小心手机里的短信、通讯录、通话内容、地理位置、照片……某些安装在你手机里的APP正想方设法窃取它。
把钱和隐私放在一起让你选择,你会选择谁?
我猜陈冠希老师一定会选择后者。电影《窃听风云》中说“每个人的手机都是一部窃听器”,这绝非危言耸听,它正在上演现实版。小心了,窃听我们隐私的可能是你手机里一款不起眼的APP。
短信、通讯录、通话内容、地理位置、照片……这些都是我们的隐私,在此之前,TechWeb曾经报道过《收不到的10086短信》,介绍了扣费APP的操作模式,但事实上,窃取隐私更不容易被发现,危害程度也更高,虽然你暂时无金钱损失,却埋下了隐患,它随时可能成为一枚定时炸弹。
窃不算偷?更容易获利
“窃书不能算偷。”鲁迅笔下的孔乙己曾这样为自己偷书的行为辩解。窃取隐私的行为,该如何定义?
用户小果是Android手机爱好者,然而让他困惑的是,手机里很多APP会获取在他看来并不相关的权限。“比如,一款单机小游戏,获取我的地理位置信息干什么呢?一款壁纸软件,获取我的地理位置又是想干嘛?”他担心,自己的隐私被窃取,存在不安全感。
与扣费不同,隐私被上传,由于数据较小,不需要花很多时间或流量,很难被用户感知。
首先了解下什么叫 “窃取隐私”。根据中国互联网协会的定义,窃取隐私是指用户在不知情或未授权的情况下,获取涉及用户个人信息的,据有隐私窃取属性,可能的行为包括:获取短信、彩信、邮件、通讯录、通话记录、通话内容、地理位置、本机手机号码、本机已安全软件信息、运行进程、各类账号信息、各类密码、用户文件内容、记录分析用户行为、获取用户网络交易信息、收藏夹信息、用户联网信息、用户下载信息,利用移动终端麦克风、摄像头等设备获取音频、视频信息等。
窃取的隐私,用来做些什么呢?
TechWeb了解到,窃取隐私的目的有很多种,主要是用来“卖钱”,客户主要包括三种:一是广告商,购买通讯录信息或地理位置信息,用于推送广告;二是短信诈骗集团,购买通讯录诱导用户汇款;三是私家侦探公司或有监听需求的用户,购买短信、通话记录、地理位置、音频等信息,或直接购买间谍软件,用于监听目标用户。
此外,这些隐私信息还可能用于积累公司信息库,或暂时不会做任何事情,隐藏性强。
据行业内人士向TechWeb透露,一款Android平台上的间谍软件,一个月的使用费用上千元,继续使用则要续费。有专家称,目前每年被窃取隐私的手机用户超过千万,而该产业规模上亿。有悲观的观点认为,在智能手机时代,人们已经没有隐私可言了。
最可怕的是:毒藏在云端
你可能还不知道,在我们不知情和未授权的情况下,恶意APP是如何窃取、上传了我们的隐私?
为此,TechWeb专门咨询了金山、安全管家等多家安全厂商,从技术专家的口中,我们得知了病毒的操作步骤:
首先,恶意APP要申请相关权限,如收听电话权限、录音权限、接受短信的权限等,获取权限后才能够获取相关信息。窃取隐私的模式有两种:一是本地控制,二是云端控制,后者更不容易被发觉。
本地控制,即由本地来控制什么时候上传隐私信息,规则是固定的,主要有几种:定时或定周期执行操作、监听执行、重启开机执行、点击应用本身触发;云端控制,即云端会发送指令,在什么情况下上传什么内容,规则是由服务器定的。相对于本地控制,云端控制更为“高明”,可以随意修改规则,不易被觉察。
安全厂商为TechWeb提供了一个病毒样本,这款名为Android.Hack.zjSpy.a的病毒会通过执行云端指令,窃取用户信息。
这一病毒会在系统启动、收到短信息、打电话等情况下自启动。病毒收到短信息时,将短信息的内容、来源号码、时间记录在本地文件里;病毒会记录手机通话的时间和号码,如果是电话打入,会记录打入时间和结束时间。
病毒注册自启动信息
病毒根据指令上传用户信息
病毒会默认在系统启动3小时后上传通话记录与短信息记录,这个时间是在配置文件中读取的,病毒还可能会根据网站返回的指令修改这个时间,这个延时上传使用户不会察觉问题,且上传文件的开关也是由配置文件控制的,病毒作者也可以通过修改该标志决定是否收集用户的隐私信息。
据安全专家赵明介绍,除了窃取短信、通话记录的病毒,还有一些游戏捆绑的广告中存在病毒,游戏启动后,病毒会把手机唯一序列号、SIM卡唯一序列号、电话号码、GPS地理位置信息上传到服务器。
“用户只是玩一个游戏,却被窃取手机号码、地理位置等信息,黑客可以定位到你的人,知道这个号码在什么位置,让你没有安全感。有些互联网公司也会做用户行为分析,但是匿名分析。”赵明称。
下一页发布时间:2011-10-11 9:50:44,标签:app