“益盟操盘手”涉及用户的7项隐私权限,会读取用户的位置信息、拨打电话、获取设备信息、发送短信、访问联系人名单、读取通话记录、读取短信记录等,尤其是前3项,该客户端可以在不经用户许可授权、用户毫不知情的情况下直接进行,后4项功能启用前会询问用户是否同意。
《环球》杂志记者/龚雯 南婷 高少华
在移动互联网时代,谁最了解你?
有人说是父母,有人说是配偶,有人说是好朋友。
其实都不是,最了解你的,可能就是你随身携带的手机。
因为在移动互联时代,智能手机几乎成了一个“人体器官”,上网聊天、玩游戏、购物、出行……人越来越离不开手机。手机对你的行踪了如指掌,甚至比你更了解你。手机知道你跟谁最熟,和他们聊什么,你爱吃什么、做什么,甚至连你自己不知道自己在哪儿时,手机都可以帮你定位后告诉你。
毫无疑问,手机给人类带了前所未有的便利。然而,那些私密的信息,手机会替你“保密”吗?
“不查不知道,我的手机里竟然有20多个软件可以读取我的联系人信息,有的甚至可以录音和拍照,平时安装的时候确实没怎么注意!”一位手机用户向记者感慨道,现在多数免费的手机软件只要一下载,就提示要共享联系人信息等内容,你不选择确认,就没法使用。
人们不禁要问,自己的手机真的变得如此危险?
无良企业肆意窃密
林华近期通过豌豆荚安卓应用市场下载了一个“益盟操盘手”手机应用客户端,没过几天,他就频繁接到来自上海的电话,并自称是运营“益盟操盘手”的工作人员,进而推销理财产品。又过了几天,来自武汉、广州等地推广理财产品的电话,一个接着一个。
原来正是这款“益盟操盘手”移动客户端泄露了林华的个人信息。如果仅仅是几个骚扰电话,手机泄密的风险还不至于让人望而生畏。“益盟操盘手”涉及用户的7项隐私权限,会读取用户的位置信息、拨打电话、获取设备信息、发送短信、访问联系人名单、读取通话记录、读取短信记录等,尤其是前3项,该客户端可以在不经用户许可授权、用户毫不知情的情况下直接进行。
其实,很多人都有过与林华相似的经历。因为一些不法企业在利益的驱使下,为牟利而窃取用户信息后随意倒卖。一些大企业,往往会在用户毫不知情的情况下,窃取用户的手机号码、用户行为偏好等,进行所谓的“精准营销”,全不顾及用户的隐私权。
2011年6月至2012年2月间,谷歌就绕过苹果手机Safari网页浏览器上的默认设置,在部分用户的浏览器上秘密安装了能跟踪用户搜索习惯的文件,从而达到有针对性推送广告的目的。
之后,谷歌的这一行为被发现,美国联邦贸易委员会展开调查。2012年,谷歌因侵犯消费者隐私被罚款2250万美元。2013年11月,谷歌又与美国37个州以及哥伦比亚特区达成和解,同意就其秘密跟踪用户网络浏览、侵犯消费者隐私的做法支付1700万美元补偿金。
根据中国互联网监测研究权威机构DCCI互联网数据中心发布的《2013移动应用隐私安全测评报告》,在具有读取通话记录行为的移动应用当中,高达73.1%为越界抓取。应用程序正是利用了相关功能的调用权限,悄悄地盗走用户的隐私信息。61%短信记录读取、73%通话记录读取权限为功能不必需。通话记录、短信记录、通讯录是用户隐私信息泄露的3个高危领域。
南开大学信息安全系主任贾春福对《环球》杂志记者表示,智能手机中包含着大量的个人信息,且手机天然联网的特性导致其无法通过物理隔离的方式来防止信息被窃。用户手机中的个人信息,对于手机厂商、应用商店和应用开发者都有巨大的商业价值,而目前对信息安全的把控,完全靠各个环节的自律。
手机病毒如同强盗
如果说企业窃取隐私的行为像小偷的话,那么手机病毒木马则更像强盗。因为企业窃取隐私是在用户不知情时悄悄发生的,造成财产损失的可能性相对较小,而大量的手机病毒木马可能会给手机用户直接带来财产损失。
2013年以来,涉及到“钱”的手机木马大量出现,这些木马基本上是通过窃取短信验证码、银行账号等重要隐私信息,达到偷钱的目的。大名鼎鼎的“隐身大盗”手机木马不断升级变种,最新变种不但可以窃取短信验证码,还会窃取身份证号、支付密码等信息,从而完全控制受害者的支付账户。
今年2月,浙江嘉兴一位女士在淘宝交易过程中,扫描了对方发来的二维码,不想这一扫酿成了祸端,她的手机中了木马病毒,支付宝、余额宝中的18万元随即被对方转走。
国家互联网应急中心此前接到网民投诉,称他在一电商网站上购买的联想A820T手机中存在预装的手机病毒。通过取证分析发现,该手机中存在一例伪装成安卓系统服务“SystemScan”的应用程序,该应用程序可在用户不知情的情况下,通过后台窃取用户手机号码、联网IP地址、手机当前位置信息、手机上所有已安装的应用程序信息等隐私,并将窃取到的用户信息压缩后上传到远端服务器。
通过持续监测,国家互联网应急中心发现,截至2014年1月全国范围内感染该手机预装木马的用户数达216万个。本次“手机预装木马”的广泛传播表明,以刷机、手机ROM(手机系统固件)制作等为代表的移动互联网源头环节已被严重“污染”,这直接破坏了移动互联网的生态健康,严重危及了移动互联网生态下游用户的切身利益。
在海外,手机木马也很常见。业内人士向记者介绍,一款名为Dendroid的超强手机木马已在国外黑市流转,可轻松实现多种恶意行为。一旦下载,用户手机就会中招,可被黑客完全控制。Dendroid木马支持的远程控制指令多达数十条,其中包括远程控制手机拍照、通话窃听、短信窃取、浏览器历史记录窃取,以及通信录、照片、视频等手机文件窃取。而据业内知情人士透露,该木马一度上架国外某知名应用市场。
手机安全专家称,恶意软件成为手机隐私泄露的主要渠道。360互联网安全中心发布的《2013年中国手机安全状况报告》显示,2013年新增恶意软件样本67.1万个,其中以隐私窃取为主要目的的手机恶意软件占比达21%。
危险的“钓鱼WiFi”
如今免费的WiFi热点越来越多,方便快捷自不用说,但手机里的私密信息也面临更大的安全风险。
国家计算机病毒应急处理中心的专家说,如今有许多恶意的免费WiFi,诱使电脑或手机用户免费登录,一旦输入账号、密码及其他个人信息,这些隐私就会被窃取。
石家庄的刘女士不久前就遇到一件怪事。一天,她去咖啡馆,在那搜索到一个不需密码的WiFi信号,没有多想,就用手机加入了该网络,并在网上花了100多元进行购物。然而,离开咖啡馆时,刘女士收到一条银行的短信提醒,她被扣掉500元钱。刘女士百思不得其解,后经警方查证,原来刘女士碰到了“钓鱼WiFi”,被黑客盗取了银行账号密码信息,银行卡被盗刷。
另外,虽然一些免费WiFi并非恶意,但是安全措施不到位,如果采用明文传输,用户的诸多信息数据在传输过程中会被轻易截获。
有黑客发帖自爆:“在星巴克、麦当劳这些提供免费WiFi的公共场合,只要用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码,比如信用卡、银行卡的网银密码、账号。”
全球第二大无线局域网设备供应商Aruba公司中国区技术总监梁益民表示,“钓鱼WiFi”就好比黑客在半路进行“伪装”,提前从“邮递员”手中“拿”走了原本要送至居民家中的信件。尽管最后在居民眼中该“信封”是完好无损的,殊不知其内容早已被黑客“看”过,甚至盗取了一部分。
甚至,家用无线路由器也存在安全风险。
最近一段时间,北京青年小刘的手机和电脑上频繁弹出一些裸聊类的色情窗口。小刘用安全软件清理电脑和手机,甚至重装了电脑的操作系统,仍然没有彻底解决问题。后来小刘通过懂技术的朋友得知,自己的路由器可能被劫持了。
今年4月,国家互联网应急中心发布报告指出,思科、D-Link等多家路由器厂商的产品存在后门漏洞。安全专家表示,路由器后门漏洞会威胁整个家庭中的所有上网设备。当黑客入侵控制受害者路由器后,可以监控连接这个路由器的所有设备的上网数据,例如电脑、手机、智能电视盒子等,窃取受害者浏览记录、账号密码等隐私信息。
更严重的风险是,如果路由器DNS被黑客篡改,这时输入网银官方网址访问,实际打开的却可能是一个虚假的钓鱼网站,网银账户密码会被黑客盗取,直接造成财产损失。
容易忽略的窃取
在手机终端,盗号等行为同样会造成隐私泄露。
韩女士近日就收到她的好朋友一连发送的8条莫名QQ留言:“招工、小工、240元一天……”当她打电话询问时,她的好朋友还一头雾水,表示最近没有登录过手机QQ,更别提发这些不靠谱的信息了,后来才意识到手机已经“中毒”了。
如今,黑客盗取QQ账号之后,向被盗账号的好友发送诈骗信息和钓鱼网站,进一步骗取账号密码的案例比比皆是。
值得一提的是,还有一个难以忽略的隐私泄露渠道是手机换机或出售。最近,网上流传一条信息称“手动删除手机里的信息,只要下载数据恢复软件,就能轻易恢复,即便恢复出厂设置,也能被恢复”。
对此,360手机安全专家表示:“手机里有一个存储器,可以保留很长时间的数据,‘删除’并不是把数据物理上删掉了,只是把目录删掉了,这和电脑里把文件删除道理是一样的。”
另外,曾有调查显示,拾到手机的人89%会访问其中的个人数据;超过60%会查看手机失主的社交媒体信息、电子邮件内容;80%试图假冒个人认证信息;而超过半数的人会通过手机访问银行账户。可惜的是,很多失主都怀着侥幸的心理,认为手机遗失可能只是物质上的损失,并不会面临因手机信息被恶意使用带来的各种风险,以及之后可能带来无尽的麻烦。
来源:2014年7月9日出版的《环球》杂志 第14期
《环球》杂志授权使用,其他媒体如需转载,请与本刊联系