龔雯 南婷 高少華

誰最了解你

在互聯(lián)網(wǎng)時(shí)代，誰最了解你？有人說是父母，有人說是配偶，有人說是好朋友。

其實(shí)都不是，最了解你的，可能就是你隨身攜帶的手機(jī)。

因?yàn)樵谝苿?dòng)互聯(lián)網(wǎng)時(shí)代，智能手機(jī)幾乎成了一個(gè)“人體器官”，上網(wǎng)聊天、玩游戲、購物、出行……人們越來越離不開手機(jī)。手機(jī)對你的行蹤了如指掌，甚至比你自己更了解你自己。手機(jī)知道你跟誰最熟，和他們聊什么，你愛吃什么、在做什么，甚至連你不知道自己在哪兒時(shí)，它都可以幫你定位后告訴你。

毫無疑問，手機(jī)給人類帶來了前所未有的便利。然而，那些私密的信息，手機(jī)會替你“保密”嗎？

“不查不知道，我的手機(jī)里竟然有20多個(gè)軟件可以讀取我的聯(lián)系人信息，有的甚至可以錄音和拍照，平時(shí)安裝的時(shí)候確實(shí)沒怎么注意！”一位手機(jī)用戶感慨道。現(xiàn)在多數(shù)免費(fèi)的手機(jī)軟件只要一下載，就有要共享聯(lián)系人信息等內(nèi)容的提示，如果你不選擇確認(rèn)，就沒法使用。

人們不禁要問：手機(jī)真的變得如此危險(xiǎn)？

無良企業(yè)肆意竊密

林華近期通過豌豆莢安卓應(yīng)用市場下載了一個(gè)“益盟操盤手”手機(jī)應(yīng)用客戶端。沒過幾天，他就頻繁接到來自上海的電話，對方自稱是運(yùn)營“益盟操盤手”的工作人員，進(jìn)而推銷理財(cái)產(chǎn)品。又過了幾天，來自武漢、廣州等地推廣理財(cái)產(chǎn)品的電話，一個(gè)接著一個(gè)。

原來正是這款“益盟操盤手”移動(dòng)客戶端泄露了林華的個(gè)人信息。如果僅僅是幾個(gè)騷擾電話，手機(jī)泄密的風(fēng)險(xiǎn)還不至于讓人望而生畏。“益盟操盤手”涉及用戶的7項(xiàng)隱私權(quán)限，會讀取用戶的位置信息、通話記錄，獲取設(shè)備信息、訪問聯(lián)系人名單、讀取短信記錄等，尤其是前3項(xiàng)，該客戶端可以在用戶毫不知情的情況下，不經(jīng)用戶許可授權(quán)直接進(jìn)行。

其實(shí)，很多人都有過與林華相似的經(jīng)歷。一些不法企業(yè)在利益的驅(qū)使下，為牟利而竊取用戶信息后隨意倒賣。一些大企業(yè)往往會在用戶毫不知情的情況下，竊取用戶的手機(jī)號碼、行為偏好等，進(jìn)行所謂的“精準(zhǔn)營銷”，完全不顧及用戶的隱私權(quán)。

2011年6月至2012年2月間，谷歌就繞過蘋果手機(jī)Safari網(wǎng)頁瀏覽器上的默認(rèn)設(shè)置，在部分用戶的瀏覽器上秘密安裝了能跟蹤用戶搜索習(xí)慣的文件，從而達(dá)到有針對性地推送廣告的目的。

之后，谷歌的這一行為被發(fā)現(xiàn)，美國聯(lián)邦貿(mào)易委員會展開調(diào)查。2012年，谷歌因侵犯消費(fèi)者隱私權(quán)，被罰款2250萬美元。2013年11月，谷歌又與美國37個(gè)州以及哥倫比亞特區(qū)達(dá)成和解，同意就其秘密跟蹤用戶網(wǎng)絡(luò)瀏覽、侵犯消費(fèi)者隱私權(quán)的行為支付1700萬美元補(bǔ)償金。

根據(jù)中國互聯(lián)網(wǎng)監(jiān)測研究權(quán)威機(jī)構(gòu)DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心發(fā)布的《2013移動(dòng)應(yīng)用隱私安全測評報(bào)告》，在具有讀取通話記錄行為的移動(dòng)應(yīng)用當(dāng)中，高達(dá)73.1%為越界抓取。應(yīng)用程序正是利用了相關(guān)功能的調(diào)用權(quán)限，悄悄地盜走用戶的隱私信息。61%短信記錄讀取、73%通話記錄讀取權(quán)限為功能不必需的。通話記錄、短信記錄、通訊錄是用戶隱私信息泄露的3個(gè)高危領(lǐng)域。

南開大學(xué)信息安全系主任賈春福表示，智能手機(jī)中包含著大量的個(gè)人信息，且手機(jī)自動(dòng)聯(lián)網(wǎng)的特性導(dǎo)致其無法通過物理隔離的方式來防止信息被竊。用戶手機(jī)中的個(gè)人信息，對于手機(jī)廠商、應(yīng)用商店和應(yīng)用開發(fā)者而言都有巨大的商業(yè)價(jià)值，而目前對信息安全的把控，完全靠各個(gè)環(huán)節(jié)的自律。

手機(jī)病毒如同強(qiáng)盜

如果說企業(yè)竊取隱私的行為像小偷的話，那么手機(jī)病毒則更像強(qiáng)盜。因?yàn)槠髽I(yè)竊取隱私是在用戶不知情的情況下悄悄發(fā)生的，造成財(cái)產(chǎn)損失的可能性相對較小，而大量的手機(jī)病毒可能會給用戶帶來直接的財(cái)產(chǎn)損失。

2013年以來，涉及“錢”的手機(jī)木馬病毒大量出現(xiàn)，這些木馬基本上是通過竊取短信驗(yàn)證碼、銀行賬號等重要隱私信息，達(dá)到偷錢的目的。大名鼎鼎的“隱身大盜”手機(jī)木馬不斷升級變種，最新變種不但可以竊取短信驗(yàn)證碼，還會竊取身份證號、支付密碼等信息，從而完全控制受害者的支付賬戶。

2014年2月，浙江嘉興的一位女士在淘寶交易過程中，掃描了對方發(fā)來的二維碼，不想這一掃釀成了大禍，她的手機(jī)中了木馬病毒，支付寶、余額寶中的18萬元隨即被對方轉(zhuǎn)走。

國家互聯(lián)網(wǎng)應(yīng)急中心此前接到一個(gè)網(wǎng)民投訴，稱他在一電商網(wǎng)站上購買的聯(lián)想A820T手機(jī)中存在預(yù)裝的手機(jī)病毒。通過取證分析發(fā)現(xiàn)，該手機(jī)中存在一例偽裝成安卓系統(tǒng)服務(wù)“System Scan”的應(yīng)用程序，該應(yīng)用程序可在用戶不知情的情況下，通過后臺竊取用戶手機(jī)號碼、聯(lián)網(wǎng)IP地址、手機(jī)當(dāng)前位置信息、手機(jī)上所有已安裝的應(yīng)用程序信息等隱私，并將竊取到的用戶信息壓縮后上傳到遠(yuǎn)端服務(wù)器。

通過持續(xù)監(jiān)測，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)，截至2014年1月，全國范圍內(nèi)感染該手機(jī)預(yù)裝木馬的用戶達(dá)216萬個(gè)。本次“手機(jī)預(yù)裝木馬”的廣泛傳播表明，以刷機(jī)、手機(jī)ROM（手機(jī)系統(tǒng)固件）制作等為代表的移動(dòng)互聯(lián)網(wǎng)源頭環(huán)節(jié)已被嚴(yán)重“污染”，這直接破壞了移動(dòng)互聯(lián)網(wǎng)的生態(tài)健康，嚴(yán)重危及了移動(dòng)互聯(lián)網(wǎng)生態(tài)下游用戶的切身利益。

危險(xiǎn)的“釣魚Wi-Fi”

如今免費(fèi)的Wi-Fi熱點(diǎn)越來越多，方便快捷自不用說，但手機(jī)里的私密信息也面臨更大的安全風(fēng)險(xiǎn)。

國家計(jì)算機(jī)病毒應(yīng)急處理中心的專家說，如今有許多惡意的免費(fèi)Wi-Fi，誘使電腦或手機(jī)用戶免費(fèi)登錄，一旦輸入賬號、密碼及其他個(gè)人信息，這些隱私就會被竊取。

石家莊的劉女士不久前就遇到一件怪事。一天，她去咖啡館，在那搜索到一個(gè)無需密碼的Wi-Fi信號，沒有多想，她就用手機(jī)加入了該網(wǎng)絡(luò)，并在網(wǎng)上花了100多元購物。然而，離開咖啡館時(shí)，劉女士收到一條銀行的短信提醒，說她的銀行卡被扣掉了500元錢。劉女士百思不得其解，后經(jīng)警方查證，原來劉女士碰到了“釣魚Wi-Fi”，被黑客盜取了銀行賬號、密碼信息，銀行卡被盜刷。

雖然一些免費(fèi)Wi-Fi并無惡意，但是安全措施不到位，如果采用明文傳輸，用戶的諸多信息數(shù)據(jù)在傳輸過程中會被輕易截獲。

有黑客發(fā)帖自爆：“在星巴克、麥當(dāng)勞這些提供免費(fèi)Wi-Fi的公共場合，只要用一臺Win7系統(tǒng)電腦、一套無線網(wǎng)絡(luò)及一個(gè)網(wǎng)絡(luò)包分析軟件，15分鐘就可以竊取手機(jī)上網(wǎng)用戶的個(gè)人信息和密碼，比如信用卡、銀行卡的網(wǎng)銀密碼、賬號?！?/p>

全球第二大無線局域網(wǎng)設(shè)備供應(yīng)商Aruba公司中國區(qū)技術(shù)總監(jiān)梁益民表示，“釣魚Wi-Fi”就好比黑客在半路進(jìn)行“偽裝”，提前從“郵遞員”手中“拿”走了原本要送至居民家中的信件。盡管最后在居民眼中該“信封”是完好無損的，殊不知其內(nèi)容早已被黑客“看”過，甚至被盜取了一部分。

甚至，家用無線路由器也存在安全隱患。

最近一段時(shí)間，北京青年小劉的手機(jī)和電腦上頻繁彈出一些裸聊類的色情信息窗口。小劉用安全軟件清理電腦和手機(jī)，甚至重裝了電腦的操作系統(tǒng)，仍然沒有徹底解決問題。后來小劉從懂技術(shù)的朋友那里得知，自己家的路由器可能被劫持了。

2014年4月，國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布報(bào)告指出，思科、D-Link等多家路由器廠商的產(chǎn)品存在后門漏洞。安全專家表示，路由器后門漏洞會威脅整個(gè)家庭中的所有上網(wǎng)設(shè)備。當(dāng)黑客入侵、控制受害者路由器后，可以監(jiān)控連接這個(gè)路由器的所有設(shè)備的上網(wǎng)數(shù)據(jù)，例如電腦、手機(jī)、智能電視盒子等，竊取受害者瀏覽記錄、賬號密碼等隱私信息。

更嚴(yán)重的風(fēng)險(xiǎn)是，如果路由器DNS被黑客篡改，這時(shí)輸入網(wǎng)銀官方網(wǎng)址訪問，實(shí)際打開的卻可能是一個(gè)虛假的釣魚網(wǎng)站，網(wǎng)銀的賬戶、密碼就會被黑客盜取，直接造成財(cái)產(chǎn)損失。

容易忽略的竊取

在手機(jī)終端，盜號等行為同樣會造成隱私泄露。

韓女士近日就收到她的好朋友一連發(fā)送的8條莫名的QQ留言：“招工、小工、240元一天……”當(dāng)她打電話詢問時(shí)，她的好朋友還一頭霧水，表示最近沒有登錄過手機(jī)QQ，更別提發(fā)這些不靠譜的信息了，后來她才意識到手機(jī)已經(jīng)“中毒”了。

如今，黑客盜取QQ賬號之后，向被盜賬號的好友發(fā)送詐騙信息和釣魚網(wǎng)站，進(jìn)一步騙取賬號和密碼的案例比比皆是。

值得一提的是，還有一個(gè)難以忽略的隱私泄露渠道是手機(jī)換機(jī)或出售。最近，網(wǎng)上流傳一條信息稱“手動(dòng)刪除手機(jī)里的信息，只要下載數(shù)據(jù)恢復(fù)軟件，就能輕易恢復(fù)，即便恢復(fù)出廠設(shè)置，也能被恢復(fù)”。

對此，360手機(jī)安全專家表示：“手機(jī)里有一個(gè)存儲器，可以將數(shù)據(jù)保留很長時(shí)間，‘刪除并不是把數(shù)據(jù)物理上刪掉了，只是把目錄刪掉了，這和電腦里把文件刪除的道理是一樣的?！?/p>

另外，有調(diào)查顯示，拾到手機(jī)的人89%會訪問其中的個(gè)人數(shù)據(jù)；超過60%的人會查看手機(jī)失主的社交媒體信息、電子郵件內(nèi)容；80%的人試圖假冒個(gè)人認(rèn)證信息；超過半數(shù)的人會通過手機(jī)訪問銀行賬戶。遺憾的是，很多失主都懷著僥幸的心理，認(rèn)為手機(jī)遺失可能只是物質(zhì)上的損失，并不會面臨因手機(jī)信息被惡意使用而帶來的各種風(fēng)險(xiǎn)，以及之后可能帶來的無盡的麻煩。