安卓系统智能手机窃听用户隐私 - Power By team board 一款图片美化软件,居然要求获取通话记录;一个历史小说阅读软件,也要读取用户位置。名目繁多的应用软件,让我们在尽享乐趣的同时,可能不知不觉间就暴露了自己的地理位置、通讯录、短信甚至手机使用习惯。 地图、导航、团购,这些要求定位都还可以理解,可是游戏、阅读软件、拍大头贴软件、美图秀秀,你要我的位置干吗?不过,即使有授权提醒,很多用户也没当回事。在安装手机软件时经常会看到提示,软件会读取手机的通讯录、GPS等信息,如果不点确认,就无法安装软件。
智能手机与普通手机的区别在于其本地计算能力高,可方便地安装各种应用程序,拥有很多高附加值的信息和资源,包括个人的手机信息、身份信息、地理位置信息,还包含诸多账号信息以及邮件、文件等。目前,以搜集用户信息尤其是隐私信息为主要目的的手机程序不断涌现,并呈快速增长趋势。智能手机窃听软件利用了手机的三方通话功能,在诱骗用户安装后,每次启动时可在通话时插入一则波段,实际置于同一通话环境之中,从而在其中可以随意听取通话信息。X卧底成本低廉,且有多种盈利模式,利用智能手机窃密不是个别现象,目前已经形成庞大的黑色产业。“蒙知晓”是著名窃密软件“X卧底”的升级版,服务器在国外,可以在塞班、安卓、苹果等智能手机上窃取信息,不会被任何杀毒软件发现。该软件仅仅有27Kb的软件。安装到安卓手机之后,软件列表里查不到这个软件,手机上的杀毒软件也没有任何反应 ,“环境录音”就是无论被窃听者是否在通话中,只要操作者向被窃听手机发送短信指令,就可以随时窃听周围的声音,而被窃听者根本收不到这条短信,也丝毫不会察觉。这意味着即使手机处于待机状态,身边的声音也可以随时被监听。窃密程度之高,对于不同的操作系统,该软件能窃取的内容并不相同。对于安卓手机,该软件可以窃取的内容有通话录音、环境录音、短信内容、定位信息、电话簿等;对于苹果手机,该软件除无法窃听通话录音外,以上其它内容基本能够窃取。只要把软件安装到被窃密者的手机上,除了刷机,不可能把这个软件删除。这些窃取的信息会在有网络连接时自动传到指定邮箱;没有网络连接时自动存储,只要开启网络连接立即上传。因此除了流量会有所增加,不会有任何异常,而且就算发现了流量异常,也查不出原因。手机定位一般是靠GPS和基站定位结合进行,GPS定位精度高,但是室内无法接收信号,基站定位精度低,但是受环境影响小。由于每个基站都有自己的编号和独一无二的地理位置,通过分析手机信号,恶意软件很容易就能窃取手机的位置。由于安卓系统的开放性,窃取手机上的个人信息没有任何技术难度。目前没有相关的行业规范,规定什么信息可以读取,什么信息不能读取,读取什么信息一定需要通知用户,许多正常软件也由于暴露了个人信息,从而产生一定的社会危害。微信、陌陌、街旁等基于地理位置信息进行服务的软件如今非常流行。很多年轻人使用“陌陌”和周围的陌生人搭讪聊天,使用微信查找谁在附近,由此导致不少年轻女性被不法分子侵害。
尽量在正规渠道下载软件,不要因好奇等原因下载各类稀奇古怪的软件,更不要随意刷机。一旦发现某软件有后台上传信息的迹象,一定要将该软件及时删除 某手机安全公司发布的一份报告显示,移动端用户隐私泄露问题持续恶化,个人信息安全已成为当前手机用户面临的主要威胁之一。
相比于可以通过杀毒系统查杀的隐私窃取类恶意软件,越来越多要求“过度授权”的正规软件,对用户来说更是防不胜防。比如,人人网手机客户端要读取用户通话记录,飞信是可以看到往来短信内容的,微信“摇一摇”要暴露精确的位置信息。
短信、通讯录、照片都是个人极其私密的信息,如果被暴露出去不仅使得本人受到影响,同时还会影响身边的家人和朋友。不法分子可以通过用户的手机使用和上网习惯来分析出用户喜好,对用户发送相关产品的垃圾短信和骚扰推销电话,许多用户是使用一个账号密码来上网,如果泄露其中一个,可能会让不法分子借此对用户进一步进行盗取,例如登陆电子商城的账号密码,直接盗走用户账户内可用的现金。此外黑客可以用户的名义,向亲朋好友发送诈骗信息骗取钱财,例如冒充用户骗取手机充值卡或游戏点卡。安卓系统7个应用商城的300余款应用,发现其中58%存在泄露用户隐私的行为,其中25%的程序还将泄露信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难。 尽可能到软件官网下载正式版软件。一些手机安全软件可以为用户提供专业的个人隐私保护服务,防止用户在上网浏览和下载安装应用时误入陷阱,泄露个人隐私。越狱版系统,手机安全毫无保障,还是有很多人宁可花钱也要把正版系统刷成‘越狱’的,目前手机杀毒软件只能阻止其中30%的恶意行为。
“泄露最普遍的信息为国际移动设备身份码。”王晓阳解释说,这是因为通过国际移动设备身份码可以确定用户的手机型号和设备参数,为开发者和广告商提供精确的用户身份信息。其次是国际移动用户识别码和通讯录――国际移动用户识别码可被用来辅助确定用户位置,而通讯录的泄露无疑会给用户造成更大的损失。应用商城里的安卓小应用,看上去是官方正版软件,实际上有可能经过开发者二次包装,里面隐含着不少小动作。例如,在非官网上安装“愤怒小鸟”,应用程序会自行收发短消息;“水果忍者”需要调用手机里的电话号码……“如果用户不仔细分辨安装协议,手机短信、摄像头、录音器、通讯录等系统权限就会被悄悄打开,而手机用户浑然不觉。”
国内主流的手机安全软件,多是电脑杀毒软件转型而来,对手机的数据储存和各类恶意攻击的特点,尚未深入研究并量身定做杀毒软件,因此对恶意软件的拦截成功率尚不高。因此,下载安装应用程序时,尽量选择知名度高、负责任的应用商城或相应程序的官方网站等。可根据程序的功能描述严格控制系统权限的授予,尽量避免将访问个人隐私数据的权限和访问网络的权限同时授予给可疑程序。对于如账号、口令、卡号、身份信息等,尽量避免明文存储于手机,或通过短消息方式等随意发送。有条件的用户,可将工作与个人通信用途的终端和日常上网娱乐的终端分开,对数据进行物理隔绝,最大程度地保护自身的隐私数据。