網(wǎng)秦手機(jī)安全專(zhuān)家鄒仕洪日前告訴記者,智能手機(jī)竊聽(tīng)軟件X臥底至今已累計(jì)感染手機(jī)近100萬(wàn)部���。這類(lèi)竊聽(tīng)軟件利用了手機(jī)的三方通話(huà)功能��,在誘騙用戶(hù)安裝后,每次啟動(dòng)時(shí)可在通話(huà)時(shí)插入一則波段��,實(shí)際置于同一通話(huà)環(huán)境之中��,從而在其中可以隨意聽(tīng)取通話(huà)信息���。鄒仕洪稱(chēng)���,由于X臥底成本低廉,且有多種盈利模式���,盡管一再受到打擊��,仍然存在地下銷(xiāo)售網(wǎng)絡(luò)��。
南開(kāi)大學(xué)信息技術(shù)科學(xué)學(xué)院副教授史廣順認(rèn)為���,利用智能手機(jī)竊密不是個(gè)別現(xiàn)象,目前已經(jīng)形成龐大的黑色產(chǎn)業(yè)��。
“竊聽(tīng)風(fēng)云”真實(shí)上演
記者在“蒙知曉大中華區(qū)官方網(wǎng)站”上���,遇到了真正的竊密高手��。記者通過(guò)QQ與“蒙知曉”工作人員張先生進(jìn)行交流���。張先生告訴記者��,“蒙知曉”是著名竊密軟件“X臥底”的升級(jí)版��,服務(wù)器在國(guó)外���,可以在塞班、安卓���、蘋(píng)果等智能手機(jī)上竊取信息���,不會(huì)被任何殺毒軟件發(fā)現(xiàn)。
見(jiàn)記者有所懷疑���,張先生告訴記者該軟件可以提供試用��。記者在“官網(wǎng)”上下載了這個(gè)僅僅有27Kb的軟件���。在按照張先生發(fā)過(guò)來(lái)的教程把該軟件安裝到安卓手機(jī)之后,記者發(fā)現(xiàn)���,軟件列表里查不到這個(gè)軟件���,手機(jī)上的殺毒軟件也沒(méi)有任何反應(yīng)���。
記者隨后按要求把自己的郵箱和手機(jī)號(hào)碼發(fā)給了張先生��。在確認(rèn)軟件已經(jīng)安裝成功之后���,張先生要求記者打開(kāi)手機(jī)網(wǎng)絡(luò)連接��,打幾個(gè)電話(huà)��、發(fā)幾條短信試試���。記者按其要求進(jìn)行了相關(guān)操作,隨后張先生要求記者登陸自己的郵箱查看竊密結(jié)果��。
記者打開(kāi)郵箱發(fā)現(xiàn)��,記者手機(jī)上完整的通訊錄��、剛才收發(fā)的短信��、記者的所在地以及剛才通話(huà)的錄音都已經(jīng)被傳到了郵箱��。有一段錄音甚至是記者在打電話(huà)之前的“環(huán)境錄音”,錄音效果非常清晰���。
張先生告訴記者��,“環(huán)境錄音”就是無(wú)論被竊聽(tīng)者是否在通話(huà)中���,只要操作者向被竊聽(tīng)手機(jī)發(fā)送短信指令,就可以隨時(shí)竊聽(tīng)周?chē)穆曇���,而被竊聽(tīng)者根本收不到這條短信��,也絲毫不會(huì)察覺(jué)���。這意味著即使手機(jī)處于待機(jī)狀態(tài),記者身邊的聲音也可以隨時(shí)被監(jiān)聽(tīng)���。竊密程度之高���,令人毛骨悚然。
張先生告訴記者��,這只是軟件功能的一部分���。對(duì)于不同的操作系統(tǒng)��,該軟件能竊取的內(nèi)容并不相同���。對(duì)于安卓手機(jī)��,該軟件可以竊取的內(nèi)容有通話(huà)錄音、環(huán)境錄音���、短信內(nèi)容��、定位信息���、電話(huà)簿等;對(duì)于蘋(píng)果手機(jī)��,該軟件除無(wú)法竊聽(tīng)通話(huà)錄音外��,以上其它內(nèi)容基本能夠竊取���。張先生稱(chēng)��,目前為止��,世界上沒(méi)有軟件能竊聽(tīng)蘋(píng)果的通話(huà)���。
而對(duì)于諾基亞塞班系統(tǒng)��,張先生稱(chēng)該軟件不僅可以竊取以上全部?jī)?nèi)容��,甚至使用手機(jī)拍攝的照片也可以立刻上傳��。比如手機(jī)不開(kāi)GPS也可以定位���,你在哪里,在跟誰(shuí)說(shuō)話(huà)���,說(shuō)了什么���,拍了什么照片,馬上都能知道���,即使手機(jī)換了電話(huà)卡也都能繼續(xù)監(jiān)聽(tīng)��。
張先生告訴記者��,只要把軟件安裝到被竊密者的手機(jī)上���,除了刷機(jī)��,不可能把這個(gè)軟件刪除��。這些竊取的信息會(huì)在有網(wǎng)絡(luò)連接時(shí)自動(dòng)傳到指定郵箱���;沒(méi)有網(wǎng)絡(luò)連接時(shí)自動(dòng)存儲(chǔ),只要開(kāi)啟網(wǎng)絡(luò)連接立即上傳���。因此除了流量會(huì)有所增加,不會(huì)有任何異常��,而且就算發(fā)現(xiàn)了流量異常��,也查不出原因���。
如果不是親身經(jīng)歷��,記者根本無(wú)法相信���,自己的智能手機(jī),如今已經(jīng)變成了別人的“千里眼和順風(fēng)耳”��,而在我們的周?chē)钟卸嗌偾Ю镅酆晚橈L(fēng)耳呢���?
產(chǎn)業(yè)巨大安全隱患叢生
中央財(cái)經(jīng)大學(xué)民生經(jīng)濟(jì)研究中心主任李永壯認(rèn)為���,伴隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展,智能手機(jī)的功能越來(lái)越廣泛���,作用越來(lái)越大��,承載的信息量也越來(lái)越多��,而相關(guān)的安全防范體系卻遠(yuǎn)遠(yuǎn)沒(méi)有PC那樣成熟���,這就為惡意軟件竊取信息提供了可乘之機(jī)。
南開(kāi)大學(xué)信息技術(shù)科學(xué)學(xué)院副教授史廣順告訴記者���,利用智能手機(jī)竊密不是個(gè)別現(xiàn)象��,目前已經(jīng)形成了龐大的黑色產(chǎn)業(yè)��。
史廣順認(rèn)為��,與竊聽(tīng)軟件這種“小眾產(chǎn)品”相比��,無(wú)處不在的惡意軟件才是智能手機(jī)信息安全真正的威脅��。
北京郵電大學(xué)信息與通信工程學(xué)院副教授鄭侃告訴記者��,手機(jī)定位一般是靠GPS和基站定位結(jié)合進(jìn)行���,GPS定位精度高��,但是室內(nèi)無(wú)法接收信號(hào)��,基站定位精度低���,但是受環(huán)境影響小。由于每個(gè)基站都有自己的編號(hào)和獨(dú)一無(wú)二的地理位置��,通過(guò)分析手機(jī)信號(hào)��,惡意軟件很容易就能竊取手機(jī)的位置��。
南開(kāi)大學(xué)信息安全系主任賈春福告訴記者��,從軟件開(kāi)發(fā)角度講��,由于安卓系統(tǒng)的開(kāi)放性��,竊取手機(jī)上的個(gè)人信息沒(méi)有任何技術(shù)難度���。目前沒(méi)有相關(guān)的行業(yè)規(guī)范���,規(guī)定什么信息可以讀取,什么信息不能讀取��,讀取什么信息一定需要通知用戶(hù)��,在這方面��,完全依靠軟件開(kāi)發(fā)者自律���。
史廣順告訴記者��,智能手機(jī)用戶(hù)的個(gè)人信息具有很高的商業(yè)價(jià)值���。舉一個(gè)簡(jiǎn)單的例子,一些修圖軟件���、游戲軟件等和地理位置毫不相關(guān)的軟件��,也會(huì)收集我們的地理位置信息��。這些信息被后臺(tái)收集起來(lái)之后��,就可以用來(lái)分析智能手機(jī)用戶(hù)的分布區(qū)域和活動(dòng)范圍���,從而售賣(mài)給對(duì)這些信息有需求的商家��。
除了這些竊取信息的惡意軟件��,許多正常軟件也由于暴露了個(gè)人信息��,從而產(chǎn)生一定的社會(huì)危害���。史廣順告訴記者,微信��、陌陌��、街旁等基于地理位置信息進(jìn)行服務(wù)的軟件如今非常流行��。很多年輕人使用“陌陌”和周?chē)哪吧舜钣樍奶���,使用微信查找誰(shuí)在附近,由此導(dǎo)致不少年輕女性被不法分子侵害。
行業(yè)規(guī)范需盡快建立
天津萬(wàn)華律師事務(wù)所律師李琳告訴記者���,惡意軟件收集��、竊取用戶(hù)信息的行為已經(jīng)嚴(yán)重侵犯了公民的隱私權(quán)��,亟須相關(guān)部門(mén)依法予以嚴(yán)厲打擊���。
史廣順認(rèn)為,治理惡意軟件��,首先要治理行業(yè)不規(guī)范的現(xiàn)狀��。對(duì)于品類(lèi)繁多的應(yīng)用商城��,相關(guān)部門(mén)應(yīng)加強(qiáng)監(jiān)管���,予以規(guī)范��,應(yīng)用商城經(jīng)營(yíng)者也應(yīng)加強(qiáng)自律���,嚴(yán)格審查各類(lèi)軟件。同時(shí)���,對(duì)于軟件讀取個(gè)人信息的行為���,也應(yīng)加強(qiáng)規(guī)范���。與地理位置無(wú)關(guān)的軟件,不可以捆綁讀取位置信息的條件���;與地理位置有關(guān)的軟件���,開(kāi)啟讀取地理位置信息的服務(wù)需經(jīng)用戶(hù)授權(quán),用戶(hù)具有不開(kāi)啟該服務(wù)的選擇權(quán)��;嚴(yán)厲打擊不經(jīng)用戶(hù)授權(quán)��,讀取用戶(hù)位置的行為��。嚴(yán)格限制軟件讀取用戶(hù)通訊錄���、通話(huà)記錄���、短信記錄等私密信息;對(duì)于不經(jīng)用戶(hù)同意��,后臺(tái)竊取用戶(hù)通話(huà)錄音��、環(huán)境錄音的違法行為��,要依法嚴(yán)厲打擊���。
賈春福認(rèn)為���,除了更加嚴(yán)格的監(jiān)管,用戶(hù)加強(qiáng)防范意識(shí)也是必不可少的��。用戶(hù)應(yīng)盡量在正規(guī)渠道下載軟件��,不要因好奇等原因下載各類(lèi)稀奇古怪的軟件���,更不要隨意刷機(jī)���。一旦發(fā)現(xiàn)某軟件有后臺(tái)上傳信息的跡象,一定要將該軟件及時(shí)刪除���。