透過 Twitter 分享一些連結。這些連結也受到 140 個字元的限制,可是網頁連結的位址有時很長,因此很多人會利用 tinyurl.com 或 bit.ly 這類專門縮短 URL 長度的服務來分享連結。 這些服務雖然方便,卻也讓使用者無法看到背後真正的連結,因而經常誤觸網路犯罪者架設的惡意網站。
Twitter 該怎麼因應?
我會建議 Twitter,在新使用者註冊時應該透過電子郵件啟用的方式,請使用者證明確實擁有該電子郵件帳號,否則 Twitter 帳號就無法啟用,此外,也應該將網址排除在 140 個字元的長度限制當中。還有,Twitter 也應該盡快完成正在開發的 OAuth 安全通訊協定,以避免使用者必須將登入帳號和密碼提供給協力廠商。
您該如何自保?
小心篩選您的追隨著,不要一心只想衝高人氣。任何時候,只要是看起來可疑、可能散播垃圾或詐騙訊息的追隨著,就應該予以封鎖,千萬不要一有追隨者出現,就去瀏覽其個人資料檔案中的訊息。 切勿相信一些宣稱保證讓您一夕成名或快速瘦身的連結。想想,如果您接到這樣的電話,或是收到這樣的電子郵件,您會相信嗎? 小心保護自己的密碼。就像《捍衛網路》一書的作者 Clifford Stoll 所說:「對待密碼,要像對待您的牙刷一樣。千萬別借給別人使用,而且定期每六個月換新一次。」
沒有留言:
張貼留言