■阿静
十年前,冯小刚和葛优合作了一部贺岁档电影《手机》。葛优饰演的严守一因为一次疏忽,深藏手机里的秘密被妻子意外发现,生活由此脱离轨道……
严守一感叹手机成“手雷”不免矫情,比起真实世界里的詹妮弗·劳伦斯,他真应该庆幸自己“早生十年”。在最新一轮“好莱坞艳照门”中,包括詹妮弗·劳伦斯在内的十多位女明星的裸照和私密自拍在互联网上疯狂传播。而在此前,好莱坞数位女星的私密照片,包括詹尼佛·洛佩兹、克里斯汀·邓斯特、超模凯特·阿普顿、歌手蕾哈娜等也不幸中招。海外媒体报道称,“好莱坞艳照门”的罪魁祸首,很有可能是当事人苹果手机的iCloud应用中一项功能存在漏洞,一众明星上传至iCloud服务器上的私密照片,被黑客乘虚而入席卷一空。在严守一生活的“诺基亚时代”,手机泄密,主要是因为用户自己不慎,手机落在别人手上。给他们带来麻烦的,无非是那些短信、通话记录而已。十年过去,“苹果三星时代”的智能手机一旦被攻破“防线”,被泄漏的就不是几个敏感通话记录,而是手机中的短信、微信、网页浏览历史、网购交易记录、私密照片视频、银行账号、股票账户……而把你的这些私人秘密窃为己有甚至公之于众的,是那些时刻在窥视着你一举一动的手机病毒、恶意App、系统后门、黑客……面对它们,普通用户根本没有招架之力。
手机安全形同虚设,已给人们的正常工作生活带来极大骚扰。正如一位安全专家所说的那样:“你的智能手机可能装在你的口袋里,但是你做不了它的主”——光滑的触摸屏背后究竟藏着些什么,可以随时掌握你我的一举一动?它们是如何做到的?且听专家的分析——
系统厂商留后门
9月中旬,苹果发布了iPhone 6和iPhone 6plus两款手机新品,但连续两轮,国内市场都未进入iPhone首发地区范围,这让众多果粉等得心焦,对一再延迟的原因也产生了诸多猜测。
终于在9月30日,工信部为iPhone 6和iPhone 6plus两款苹果手机新品发放了入网许可,它们终于被允许在国内市场开售。同时,苹果手机新品延迟进入国内市场的原因也被揭开,那就是“手机后门”。
在工信部发布的一份700余字的公告中,有600多字都是关于信息安全方面的内容。工信部方面称,经过检测,苹果iOS系统的三个后台服务程序存在被利用的可能性,iPhone6确实存在个人信息泄露的可能性,提醒用户使用各类智能手机时提高防范意识,保护好个人隐私。而在数月之前,苹果后门事件已经闹得沸沸扬扬。
其实,不仅是苹果的iOS系统留有后门,安卓系统也不例外。曾经在黑客大赛上攻破过iOS最新系统的安全专家陈良称,国外最新的一项研究表明,安卓系统中存在一个严重的安全漏洞,攻击者可以伪造ID,冒充可信任的App窃取用户信息,这意味着攻击者能够利用虚假App冒充谷歌钱包这类支付软件,窃取用户账号等财务数据,危险程度相当高。
黑客植入木马病毒
很多人看过港产大片《窃听风云》,“每个人的手机都是一部窃听器”的台词,手机轻而易举遭到监听的场景让很多人心惊肉跳。但大家要明白的是,这并不是虚幻,而是会切切实实发生在人们生活当中。有媒体日前报道称,北京的凌女士最近发现,系统提示自己的手机内存快满了,这让她有些奇怪,自己手机没有下载太多App,怎么内存就不够用呢?于是她仔细检查了手机中存储的内容,发现多了很多音频软件,删也删不掉。凌女士很奇怪,自己从来不用手机录音的,这些文件从何而来呢?
一位朋友正好是手机安全工程师,他帮凌女士检测了这些音频软件,发现竟然都是她平时和别人打电话的内容。而且,即使手机不在通话过程中,周围环境的声音也被录了下来。这让凌女士感到异常心惊。
凌女士发现自己手机被窃听,原因就是因为她的手机中了木马病毒。
木马伪装成“手机管家”后潜伏在手机中,会通过发送短信指令,窃取手机用户的地理位置信息、微信语音信息、短信,甚至还会偷录手机用户的通话,这些隐私信息,都会通过邮件发送给木马作者。
更为严重的是,监听行为非常隐蔽,其偷录的通话录音文件通过邮件发送给木马作者后,还会将录音文件从手机中删除,不经常查看SD卡存储内容的手机用户,极有可能被蒙骗,难以察觉手机异常。此外,木马还会判断手机的电量信息以及是否root,邮件通知木马作者,完全掌握“中招”手机运行状态。
二维码中藏陷阱
现在流行扫二维码,使用的确很方便,但是暗藏的风险也不小。
如果市民参加过去年11月举行的上海信息安全周活动,会对此有非常直观的了解。在当时的活动现场,上海碁震Keen安全研究团队负责人拿出一部全新的手机交给一位用户,这位用户先对着自己的名片拍了一张照片,然后又对着演示屏上的二维码扫了一下。就是这看似随意的一扫,马上有了出人意料的结果,刚刚拍摄的照片,已经被这位安全研究团队的负责人获取,并展现在了现场大屏幕上。不仅是拍摄的照片,用户输入的QQ账号和密码、支付账号和密码等等,也能被获取。
“手机存在漏洞,所以才会被侵入。”这位负责人表示,任何手机都不可能完全避免漏洞,使用时也不能掉以轻心。
正规App手伸过界
相比前文中提到的几种手机泄密方式,还有一种更加值得关注,那就是正规App也在过度收集机主的信息。之前央视对此有过集中报道,被曝光以及点名涉嫌“窃取用户隐私”的App中,不乏高德地图等拥有千万级用户的公司。
被曝光的App中,被质疑的窃取隐私行为包括读取用户手机号、位置信息、读取以及上传通讯录、读取及修改甚至发送短信等权限……其实,除了被曝光的应用,用户最常使用的很多App也会涉及到这些信息,比如微信就包含读取、修改通讯录、获取位置信息、读取短信等功能。
在这些App安装之前,软件开发商一定会告诉用户需要获取读取通讯录等权限。用户可以选择不同意,但是这些App也就安装不了。所以很多用户最终都“屈服”了,同意了这些条款。
智能手机窃取私人信息,只是近年来个人信息保护违法侵权现状的冰山一角。中国社科院曾经在北京、成都、青岛、西安四城市调研发现,我国个人信息泄露、滥用的情况可谓触目惊心。具体形式大致可以分为四种——
过度收集个人信息 擅自披露个人信息擅自提供个人信息 非法买卖个人信息
手机泄密的现象越来越泛滥,寄托于厂商自律、用户谨慎去防范风险并不现实,解决之道是建立完善的法律和监管体系。在这其中,有几个问题需要明晰,何为“个人隐私”?App使用哪些用户个人信息是合规的、哪些是不合规的?违规违法者该承担何种法律责任?
明确App分级标准
央视曝光部分互联网企业涉嫌侵犯用户个人隐私后,涉事企业大喊“冤枉”。例如有订餐服务企业认为,只有使用GPS定位才能使用查找附近美食功能;社交App则表示,如果没有开启通讯录访问权限,无法使用文字、语音聊天功能。
企业鸣冤叫屈并非全无道理。这些App依据地理位置信息,给人们的生活提供了极大方便,比如就近查找美食、预约打车、查找公交线路等等。所以,如果禁止App使用这些用户个人信息,不仅厂商不同意,也得不到用户的支持。
但是,并非所有的App需要的用户信息都是一样的。以位置交友为主要目的的App应用,需要获得用户的GPS权限,这是合情合理的。但如果是一款手电筒之类的简单应用,就没有必要去取得用户的GPS位置权限。很多App在软件本身被开发设计的时候,已经考虑到App自身更新的需求,这样开发者会将软件自动提示升级的功能加入到软件内,因此需要获得用户手机的互联网访问权限。但是,像是一些电子书App也要获取用户的互联网访问权限,那就毫无必要,其真实意图令人怀疑。
有专家因此建议,现在有必要建立手机端隐私数据分级、应用程序收集和使用隐私数据应有标准。哪些用户信息是属于等级较高的,哪些是等级较低的?App也应分等级,要使用用户通讯录、通话记录、短信内容的App,应该被归入风险等级较高的App,在审核和监管上“重点关照”。
完善法规建立追惩机制
事实上,比起互联网和移动互联网的发展速度,司法的更新节奏并不尽如人意。
工信部2002年曾出台《互联网信息服务管理办法》,对互联网信息服务活动进行规范,但其中未包括个人信息保护。直到2011年,工信部发布《互联网信息服务管理规定(征求意见稿)》,才对互联网个人信息有了明确限定。管理规定除法律、法规规定外,未经用户同意,互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户身份的信息。互联网信息服务提供者只能收集其提供服务所必需的用户个人信息。
规定还要求,应该明确告知用户收集个人信息的方式、内容和用途,并且不能超出上述用途。互联网服务提供商也不能将信息提供给第三方。对于违反规定的,管理部门可处以一万元以上、三万元以下的罚款。
但这只是部门规定,在法律层面上,我国目前并没有专门针对个人隐私保护的法律。我国《刑法》强调“非法”使用“窃听、窃照专用器材”采集个人信息才是违法,那么,利用App窃取用户的隐私的行为是否是违法呢?
而且,从目前情况来看,管理部门对违规者处以一万元以上、三万元以下的罚款的惩罚力度有些弱,对很多互联网企业来说几乎无关痛痒,所以必须要加大惩罚力度,这样才能遏制手机上个人隐私泄露的现象。
>>相关链接
在眼皮底下偷走你的信息
■张斌
知名技术网站Business I nsi der(BI )不久前刊登文章,对近期热炒的“小米手机将用户个人信息发送回公司服务器”一事进行评论时指出:这一事件让人们开始关注我们的智能手机和外部世界之间的联系。只要你的智能手机处于开机状态,它就会与至少三个不同的主人进行通讯——手机生产公司、无线运营商和你手机中安装或预装的第三方应用程序开发者。
文章称,从你手机中抓取数据的公司绝非小米一家。互联网安全专家表示,无线运营商可能会从你的手机中收集收据,手机制造商也可能会收集各种信息,包括你的地理位置信息。他们这样做可能没有征得用户的同意,或者根本就没有让用户知道。
“这不是哪个手机制造商或电信公司的问题,而是整个行业的问题。”这位专家指出:“各家公司都会以各种理由来收集数据,这样做可能合法,但却会带来隐私方面的问题。”例如,很多无线运营商在其服务条款中就包含了收集有关手机、电脑和网络活动(包括用户访问的网站)等个人数据的权力。惠普和法国互联网安全公司Qosmos所做的一项案例研究发现,无线运营商能够跟踪个人设备,查看用户发送了多少条脸书信息。他们这样做的目的是,利用这些数据来向用户投放更有针对性的广告。有调查显示,三分之一的安卓手机应用程序会在“用户不知情的情况下”上传个人信息给“第三方公司”,但“用户并不能够轻易地知道哪些信息或功能被访问,哪些数据被传回到开发者的服务器上、以及这些被传到服务器上的数据是怎么被处理的。”
BI在这篇报道中指出,问题不在于手机制造商、应用程序开发者和无线运营商是否会从你的手机中收集数据,而在于它们会收集什么样的数据、何时收集,以及用来做什么。“在不知道背景信息的情况下,人们根本无从判断发送这些数据是否合理。”