手机让你变成“透明人”
2014-05-14龚雯南婷高少华
龚雯 南婷 高少华
谁最了解你
在互联网时代,谁最了解你?有人说是父母,有人说是配偶,有人说是好朋友。
其实都不是,最了解你的,可能就是你随身携带的手机。
因为在移动互联网时代,智能手机几乎成了一个“人体器官”,上网聊天、玩游戏、购物、出行……人们越来越离不开手机。手机对你的行踪了如指掌,甚至比你自己更了解你自己。手机知道你跟谁最熟,和他们聊什么,你爱吃什么、在做什么,甚至连你不知道自己在哪儿时,它都可以帮你定位后告诉你。
毫无疑问,手机给人类带来了前所未有的便利。然而,那些私密的信息,手机会替你“保密”吗?
“不查不知道,我的手机里竟然有20多个软件可以读取我的联系人信息,有的甚至可以录音和拍照,平时安装的时候确实没怎么注意!”一位手机用户感慨道。现在多数免费的手机软件只要一下载,就有要共享联系人信息等内容的提示,如果你不选择确认,就没法使用。
人们不禁要问:手机真的变得如此危险?
无良企业肆意窃密
林华近期通过豌豆荚安卓应用市场下载了一个“益盟操盘手”手机应用客户端。没过几天,他就频繁接到来自上海的电话,对方自称是运营“益盟操盘手”的工作人员,进而推销理财产品。又过了几天,来自武汉、广州等地推广理财产品的电话,一个接着一个。
原来正是这款“益盟操盘手”移动客户端泄露了林华的个人信息。如果仅仅是几个骚扰电话,手机泄密的风险还不至于让人望而生畏。“益盟操盘手”涉及用户的7项隐私权限,会读取用户的位置信息、通话记录,获取设备信息、访问联系人名单、读取短信记录等,尤其是前3项,该客户端可以在用户毫不知情的情况下,不经用户许可授权直接进行。
其实,很多人都有过与林华相似的经历。一些不法企业在利益的驱使下,为牟利而窃取用户信息后随意倒卖。一些大企业往往会在用户毫不知情的情况下,窃取用户的手机号码、行为偏好等,进行所谓的“精准营销”,完全不顾及用户的隐私权。
2011年6月至2012年2月间,谷歌就绕过苹果手机Safari网页浏览器上的默认设置,在部分用户的浏览器上秘密安装了能跟踪用户搜索习惯的文件,从而达到有针对性地推送广告的目的。
之后,谷歌的这一行为被发现,美国联邦贸易委员会展开调查。2012年,谷歌因侵犯消费者隐私权,被罚款2250万美元。2013年11月,谷歌又与美国37个州以及哥伦比亚特区达成和解,同意就其秘密跟踪用户网络浏览、侵犯消费者隐私权的行为支付1700万美元补偿金。
根据中国互联网监测研究权威机构DCCI互联网数据中心发布的《2013移动应用隐私安全测评报告》,在具有读取通话记录行为的移动应用当中,高达73.1%为越界抓取。应用程序正是利用了相关功能的调用权限,悄悄地盗走用户的隐私信息。61%短信记录读取、73%通话记录读取权限为功能不必需的。通话记录、短信记录、通讯录是用户隐私信息泄露的3个高危领域。
南开大学信息安全系主任贾春福表示,智能手机中包含着大量的个人信息,且手机自动联网的特性导致其无法通过物理隔离的方式来防止信息被窃。用户手机中的个人信息,对于手机厂商、应用商店和应用开发者而言都有巨大的商业价值,而目前对信息安全的把控,完全靠各个环节的自律。
手机病毒如同强盗
如果说企业窃取隐私的行为像小偷的话,那么手机病毒则更像强盗。因为企业窃取隐私是在用户不知情的情况下悄悄发生的,造成财产损失的可能性相对较小,而大量的手机病毒可能会给用户带来直接的财产损失。
2013年以来,涉及“钱”的手机木马病毒大量出现,这些木马基本上是通过窃取短信验证码、银行账号等重要隐私信息,达到偷钱的目的。大名鼎鼎的“隐身大盗”手机木马不断升级变种,最新变种不但可以窃取短信验证码,还会窃取身份证号、支付密码等信息,从而完全控制受害者的支付账户。
2014年2月,浙江嘉兴的一位女士在淘宝交易过程中,扫描了对方发来的二维码,不想这一扫酿成了大祸,她的手机中了木马病毒,支付宝、余额宝中的18万元随即被对方转走。
国家互联网应急中心此前接到一个网民投诉,称他在一电商网站上购买的联想A820T手机中存在预装的手机病毒。通过取证分析发现,该手机中存在一例伪装成安卓系统服务“System Scan”的应用程序,该应用程序可在用户不知情的情况下,通过后台窃取用户手机号码、联网IP地址、手机当前位置信息、手机上所有已安装的应用程序信息等隐私,并将窃取到的用户信息压缩后上传到远端服务器。
通过持续监测,国家互联网应急中心发现,截至2014年1月,全国范围内感染该手机预装木马的用户达216万个。本次“手机预装木马”的广泛传播表明,以刷机、手机ROM(手机系统固件)制作等为代表的移动互联网源头环节已被严重“污染”,这直接破坏了移动互联网的生态健康,严重危及了移动互联网生态下游用户的切身利益。
危险的“钓鱼Wi-Fi”
如今免费的Wi-Fi热点越来越多,方便快捷自不用说,但手机里的私密信息也面临更大的安全风险。
国家计算机病毒应急处理中心的专家说,如今有许多恶意的免费Wi-Fi,诱使电脑或手机用户免费登录,一旦输入账号、密码及其他个人信息,这些隐私就会被窃取。
石家庄的刘女士不久前就遇到一件怪事。一天,她去咖啡馆,在那搜索到一个无需密码的Wi-Fi信号,没有多想,她就用手机加入了该网络,并在网上花了100多元购物。然而,离开咖啡馆时,刘女士收到一条银行的短信提醒,说她的银行卡被扣掉了500元钱。刘女士百思不得其解,后经警方查证,原来刘女士碰到了“钓鱼Wi-Fi”,被黑客盗取了银行账号、密码信息,银行卡被盗刷。
虽然一些免费Wi-Fi并无恶意,但是安全措施不到位,如果采用明文传输,用户的诸多信息数据在传输过程中会被轻易截获。
有黑客发帖自爆:“在星巴克、麦当劳这些提供免费Wi-Fi的公共场合,只要用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码,比如信用卡、银行卡的网银密码、账号。”
全球第二大无线局域网设备供应商Aruba公司中国区技术总监梁益民表示,“钓鱼Wi-Fi”就好比黑客在半路进行“伪装”,提前从“邮递员”手中“拿”走了原本要送至居民家中的信件。尽管最后在居民眼中该“信封”是完好无损的,殊不知其内容早已被黑客“看”过,甚至被盗取了一部分。
甚至,家用无线路由器也存在安全隐患。
最近一段时间,北京青年小刘的手机和电脑上频繁弹出一些裸聊类的色情信息窗口。小刘用安全软件清理电脑和手机,甚至重装了电脑的操作系统,仍然没有彻底解决问题。后来小刘从懂技术的朋友那里得知,自己家的路由器可能被劫持了。
2014年4月,国家互联网应急中心发布报告指出,思科、D-Link等多家路由器厂商的产品存在后门漏洞。安全专家表示,路由器后门漏洞会威胁整个家庭中的所有上网设备。当黑客入侵、控制受害者路由器后,可以监控连接这个路由器的所有设备的上网数据,例如电脑、手机、智能电视盒子等,窃取受害者浏览记录、账号密码等隐私信息。
更严重的风险是,如果路由器DNS被黑客篡改,这时输入网银官方网址访问,实际打开的却可能是一个虚假的钓鱼网站,网银的账户、密码就会被黑客盗取,直接造成财产损失。
容易忽略的窃取
在手机终端,盗号等行为同样会造成隐私泄露。
韩女士近日就收到她的好朋友一连发送的8条莫名的QQ留言:“招工、小工、240元一天……”当她打电话询问时,她的好朋友还一头雾水,表示最近没有登录过手机QQ,更别提发这些不靠谱的信息了,后来她才意识到手机已经“中毒”了。
如今,黑客盗取QQ账号之后,向被盗账号的好友发送诈骗信息和钓鱼网站,进一步骗取账号和密码的案例比比皆是。
值得一提的是,还有一个难以忽略的隐私泄露渠道是手机换机或出售。最近,网上流传一条信息称“手动删除手机里的信息,只要下载数据恢复软件,就能轻易恢复,即便恢复出厂设置,也能被恢复”。
对此,360手机安全专家表示:“手机里有一个存储器,可以将数据保留很长时间,‘删除并不是把数据物理上删掉了,只是把目录删掉了,这和电脑里把文件删除的道理是一样的。”
另外,有调查显示,拾到手机的人89%会访问其中的个人数据;超过60%的人会查看手机失主的社交媒体信息、电子邮件内容;80%的人试图假冒个人认证信息;超过半数的人会通过手机访问银行账户。遗憾的是,很多失主都怀着侥幸的心理,认为手机遗失可能只是物质上的损失,并不会面临因手机信息被恶意使用而带来的各种风险,以及之后可能带来的无尽的麻烦。