危险的手机:手机让你变成“透明人”原标题:危险的手机 关掉手机,让别人找不到你。岂不知,即使关机,手机可能还在“工作”,你的一举一动,一言一行,已被“有心人”尽收眼底。 美国“棱镜”情报监控项目曝光者爱德华·斯诺登最近就再曝猛料,称美国国安局与英国电信部门联合开发了一种技术,可通过手机麦克风进行监听,“他们绝对可以在手机关机的情况下开展监听活动”。 而早在2013年年末,斯诺登也曾发表一份另类的圣诞贺词。他说,一个今天出生的婴儿将在一个没有隐私的世界里成长。“他们永远不知道什么是自己的私人时间,不知道什么是不被记录和分析的想法。这是一个问题,因为隐私是很重要的。隐私允许我们能够决定自己是谁,想成为谁。” 随着移动互联网的快速发展,手机越来越智能,“没有隐私”并非危言耸听。 中国互联网监测研究权威机构DCCI互联网数据中心发布的《2013移动应用隐私安全测评报告》显示,很多手机应用程序利用相关功能的调用权限,悄悄地盗走了用户的隐私信息,通话记录、短信记录、通讯录是用户隐私信息泄露的3个高危领域。 手机信息安全,关乎个人隐私,关系财产安全,甚至影响到国家安全。“棱镜门”事件的曝光,让世界明白,原来美国才是“黑客老手”,它的魔爪伸向了全球,包括联合国秘书长潘基文、德国总理默克尔、巴西总统罗塞夫等122名外国和国际组织领导人的通话都被美国人监控。 确保手机安全,我们该怎么办? 原标题:手机让你变成“透明人” “益盟操盘手”涉及用户的7项隐私权限,会读取用户的位置信息、拨打电话、获取设备信息、发送短信、访问联系人名单、读取通话记录、读取短信记录等,尤其是前3项,该客户端可以在不经用户许可授权、用户毫不知情的情况下直接进行,后4项功能启用前会询问用户是否同意。 《环球》杂志记者/龚雯 南婷 高少华 在移动互联网时代,谁最了解你? 有人说是父母,有人说是配偶,有人说是好朋友。 其实都不是,最了解你的,可能就是你随身携带的手机。 因为在移动互联时代,智能手机几乎成了一个“人体器官”,上网聊天、玩游戏、购物、出行……人越来越离不开手机。手机对你的行踪了如指掌,甚至比你更了解你。手机知道你跟谁最熟,和他们聊什么,你爱吃什么、做什么,甚至连你自己不知道自己在哪儿时,手机都可以帮你定位后告诉你。 毫无疑问,手机给人类带了前所未有的便利。然而,那些私密的信息,手机会替你“保密”吗? “不查不知道,我的手机里竟然有20多个软件可以读取我的联系人信息,有的甚至可以录音和拍照,平时安装的时候确实没怎么注意!”一位手机用户向记者感慨道,现在多数免费的手机软件只要一下载,就提示要共享联系人信息等内容,你不选择确认,就没法使用。 人们不禁要问,自己的手机真的变得如此危险? 无良企业肆意窃密 林华近期通过豌豆荚安卓应用市场下载了一个“益盟操盘手”手机应用客户端,没过几天,他就频繁接到来自上海的电话,并自称是运营“益盟操盘手”的工作人员,进而推销理财产品。又过了几天,来自武汉、广州等地推广理财产品的电话,一个接着一个。 原来正是这款“益盟操盘手”移动客户端泄露了林华的个人信息。如果仅仅是几个骚扰电话,手机泄密的风险还不至于让人望而生畏。“益盟操盘手”涉及用户的7项隐私权限,会读取用户的位置信息、拨打电话、获取设备信息、发送短信、访问联系人名单、读取通话记录、读取短信记录等,尤其是前3项,该客户端可以在不经用户许可授权、用户毫不知情的情况下直接进行。 其实,很多人都有过与林华相似的经历。因为一些不法企业在利益的驱使下,为牟利而窃取用户信息后随意倒卖。一些大企业,往往会在用户毫不知情的情况下,窃取用户的手机号码、用户行为偏好等,进行所谓的“精准营销”,全不顾及用户的隐私权。 2011年6月至2012年2月间,谷歌就绕过苹果手机Safari网页浏览器上的默认设置,在部分用户的浏览器上秘密安装了能跟踪用户搜索习惯的文件,从而达到有针对性推送广告的目的。 之后,谷歌的这一行为被发现,美国联邦贸易委员会展开调查。2012年,谷歌因侵犯消费者隐私被罚款2250万美元。2013年11月,谷歌又与美国37个州以及哥伦比亚特区达成和解,同意就其秘密跟踪用户网络浏览、侵犯消费者隐私的做法支付1700万美元补偿金。 根据中国互联网监测研究权威机构DCCI互联网数据中心发布的《2013移动应用隐私安全测评报告》,在具有读取通话记录行为的移动应用当中,高达73.1%为越界抓取。应用程序正是利用了相关功能的调用权限,悄悄地盗走用户的隐私信息。61%短信记录读取、73%通话记录读取权限为功能不必需。通话记录、短信记录、通讯录是用户隐私信息泄露的3个高危领域。 南开大学信息安全系主任贾春福对《环球》杂志记者表示,智能手机中包含着大量的个人信息,且手机天然联网的特性导致其无法通过物理隔离的方式来防止信息被窃。用户手机中的个人信息,对于手机厂商、应用商店和应用开发者都有巨大的商业价值,而目前对信息安全的把控,完全靠各个环节的自律。 手机病毒如同强盗 如果说企业窃取隐私的行为像小偷的话,那么手机病毒木马则更像强盗。因为企业窃取隐私是在用户不知情时悄悄发生的,造成财产损失的可能性相对较小,而大量的手机病毒木马可能会给手机用户直接带来财产损失。 2013年以来,涉及到“钱”的手机木马大量出现,这些木马基本上是通过窃取短信验证码、银行账号等重要隐私信息,达到偷钱的目的。大名鼎鼎的“隐身大盗”手机木马不断升级变种,最新变种不但可以窃取短信验证码,还会窃取身份证号、支付密码等信息,从而完全控制受害者的支付账户。 今年2月,浙江嘉兴一位女士在淘宝交易过程中,扫描了对方发来的二维码,不想这一扫酿成了祸端,她的手机中了木马病毒,支付宝、余额宝中的18万元随即被对方转走。 国家互联网应急中心此前接到网民投诉,称他在一电商网站上购买的联想A820T手机中存在预装的手机病毒。通过取证分析发现,该手机中存在一例伪装成安卓系统服务“SystemScan”的应用程序,该应用程序可在用户不知情的情况下,通过后台窃取用户手机号码、联网IP地址、手机当前位置信息、手机上所有已安装的应用程序信息等隐私,并将窃取到的用户信息压缩后上传到远端服务器。 通过持续监测,国家互联网应急中心发现,截至2014年1月全国范围内感染该手机预装木马的用户数达216万个。本次“手机预装木马”的广泛传播表明,以刷机、手机ROM(手机系统固件)制作等为代表的移动互联网源头环节已被严重“污染”,这直接破坏了移动互联网的生态健康,严重危及了移动互联网生态下游用户的切身利益。 在海外,手机木马也很常见。业内人士向记者介绍,一款名为Dendroid的超强手机木马已在国外黑市流转,可轻松实现多种恶意行为。一旦下载,用户手机就会中招,可被黑客完全控制。Dendroid木马支持的远程控制指令多达数十条,其中包括远程控制手机拍照、通话窃听、短信窃取、浏览器历史记录窃取,以及通信录、照片、视频等手机文件窃取。而据业内知情人士透露,该木马一度上架国外某知名应用市场。 手机安全专家称,恶意软件成为手机隐私泄露的主要渠道。360互联网安全中心发布的《2013年中国手机安全状况报告》显示,2013年新增恶意软件样本67.1万个,其中以隐私窃取为主要目的的手机恶意软件占比达21%。 危险的“钓鱼WiFi” 如今免费的WiFi热点越来越多,方便快捷自不用说,但手机里的私密信息也面临更大的安全风险。 国家计算机病毒应急处理中心的专家说,如今有许多恶意的免费WiFi,诱使电脑或手机用户免费登录,一旦输入账号、密码及其他个人信息,这些隐私就会被窃取。 石家庄的刘女士不久前就遇到一件怪事。一天,她去咖啡馆,在那搜索到一个不需密码的WiFi信号,没有多想,就用手机加入了该网络,并在网上花了100多元进行购物。然而,离开咖啡馆时,刘女士收到一条银行的短信提醒,她被扣掉500元钱。刘女士百思不得其解,后经警方查证,原来刘女士碰到了“钓鱼WiFi”,被黑客盗取了银行账号密码信息,银行卡被盗刷。 另外,虽然一些免费WiFi并非恶意,但是安全措施不到位,如果采用明文传输,用户的诸多信息数据在传输过程中会被轻易截获。 有黑客发帖自爆:“在星巴克、麦当劳这些提供免费WiFi的公共场合,只要用一台Win7系统电脑、一套无线网络及一个网络包分析软件,15分钟就可以窃取手机上网用户的个人信息和密码,比如信用卡、银行卡的网银密码、账号。” 全球第二大无线局域网设备供应商Aruba公司中国区技术总监梁益民表示,“钓鱼WiFi”就好比黑客在半路进行“伪装”,提前从“邮递员”手中“拿”走了原本要送至居民家中的信件。尽管最后在居民眼中该“信封”是完好无损的,殊不知其内容早已被黑客“看”过,甚至盗取了一部分。 甚至,家用无线路由器也存在安全风险。 最近一段时间,北京青年小刘的手机和电脑上频繁弹出一些裸聊类的色情窗口。小刘用安全软件清理电脑和手机,甚至重装了电脑的操作系统,仍然没有彻底解决问题。后来小刘通过懂技术的朋友得知,自己的路由器可能被劫持了。 今年4月,国家互联网应急中心发布报告指出,思科、D-Link等多家路由器厂商的产品存在后门漏洞。安全专家表示,路由器后门漏洞会威胁整个家庭中的所有上网设备。当黑客入侵控制受害者路由器后,可以监控连接这个路由器的所有设备的上网数据,例如电脑、手机、智能电视盒子等,窃取受害者浏览记录、账号密码等隐私信息。 更严重的风险是,如果路由器DNS被黑客篡改,这时输入网银官方网址访问,实际打开的却可能是一个虚假的钓鱼网站,网银账户密码会被黑客盗取,直接造成财产损失。 容易忽略的窃取 在手机终端,盗号等行为同样会造成隐私泄露。 韩女士近日就收到她的好朋友一连发送的8条莫名QQ留言:“招工、小工、240元一天……”当她打电话询问时,她的好朋友还一头雾水,表示最近没有登录过手机QQ,更别提发这些不靠谱的信息了,后来才意识到手机已经“中毒”了。 如今,黑客盗取QQ账号之后,向被盗账号的好友发送诈骗信息和钓鱼网站,进一步骗取账号密码的案例比比皆是。 值得一提的是,还有一个难以忽略的隐私泄露渠道是手机换机或出售。最近,网上流传一条信息称“手动删除手机里的信息,只要下载数据恢复软件,就能轻易恢复,即便恢复出厂设置,也能被恢复”。 对此,360手机安全专家表示:“手机里有一个存储器,可以保留很长时间的数据,'删除’并不是把数据物理上删掉了,只是把目录删掉了,这和电脑里把文件删除道理是一样的。” 另外,曾有调查显示,拾到手机的人89%会访问其中的个人数据;超过60%会查看手机失主的社交媒体信息、电子邮件内容;80%试图假冒个人认证信息;而超过半数的人会通过手机访问银行账户。可惜的是,很多失主都怀着侥幸的心理,认为手机遗失可能只是物质上的损失,并不会面临因手机信息被恶意使用带来的各种风险,以及之后可能带来无尽的麻烦。
原标题:中国智能手机深陷“安卓依赖” 安卓系统最被诟病的是泄密隐患。由于系统的开放性,很多软件都可以直接读取用户的通讯录、位置、短信等私密信息,甚至可以不经过用户的授权,给用户的信息安全带来极大的隐患。 《环球》杂志记者/邓中豪 郭朝飞 徐蕊 在中移动的信息安全与运行中心,中移动技术部门负责人拿出一个手机,拨通了《环球》杂志记者的手机,奇怪的是,记者的手机没有来电提示,更奇怪的是,记者与该负责人的谈话内容,隔壁房间的人全都知道。 记者连忙看了该负责人的手机,那是一款三星手机,看上去与普通手机并没有什么区别。该负责人向记者道出了事情的原委。原来,这款三星手机已装载了窃听软件,用这款手机可以让人在完全不知情的情况下,对他人的谈话进行窃听,对他人手机的短信、通话记录等进行调取。 很明显,我们的手机面临越多越多的信息安全风险。如果说内容危险防不胜防,那么来自操作系统方面的危险几乎就是不设防。业内专家表示,网络信息安全没有自主操作系统,就没有安全可言。同洲电子有限公司董事长袁明这样比喻,互联网相当于水管,操作系统是控制水管网络的水龙头,谁掌控了水龙头,谁就掌握了互联网的控制权。 “灵魂”受制于人 今年5月,联想集团董事长兼CEO杨元庆成为亚洲首位获得“爱迪生奖”的企业家。“爱迪生奖”的分量可不轻,苹果的乔布斯、高通CEO雅各布、特斯拉CEO马斯克等公认的创新型企业家曾经都是获奖者。不过,今年获奖的杨元庆,是首位来自北美以外地区的企业家。 这其实是中国移动设备,尤其是中国手机产业快速发展的一个缩影。随着中国手机市场份额和影响力的不断扩大,全球手机市场的格局开始发生重大变化。 香港市场调查公司CTMR发布的报告显示,今年2月在全球十大畅销智能手机机型中,中国国产品牌占有两席。根据市场调研公司Gartner的统计,在2013全球智能手机出货量排行榜中,华为已进入前三,排在三星和苹果之后。杨元庆则表示,在完成对摩托罗拉的收购后,联想将成为全球智能手机市场销量的第三。 除了出货量大,中国更是手机消费大国。工业和信息化部的数据显示,截至去年10月底,中国移动电话用户总数达到12.16亿户,占电话用户总数的81.9%。其中,3G用户总数达到3.79亿户,占到了移动电话用户总数的31.2%。 然而,还很难说中国是手机强国。因为手机的操作系统是手机的“灵魂”,类似人类的大脑,控制着整个手机,但在3G时代,手机的操作系统一直被国外生产商所垄断,如今进入4G时代,这一情况仍然没有得到改观。 当前,主流的智能手机操作系统是谷歌的安卓系统和苹果的iOS系统。统计数据显示,去年售出的智能手机中有超过75%的采用了安卓系统,苹果手机全部采用自己的iOS系统。采用微软Windows系统的手机去年仅占全球智能手机市场的3%。诺基亚塞班操作系统更少,其应用开发限制多,手机应用少,用户体验差。而中国自主的手机系统几乎看不到。 由于安卓系统采取开源、免费策略,目前绝大部分中国国产的智能手机都采用了安卓系统。中国工信部电信研究院发布的《2013年移动互联网白皮书》显示,当前我国有超过300家本土企业生产安卓智能手机,高达97.7%的国产智能手机使用安卓操作系统。这使得众多国产手机在核心技术上受制于人,也造成了国产手机同质化、拼硬件的现状,中国手机深陷“安卓依赖”。 谷歌“后门”无从知晓 在南开大学信息安全系主任贾春福看来,安卓的核心技术掌握在谷歌手中,谷歌是否在安卓系统中留有“后门”无从知晓,但如果谷歌有意窃取用户信息,则完全没有技术障碍。 我国互联网新闻研究中心5月26日发布的《美国全球监听行动纪录》,则给我们敲响了警钟。该报告披露,美国国家安全局将苹果和安卓手机操作系统视为“数据资源的金矿”,早在2007年,美英情报部门就已合作监控手机应用程序。当人们使用手机游戏“愤怒的小鸟”、应用程序“谷歌地图”以及脸谱、推特和网络相册Flickr的等手机客户端时,用户的位置数据(基于GPS)、种族、年龄等个人数据以及其他个人资料都会被抓取。 不仅如此,安卓系统本身的技术特点,也导致其极易被窃取信息。当前安卓系统存在四大安全问题,即通信安全、系统安全、数据安全和设备安全,安卓系统也频繁被曝存在高危漏洞。 今年3月,360互联网安全中心发布的最新风险提示称,安卓手机系统存在一个新的高危安全漏洞——“诈尸”漏洞,利用该漏洞,黑客可通过简单的攻击代码使中招手机循环死机。利用这一漏洞,黑客可以将很简单的攻击代码植入任何热门、正规的手机应用,上传至没有检测能力的应用商店或者论坛,欺骗用户下载安装。更为可怕的是,如果第三方手机应用市场不识别利用该漏洞的恶意软件,将会导致应用市场本身的检测沙箱崩溃。 南开大学信息技术科学学院副教授史广顺告诉《环球》杂志记者,安卓系统最被诟病的是泄密隐患。由于系统开放性,很多软件都可以直接读取用户的通讯录、位置、短信等私密信息,甚至可以不经过用户的授权,给用户的信息安全带来极大的隐患。 多个产业面临安全风险 数据显示,虽然我国手机产量全球第一,但九成以上利润被国外企业拿走,国内企业在产业链最低端挣扎,赚取微薄利润,抗风险能力差,产业地位低下。袁明指出,“苹果、三星每年至少从我国市场拿走3000亿元利润,占总利润的95%。” 不过,目前国产操作系统的缺位,还不只是个简单的利润问题,而是会危及我国手机以及多个产业的安全。 中央财经大学民生经济研究中心主任李永壮认为,安卓免费是谷歌的一种市场策略,以“倾销”的方式进行市场推广,国产操作系统将被扼杀在免费的摇篮中。一旦安卓改变免费、开源策略,国产智能手机发展得再大也只能任人宰割。 安卓系统虽保持开源,但其核心技术和技术路线受到谷歌的严格控制,谷歌可借助版本更新的差异授权,对我国手机厂商施加影响。目前,我国一些企业已受到谷歌的商业歧视,如延迟代码共享时间、通过商业协议制约终端企业等。 中国需要大力研发和突破,以提高收集、储存、应用、保留、管理、分析和共享海量数据的处置等所需核心的先进技术。下一代网络规划中,应特别关注海量数据存储的并行存储体系架构、高性能对象存储技术、并行I/O访问技术、海量存储系统高可用技术、数据保护与安全体系、绿色存储等关键技术的研究。 其次,加强立法,需尽快研究制定《信息网络安全法》,确定信息网络法制的总体框架。确立信息网络法制模式和实现方式,明确政府、企业、用户及个人等各自应负的法律责任。 最后,坚持政府主导、行业自律的原则,明确运营商、服务商等企业在信息网络安全方面应负的社会和法律责任。要切实增强广大网民的法治意识,普及信息网络安全法律知识。完善信息网络公约机制,积极引导信息网络商户和网民加强网络自律,创建良好的网络社会法治环境。 |
|
|
