新聞源 財富源

2024年12月19日 星期四

財經 > 滾動新聞 > 正文

字號:  

光滑的觸摸屏背後,究竟藏著些什麼

  • 發佈時間:2014-10-18 05:29:27  來源:文匯報  作者:佚名  責任編輯:羅伯特

  ■阿靜

  十年前,馮小剛和葛優合作了一部賀歲檔電影《手機》。葛優飾演的嚴守一因為一次疏忽,深藏手機裏的秘密被妻子意外發現,生活由此脫離軌道……

  嚴守一感嘆手機成“手雷”不免矯情,比起真實世界裏的詹妮弗·勞倫斯,他真應該慶倖自己“早生十年”。在最新一輪“好萊塢艷照門”中,包括詹妮弗·勞倫斯在內的十多位女明星的裸照和私密自拍在網際網路上瘋狂傳播。而在此前,好萊塢數位女星的私密照片,包括詹尼佛·洛佩茲、克裏斯汀·鄧斯特、超模凱特·阿普頓、歌手蕾哈娜等也不幸中招。海外媒體報道稱,“好萊塢艷照門”的罪魁禍首,很有可能是當事人蘋果手機的iCloud應用中一項功能存在漏洞,一眾明星上傳至iCloud伺服器上的私密照片,被駭客乘虛而入席捲一空。在嚴守一生活的“諾基亞時代”,手機泄密,主要是因為用戶自己不慎,手機落在別人手上。給他們帶來麻煩的,無非是那些短信、通話記錄而已。十年過去,“蘋果三星時代”的智慧手機一旦被攻破“防線”,被泄漏的就不是幾個敏感通話記錄,而是手機中的短信、微信、網頁瀏覽歷史、網購交易記錄、私密照片視頻、銀行賬號、股票賬戶……而把你的這些私人秘密竊為己有甚至公之於眾的,是那些時刻在窺視著你一舉一動的手機病毒、惡意App、系統後門、駭客……面對它們,普通用戶根本沒有招架之力。

  手機安全形同虛設,已給人們的正常工作生活帶來極大騷擾。正如一位安全專家所説的那樣:“你的智慧手機可能裝在你的口袋裏,但是你做不了它的主”——光滑的觸摸屏背後究竟藏著些什麼,可以隨時掌握你我的一舉一動?它們是如何做到的?且聽專家的分析——

  系統廠商留後門

  9月中旬,蘋果發佈了iPhone 6和iPhone 6plus兩款手機新品,但連續兩輪,國內市場都未進入iPhone首發地區範圍,這讓眾多果粉等得心焦,對一再延遲的原因也産生了諸多猜測。

  終於在9月30日,工信部為iPhone 6和iPhone 6plus兩款蘋果手機新品發放了入網許可,它們終於被允許在國內市場開售。同時,蘋果手機新品延遲進入國內市場的原因也被揭開,那就是“手機後門”。

  在工信部發佈的一份700余字的公告中,有600多字都是關於資訊安全方面的內容。工信部方面稱,經過檢測,蘋果iOS系統的三個後臺服務程式存在被利用的可能性,iPhone6確實存在個人資訊洩露的可能性,提醒用戶使用各類智慧手機時提高防範意識,保護好個人隱私。而在數月之前,蘋果後門事件已經鬧得沸沸颺颺。

  其實,不僅是蘋果的iOS系統留有後門,安卓系統也不例外。曾經在駭客大賽上攻破過iOS最新系統的安全專家陳良稱,國外最新的一項研究表明,安卓系統中存在一個嚴重的安全漏洞,攻擊者可以偽造ID,冒充可信任的App竊取用戶資訊,這意味著攻擊者能夠利用虛假App冒充谷歌錢包這類支付軟體,竊取用戶賬號等財務數據,危險程度相當高。

  駭客植入木馬病毒

  很多人看過港産大片《竊聽風雲》,“每個人的手機都是一部竊聽器”的臺詞,手機輕而易舉遭到監聽的場景讓很多人心驚肉跳。但大家要明白的是,這並不是虛幻,而是會切切實實發生在人們生活當中。有媒體日前報道稱,北京的淩女士最近發現,系統提示自己的手機記憶體快滿了,這讓她有些奇怪,自己手機沒有下載太多App,怎麼記憶體就不夠用呢?於是她仔細檢查了手機中存儲的內容,發現多了很多音頻軟體,刪也刪不掉。淩女士很奇怪,自己從來不用手機錄音的,這些文件從何而來呢?

  一位朋友正好是手機安全工程師,他幫淩女士檢測了這些音頻軟體,發現竟然都是她平時和別人打電話的內容。而且,即使手機不在通話過程中,周圍環境的聲音也被錄了下來。這讓淩女士感到異常心驚。

  淩女士發現自己手機被竊聽,原因就是因為她的手機中了木馬病毒。

  木馬偽裝成“手機管家”後潛伏在手機中,會通過發送短信指令,竊取手機用戶的地理位置資訊、微信語音資訊、短信,甚至還會偷錄手機用戶的通話,這些隱私資訊,都會通過郵件發送給木馬作者。

  更為嚴重的是,監聽行為非常隱蔽,其偷錄的通話錄音文件通過郵件發送給木馬作者後,還會將錄音文件從手機中刪除,不經常查看SD卡存儲內容的手機用戶,極有可能被矇騙,難以察覺手機異常。此外,木馬還會判斷手機的電量資訊以及是否root,郵件通知木馬作者,完全掌握“中招”手機運作狀態。

  二維碼中藏陷阱

  現在流行掃二維碼,使用的確很方便,但是暗藏的風險也不小。

  如果市民參加過去年11月舉行的上海資訊安全周活動,會對此有非常直觀的了解。在當時的活動現場,上海碁震Keen安全研究團隊負責人拿出一部全新的手機交給一位用戶,這位用戶先對著自己的名片拍了一張照片,然後又對著演示屏上的二維碼掃了一下。就是這看似隨意的一掃,馬上有了出人意料的結果,剛剛拍攝的照片,已經被這位安全研究團隊的負責人獲取,並展現在了現場大螢幕上。不僅是拍攝的照片,用戶輸入的QQ賬號和密碼、支付賬號和密碼等等,也能被獲取。

  “手機存在漏洞,所以才會被侵入。”這位負責人表示,任何手機都不可能完全避免漏洞,使用時也不能掉以輕心。

  正規App手伸過界

  相比前文中提到的幾種手機泄密方式,還有一種更加值得關注,那就是正規App也在過度收集機主的資訊。之前央視對此有過集中報道,被曝光以及點名涉嫌“竊取用戶隱私”的App中,不乏高德地圖等擁有千萬級用戶的公司。

  被曝光的App中,被質疑的竊取隱私行為包括讀取用戶手機號、位置資訊、讀取以及上傳通訊錄、讀取及修改甚至發送短信等許可權……其實,除了被曝光的應用,用戶最常使用的很多App也會涉及到這些資訊,比如微信就包含讀取、修改通訊錄、獲取位置資訊、讀取短信等功能。

  在這些App安裝之前,軟體開發商一定會告訴用戶需要獲取讀取通訊錄等許可權。用戶可以選擇不同意,但是這些App也就安裝不了。所以很多用戶最終都“屈服”了,同意了這些條款。

  智慧手機竊取私人資訊,只是近年來個人資訊保護違法侵權現狀的冰山一角。中國社科院曾經在北京、成都、青島、西安四城市調研發現,我國個人資訊洩露、濫用的情況可謂觸目驚心。具體形式大致可以分為四種——

  過度收集個人資訊擅自披露個人資訊擅自提供個人資訊非法買賣個人資訊

  手機泄密的現象越來越氾濫,寄託于廠商自律、用戶謹慎去防範風險並不現實,解決之道是建立完善的法律和監管體系。在這其中,有幾個問題需要明晰,何為“個人隱私”?App使用哪些用戶個人資訊是合規的、哪些是不合規的?違規違法者該承擔何種法律責任?

  明確App分級標準

  央視曝光部分網際網路企業涉嫌侵犯用戶個人隱私後,涉事企業大喊“冤枉”。例如有訂餐服務企業認為,只有使用GPS定位才能使用搜尋附近美食功能;社交App則表示,如果沒有開啟通訊錄訪問許可權,無法使用文字、語音聊天功能。

  企業鳴冤叫屈並非全無道理。這些App依據地理位置資訊,給人們的生活提供了極大方便,比如就近搜尋美食、預約打車、搜尋公交線路等等。所以,如果禁止App使用這些用戶個人資訊,不僅廠商不同意,也得不到用戶的支援。

  但是,並非所有的App需要的用戶資訊都是一樣的。以位置交友為主要目的的App應用,需要獲得用戶的GPS許可權,這是合情合理的。但如果是一款手電筒之類的簡單應用,就沒有必要去取得用戶的GPS位置許可權。很多App在軟體本身被開發設計的時候,已經考慮到App自身更新的需求,這樣開發者會將軟體自動提示升級的功能加入到軟體內,因此需要獲得用戶手機的網際網路訪問許可權。但是,像是一些電子書App也要獲取用戶的網際網路訪問許可權,那就毫無必要,其真實意圖令人懷疑。

  有專家因此建議,現在有必要建立手機端隱私數據分級、應用程式收集和使用隱私數據應有標準。哪些用戶資訊是屬於等級較高的,哪些是等級較低的?App也應分等級,要使用用戶通訊錄、通話記錄、短信內容的App,應該被歸入風險等級較高的App,在審核和監管上“重點關照”。

  完善法規建立追懲機制

  事實上,比起網際網路和移動網際網路的發展速度,司法的更新節奏並不盡如人意。

  工信部2002年曾出臺《網際網路資訊服務管理辦法》,對網際網路資訊服務活動進行規範,但其中未包括個人資訊保護。直到2011年,工信部發佈《網際網路資訊服務管理規定(徵求意見稿)》,才對網際網路個人資訊有了明確限定。管理規定除法律、法規規定外,未經用戶同意,網際網路資訊服務提供者不得收集與用戶相關、能夠單獨或者與其他資訊結合識別用戶身份的資訊。網際網路資訊服務提供者只能收集其提供服務所必需的用戶個人資訊。

  規定還要求,應該明確告知用戶收集個人資訊的方式、內容和用途,並且不能超出上述用途。網際網路服務提供商也不能將資訊提供給第三方。對於違反規定的,管理部門可處以一萬元以上、三萬元以下的罰款。

  但這只是部門規定,在法律層面上,我國目前並沒有專門針對個人隱私保護的法律。我國《刑法》強調“非法”使用“竊聽、竊照專用器材”採集個人資訊才是違法,那麼,利用App竊取用戶的隱私的行為是否是違法呢?

  而且,從目前情況來看,管理部門對違規者處以一萬元以上、三萬元以下的罰款的懲罰力度有些弱,對很多網際網路企業來説幾乎無關痛癢,所以必須要加大懲罰力度,這樣才能遏制手機上個人隱私洩露的現象。

  相關連結在眼皮底下偷走你的資訊

  ■張斌

  知名技術網站Business I nsi der(BI )不久前刊登文章,對近期熱炒的“小米手機將用戶個人資訊發送回公司伺服器”一事進行評論時指出:這一事件讓人們開始關注我們的智慧手機和外部世界之間的聯繫。只要你的智慧手機處於開機狀態,它就會與至少三個不同的主人進行通訊——手機生産公司、無線運營商和你手機中安裝或預裝的第三方應用程式開發者。

  文章稱,從你手機中抓取數據的公司絕非小米一家。網際網路安全專家表示,無線運營商可能會從你的手機中收集收據,手機製造商也可能會收集各種資訊,包括你的地理位置資訊。他們這樣做可能沒有徵得用戶的同意,或者根本就沒有讓用戶知道。

  “這不是哪個手機製造商或電信公司的問題,而是整個行業的問題。”這位專家指出:“各家公司都會以各種理由來收集數據,這樣做可能合法,但卻會帶來隱私方面的問題。”例如,很多無線運營商在其服務條款中就包含了收集有關手機、電腦和網路活動(包括用戶訪問的網站)等個人數據的權力。惠普和法國網際網路安全公司Qosmos所做的一項案例研究發現,無線運營商能夠跟蹤個人設備,查看用戶發送了多少條臉書資訊。他們這樣做的目的是,利用這些數據來向用戶投放更有針對性的廣告。有調查顯示,三分之一的安卓手機應用程式會在“用戶不知情的情況下”上傳個人資訊給“第三方公司”,但“用戶並不能夠輕易地知道哪些資訊或功能被訪問,哪些數據被傳回到開發者的伺服器上、以及這些被傳到伺服器上的數據是怎麼被處理的。”

  BI在這篇報道中指出,問題不在於手機製造商、應用程式開發者和無線運營商是否會從你的手機中收集數據,而在於它們會收集什麼樣的數據、何時收集,以及用來做什麼。“在不知道背景資訊的情況下,人們根本無從判斷發送這些數據是否合理。”

熱圖一覽

高清圖集賞析

  • 股票名稱 最新價 漲跌幅