手機信息安全令人堪憂 是誰“出賣”了你的隱私?

最后更新:2016-08-29 00:47:04來源:民主與法制網 李蘇洋
  隨著移動互聯網搜索、游戲、閱讀、音樂、互動社區、手機支付等業務的開發應用,移動互聯網已經融入普通百姓的生活。據中國互聯網信息中心發布的第37次調查報告顯示,截至2015年12月,中國網民規模達6.88億,互聯網普及率為50.3%;手機網民規模達6.20億,占比提升至90.1%。移動互聯網的快速發展給人們帶來便利,也給個人信息安全帶來嚴峻挑戰。這種挑戰不僅來自病毒、惡意軟件對用戶手機進行的非法自啟動、私自聯網、私自發短信、惡意扣費等威脅,同時,手機用戶的通話記錄、通訊錄、賬號、個人私密文件都面臨著被窺視與竊取的風險。偽基站、專業設備監聽、手機遺失更是成為了最困擾人們的三大安全隱患。

手機可能泄露哪些信息

  日前,清華大學新聞與傳播學院沈陽教授稱,據調查顯示,每個中國人平均每天摸手機150次。除去睡著的8小時,差不多每隔6分鐘就要看一次手機。更有網友調侃道:“手機成為了我們最親密的人,這比婚外情還可怕!”看似一句玩笑卻不得不引人深思,人們的生活已經離不開手機。但是隨著國外某著名品牌手機頻頻爆出信息漏洞,加重了人們對手機信息安全問題的擔憂,上海有不少機關公務員紛紛更換國產加密手機,以規避信息泄露的風險。

  那么,手機究竟會泄露哪些個人信息呢?據了解,手機通訊錄、密碼、短信、通話以及照片都有可能被竊取。手機上的個人信息包括位置、通訊、賬號密碼以及存儲文件等四大類。其中,通訊信息包括通訊錄、通話記錄、短信等;手機內存儲文件信息包括機主的照片、錄音、視頻等文件。此外,手機的一些硬件信息,比如IMEI碼(手機串號)、無線網卡的Mac地址以及硬件配置信息,也都屬于個人信息的范疇。

  業內專家提醒,并不是只有盜取用戶通訊錄、短信、照片才是“侵犯手機個人信息安全”,目前一些應用軟件也暗中搜集用戶的位置信息(如常去的商場和日常的路線等)、手機上網記錄(瀏覽的網頁、購物偏好)等信息??此撇黄鹧郏鋵嵧ㄟ^這些信息進行的用戶習慣分析數據極具商業價值,也都可能成為被侵犯的目標,并且這種侵犯行為較隱蔽,不易被發覺。

何種渠道易導致手機泄密

  據互聯網安全公司360副總裁李濤介紹,目前侵犯手機個人信息的主要方式,除了通過線下購買手機用戶信息、通過詐騙電話套取個人信息等之外,主要是通過手機木馬與惡意軟件直接竊取,后者正在成為不法分子獲取手機個人信息的重要方式。除惡意扣費外,竊取用戶隱私已經成為手機木馬的主要危害之一。據安全工程師介紹,“DDL隱私大盜”和“X臥底”都是有代表性的隱私竊取木馬。“DDL隱私大盜”木馬專偷短信、IMEI、Google賬號等隱私信息,窺探、監控用戶的舉動,并將相關信息賣給有關商家。“X臥底”是一款竊聽軟件,被暗中安裝后不會啟動任何圖標,也不會給用戶任何提示,一切監聽行為都在后臺自動完成。當用戶通話時,木馬會自動監聽并錄音保存,同時讀取用戶的通話記錄、短信內容等;通話完畢后,木馬啟動上傳程序,將通話錄音等自動上傳至不法分子搭建的服務器上。

  據360安全中心發布的《2014年中國手機安全狀況報告》顯示,2014年360互聯網安全中心累計截獲Android平臺新增惡意程序樣本326.0萬個,較2013年增長了3.86倍。2014年Android用戶感染惡意程序達3.19億人次,下半年惡意程序感染量是上半年的3倍左右,惡意程序簡直比手機上的細菌還要多。

  在去年的“3·15”消費者權益日,中國電子信息產業發展研究院、中國軟件評測中心發布了《2014年Android手機軟件個人信息安全報告》。據負責該報告的中國軟件評測中心副主任劉法旺介紹,該中心通過抽樣的方式從中國移動、聯通、電信、安卓在線等8家手機應用軟件市場上測試了不同類型的軟件870款。調查結果顯示,所有電子市場均發現部分軟件存在個人信息泄露行為。在泄露的個人信息類型中,以IMEI碼泄露最為嚴重,其次為手機號碼、地理位置和SIM卡序列號。IMEI是每個手機在組裝完成后被賦予的全球唯一號碼,獲得IMEI碼后,可以通過手機供應商進行手機鎖定,中止手機通話功能,獲知手機方位。

  中國軟件評測中心智能移動終端測試實驗室主任王曉芹列舉了一款名為寸芒v1.0.1的電子書軟件,在閱讀“第1集雪夜”時,點擊“第一章星羅”后,會發現該軟件向某IP地址同時發送了“手機號碼”“SIM卡序列號”和“IMEI碼”三種個人信息,而在用戶的手機頁面中未出現任何與此相關的提示信息。手機移動安全顧問認為,手機軟件平臺的開放性使得軟件開發者越來越多,由于軟件上線審核不是非常嚴格,很多開發者對于權限并不重視,會無意或有意地加入一些“功能”。比如一個日歷軟件會讀取私人短信,這就是典型的濫用權限行為,對用戶來說就是安全隱患;再比如軟件長時間駐留后臺,無法關閉,也給用戶帶來了諸多不便。

  安全專家提醒手機用戶,一定要從大型可信站點、商店下載手機軟件,避免到論壇下載;安裝軟件時注意觀察軟件權限,出現敏感權限要特別警惕;安裝手機安全軟件特別是具有隱私保護功能的安全軟件,切記將個人照片、視頻等隱私數據加密保存;開啟安全軟件中的手機防盜功能,方便找回手機,或者在無法找回時發送指令遠程取回數據并銷毀數據;在使用中隨時留意手機運行狀態,并及時處理異常情況。

免費軟件或藏陷阱

  某些手機軟件在服務用戶的同時,也竊取了用戶的隱私。近日,家住北京市昌平區的肖女士因為孩子身體不適,自己就用手機在網上搜索了相關的癥狀和治療方法。第二天卻莫名地接到了北京某醫院的咨詢電話,讓肖女士不禁感到納悶:“我的手機里裝了兩張SIM卡,卡2是上網卡,我從來不用它打電話,甚至連自己都記不住卡2的號碼,但是卡2卻接到了醫院打來的電話,當時我就懷疑自己的信息被泄露了”。當肖女士再次撥通北京某醫院的電話試圖了解對方是如何獲知自己的手機號碼時,對方工作人員表示對此并不清楚,肖女士或許是在瀏覽網頁時留下了自己的號碼。“我自己都不記得卡2的號碼,怎么可能把號碼登記在網上呢?”由此,肖女士更加懷疑是自己手機上的某些軟件將自己的信息賣給了某些商業網站。

  手機軟件安裝看似免費,卻有可能悄悄地將用戶個人信息賣給第三方。據有關媒體報道稱,美國電子安全公司“偵探墻”曾發出警告提示,不少人在手機上安裝了手電筒軟件以備不時之需,但是一些手電筒軟件會把手機位置、使用者具體信息、聯系人甚至短信內容等偷偷發送給市場研究公司或廣告公司。若是下載了由犯罪集團或黑客編寫的手電筒軟件,用戶的銀行賬戶就要遭殃了。

  據調查發現,手機用戶所下載的日常生活所需的軟件中,多達60余款軟件可以獲取用戶的手機通訊錄、短信記錄、地理位置等信息。以記者自身為例,打開360安全衛士軟件隱私權限管理可以看到,有37款軟件可獲取聯系人信息和通話記錄,有31款軟件可以獲取短信記錄,5款軟件可以獲取位置信息,28款軟件可以獲得拍照信息。

公共場所免費WiFi存安全隱患

  那么,除了免費軟件之外,在公共場所使用免費WiFi安全嗎?

  據悉,曾有黑客自曝:在星巴克、麥當勞這些提供免費WiFi的地方,15分鐘就可以竊取手機上網用戶的個人信息和密碼。對此,很多手機用戶表示擔心:“在公共場所蹭網到底安不安全?”

  “個人信息在互聯網上傳輸的過程中,需要經過一些傳輸的路由,如果在路由上就被人控制了,那你的隱私就泄露了。”360總裁齊向東表示,在3G的快速發展中,很多運營商都在鋪設WiFi熱點,手機安全的威脅也由木馬病毒轉為手機系統和網絡漏洞。據安全工程師介紹,無論使用電腦、iPad還是手機,只要通過WiFi上網,數據都有可能被控制WiFi設備的黑客電腦截獲,包括未經加密處理的用戶名和密碼信息。但是黑客意圖通過截取數據包的方式,竊取經過加密處理的個人賬號、密碼和手機網銀并不容易實現。

  對于用戶而言,只要養成良好的公共場所上網習慣,是能夠保證個人信息安全的。比如,在一些公共場所,不少用戶會不假思索地選擇未加密的無線WiFi熱點連接。而黑客恰恰喜歡給自己架設的WiFi熱點取諸如CMCC1、KFC2等具有迷惑性的名字,并且不設置密碼。用戶的手機如果開啟了WiFi自動搜索功能,就很容易連到黑客的熱點上。所以,用戶在公共場所上網時,首先要看清WiFi熱點名稱。事實上,像星巴克、麥當勞等提供安全免費WiFi的地方,大多會設置自動跳轉到瀏覽器進行安全驗證的步驟,其間還會被要求通過發送手機驗證碼的方式進行安全認證。中國軟件評測中心楊玚博士建議手機用戶:只使用自己了解和信任的網絡;不輕易向外發送重要的個人信息;在必須發送時,注意采用加密方式(HTTPS、VPN等);網絡連接在不使用時應及時關閉。

目前三大運營商中僅有中國電信提供加密服務

  前不久,一則消息引起了軒然大波,不僅安全公司、手機廠商和用戶十分關注,就連三大基礎運營商也卷入其中。上海部分公務員舍棄國外某知名品牌手機反而選擇國產手機,開始陸續更換中國電信CDMA制式加密手機。一個小小的國產手機的功能宣傳,為什么會引起如此大的社會效應?加密手機真的能“加密”嗎?

  電影《007》中曾出現過這樣一幕,后臺有個特殊指令,手機一旦落入他人手中,再次開機時會與特殊指令鏈接,里面的所有信息會自動刪除,手機瞬間成為“廢品”。很多人從電影中開始熟悉加密手機,然而這并不是虛構的。隨著上海公務員陸續更換國產加密手機,不少人開始對加密手機有了新的了解。

  手機上一般都會安裝防護軟件,真的有必要更換加密手機嗎?對此,不少人開始質疑電話加密手機只是運營商推出的宣傳噱頭。據中國電信上海分公司的工作人員介紹,和常見的防護軟件相比,加密手機要更深層一步。所謂的安全防護僅僅是在軟件層面上的,并不能在真正意義上實現防追蹤、防竊聽等技術功能。由于加密手機是從手機的硬件層面上進行防護的,其性能區別于傳統的第三方安全軟件,才有可能從根本上解決信息泄露、被竊聽等問題。

  記者了解到,由于技術限制,想要從根本上解決私密信息不被竊取的問題,目前三大運營商中只有中國電信才可以提供加密通信服務,因為該業務只能基于CDMA技術。早在2010年,中國電信的加密手機系統便獲得了國家商用密碼管理局頒布的“商用密碼產品型號證書”,實現了對手機通話全程加密。據國家商用密碼管理辦公室官網介紹,目前通過密碼檢測的中國電信加密手機系統語音加密終端產品共有22款,都是國內廠商的產品。其中,包括酷派17款、華為1款、海信3款、上海優快1款。但除了酷派的11款和上海優快的1款外,其他廠商的檢測證書現在都已過期,而這些型號的手機也已經基本退市。據了解,這次上海公務員新更換的加密手機,幾乎全部是支持天翼4G網絡的酷派S6,這也是2014年7月獲得國家密碼管理局商用密碼檢測中心檢測證書的首款4G手機。目前,中國電信加密通信業務已經覆蓋政府、公安、部隊、科研、央企、金融、通信等多個行業,有超過150家的重點企業客戶正在使用。