藏在手机里的“偷窥狂”

 
 
藏在手机里的“偷窥狂”  
 

数据来源：网秦“云安全”监测平台

 

许多手机应用安装前都会向用户索取多项权限，用户不同意就无法使用。本报记者童岱摄

 

 

智能手机中的应用软件，带给我们许多娱乐和方便。但你是否曾想过在欢愉的背后，我们的通讯录、短信、照片、地理位置等个人隐私，正在信息的洪流中供人观瞻、使用，甚至贩卖。

 

■本报记者 童岱

 

随身携带着自己的隐私跑来跑去听起来是件很酷的事，但后果很严重，只是很多人暂时不知道罢了。

 

在网站工作的林倩，可谓手机应用（APP）达人，她的手机每天得更新至少30个手机应用。当垃圾短信、垃圾电话与日俱增，以及为陌生的手机包月服务套餐缴纳费用时，林倩才意识到可能是手机应用让她中了招。她还发现，自己使用的安卓系统手机下载手机应用时，都会默认允许该程序有“读取用户所在位置”、“读取通讯录”、“修改/删除SD卡、USB储存内容”、“读取手机状态和ID”等类似权限。

 

像林倩这种后知后觉者或许不是少数，重点是，这还不是最让人担心的。

 

安卓系统是泄露隐私重灾区

 

“谷歌公司在2008年正式对外发布了安卓手机操作系统的源代码，以便开发人员为安卓手机开发应用，出发点是好的，但这也造成安卓系统现在成为个人隐私泄露的重灾区。”北京邮电大学经济管理学院教授曾剑秋在接受《中国科学报》记者采访时表示。

 

安卓的电子平台很多，比如谷歌Play、豌豆荚、91手机应用市场，甚至是手机生产商、第三方都可以作为平台向用户发布手机应用。很多不太规范的手机应用平台的审核者很难去界定海量的手机应用是否侵犯用户隐私，审核的松紧度不一，不法分子要将恶意的手机应用发到这些平台上供用户下载并非难事。

 

老怪（化名）是一家门户网站的技术总监，同时也从事手机应用的开发，他告诉《中国科学报》记者，无论什么手机操作系统，手机应用从其功能上而言，对于手机本身的授权都有一些需求。

 

比如微信（社交类应用），就需要读取用户的通讯录，会自动扫描后将其上传到服务器，然后寻找用户的好友关系，比如你和你朋友的手机都装有微信，就都会收到提醒，了解到对方也在微信里。微信还需要访问用户的相册，这样使用者就可以给自己的微信好友发图，这些是合理的使用方式。

 

还有许多手机应用都要求“修改/删除SD卡”。老怪认为，因为储存空间的限制，这也是合理的请求。要求用户批准使用定位系统的大众点评和地图类应用，也是为了方便用户更好地寻找所处地带的餐饮娱乐信息，以及满足计算行车路线所需。

 

“当然，也有手机应用会使用或读取跟自身关联度不大的手机相关权限和信息。”老怪说，如果从善意的角度去分析，这个应用可能是在为后期的扩展服务或新功能作准备，事先采集一些需要的数据和信息作为储备，不少手机应用的新版本相对于老版本会增加一些新功能。但也不排除有些恶意应用，搜集用户资料，从而造成用户的隐私泄露，对于过多要求读取隐私信息的应用，还应该慎重下载。

 

三点定位找到你

 

微信除了有即时通讯的功能，还有一项功能为“查找附近的人”。此前微博上有人发帖称微信可以通过“三点定位法”确定使用者的位置，即记住自己的位置和与某人之间的距离，变换两次位置重新记录距离，以这三个点为圆心、距离为半径画圆，交点就是要找的人的位置，圆圈越多，位置越精确。这条微博在网络上引发热议。

 

联想到前阵子女大学生用微信“摇一摇”然后引来色狼被强奸的新闻，杭州民警沈宏为此亲测了“三点定位法”。他把自己当作圆心，以第一次看到的距离为半径，画个圆，则要找的人一定在圆周上的某个点；站起来朝任意方向走一段（必须是移动100米以上），再得到一个自己和要找的人的距离数字，再画一个圆，可能有1~2个交集点，目标大大缩小。画圆的次数越多，这个交集点就越准确。一圈圈画着，从第三个圈开始，目标的坐标就暴露了。

 

当然了，这一“阴谋”能实现有个非常脆弱的前提：就是在你以1000米为最大直径努力暴走，忽远忽近测量着你和对方的距离时，对方必须保持坐标基本不动。

 

湖北省国土测绘院工程师易莺认为，这种“三点定位法”在理论上是可行的，其实就相当于中学几何中求相交点的问题。按照这种方法，理论上画两个圆就可以找出被找寻者的大致位置，画第三个主要是将两个相交点缩小为其中一个。这种方法的准确性要以微信测算显示的距离为基础，由于距离可能出现偏差，所以画圆越多，最终重叠区域准确性也可能越高。

 

此外，微信显示双方距离是以百米作为计量单位，所以定位方法不能很精准地锁定被找寻目标的地址，但的确可以将被找寻者所在位置缩小到一定范围内，但它有一定的局限性，前提是被找寻者不移动，否则准确性就大打折扣了。特别值得注意的一点是，用来测算的三个点的选择也有讲究，三点的选择如果就像三角形一样能把目标人给包围住，那么准确率会更高，范围更小。

 

沈宏为此也提醒微信使用者，不要在固定地点反复查找“附近的人”；要及时“清除位置信息并退出”；不要以为距离百米递增，且有时效性就安全，多定几点照样能被抓住。

 

安全意识薄弱是普遍现象

 

如果你认为只是用智能手机刷微博、上网、玩游戏，也不使用手机网银就不会有什么问题，那可就太疏忽了。

 

中国网络法律网首席法律顾问、中国政法大学知识产权中心特约研究员赵占领在接受《中国科学报》记者采访时谈到，手机应用个人信息有三种做法，一是安装时有授权确认，使用中涉及用户个人信息时，会再次出现授权确认让用户选择；二是用户安装手机应用时，只是给出相关授权提示，使用时不会再提示；最后一种是不会经过用户的任何确认，直接收集信息。

 

曾剑秋指出，面对五花八门的手机应用，用户更看重的是功能性和趣味性，从而忽略了信息保护的重要性。手机应用开发商当然也明白用户的需求，他们会将重点放在用户体验上，致力于开发迎合用户喜好的功能，而安全性则退到其次。

 

此外，手机操作系统相对电脑更为简单一些，安全性差的手机应用被下载后，很容易产生漏洞被攻击利用。

 

复旦大学计算机科学技术学院研究团队曾抽查安卓系统7个应用商城的300余款应用，发现其中58%存在泄露用户隐私的行为，其中25%的程序还将泄露信息进行了加密发送，使得在进行安全性审查时，确认其内容和传送目的地变得非常困难。

 

中国通信业知名观察家项立刚在接受《中国科学报》记者采访时谈到，现在的智能手机用户，工作需要和娱乐需求很多都是通过手机应用实现，通讯录、短信、照片、所处位置都可以随时同步到手机应用的服务器，这无疑加大了安全风险。

 

对此，老怪建议，如果是备份通讯录和短信这种私密信息，还是要注重手机应用提供商的背景，尽量选择大公司，因为大公司做得更加规范，技术人员会对这些备份的信息进行加密处理，一般员工的权限是不可能看到的，这也减小了隐私泄露的可能性。

 

免费应用藏“杀机”

 

由于国内盗版猖獗，移动设备不越狱、不刷机、不装一堆的破解软件，似乎都是很逊的事情，这种风气却让不法分子有机可乘。

 

曾剑秋认为，收费软件相对安全，因为用户付费后，应用提供商有义务为其隐私安全负责，一旦泄露或用于其他有损用户的用途，就等于侵犯了消费者权益。“但我们国家的移动互联网用户，大多热爱免费应用。对于不少国外优秀的应用软件，有专门的人士对其破解，这就要求手机越狱。虽然应用是免费了，但‘免费的午餐’往往隐藏着危机，这样的手机会变得极其不安全。”

 

资深安全顾问、首席信息安全官网创始人张百川曾因其作为网络安全人员，先行过一步，预知可能会出现的攻击。他告诉《中国科学报》记者，他曾尝试通过改掉用户通讯录达到“欺骗”目的；短信在发送接收时是否可以先进行替换、截取和阻断等操作，威胁目前的手机验证机制；甚至电话打进来时可以获取触发信号，启动录音程序……

 

他还谈到，手机用户下载应用时很难分辨其是否安全、是否携带病毒或木马程序，要实现这些，张百川认为技术上已经没有难度。尤其是越狱、刷机后，手机隐私更容易被泄露。因为恶意代码可能被预先植入刷机或越狱的程序中，在用户无法察觉的状况下安装到手机里，激活后便偷偷联网窃取用户隐私，并偷偷上传至指定服务器。

 

有报告显示，如今在智能手机特别是安卓手机平台下出现了一系列新型手机木马病毒，可在感染手机后在其通过USB线与电脑连接时同时感染个人电脑，控制麦克风录音窃取用户隐私。此类木马病毒的出现表明，在终端整合的趋势下，木马病毒将在未来同时对用户不同的终端设备发起立体进攻。

 

另外，从非正式的渠道下载来路不明的应用或者随处乱拍二维码，这些应用或二维码中被提前内置了恶意代码，一旦安装便偷偷在后台上传用户数据，目前安卓平台上已经截获了大量窃取隐私的恶意应用和手机病毒。

 

一款名为“便携设置”的应用软件，一旦你下载安装后，它就会伪装成系统组件于后台运行，将用户的短信内容和通讯记录上传病毒服务器，窃取用户隐私。

 

此外，手机应用开发商还可以通过手机用户的上网记录，分析其上网习惯和偏好，从而判断其年龄和消费水平，这样就可以进行精准营销。甚至有不少商家会把这些信息共享给合作公司，还有一些商家会倒卖给中介公司。

 

《中国科学报》 (2013-03-22 第10版 调查)