制图:蔡华伟
4月9日本报“求证”栏目刊登《复制手机卡偷听通话是骗局》,引发读者对手机个人信息安全的关注。
随着移动互联网搜索、游戏、阅读、音乐、互动社区、手机支付等业务的开发使用,移动互联网已融入普通百姓的生活。中国互联网络信息中心2012年1月发布的有关报告显示,截至2011年底,我国手机网民数量超过3.5亿。
移动互联网的快速发展给人们带来便利,也给个人信息安全带来严峻挑战。这种挑战不仅来自病毒、恶意软件对用户手机进行的非法自启动、私自联网、私自发短信、恶意扣费等威胁,同时,手机用户的通话记录、通讯录、账号、个人私密文件都面临着被窥视与窃取的风险。
疑问一:手机可能泄露哪些信息?
【回应】通讯录、密码、短信、通话、照片都可能被窃取
手机上的个人信息包括位置信息、通讯信息、账号密码信息以及存储文件信息等四大类。其中,通讯信息包括通讯录、通话记录、短信等,手机内存储文件信息包括机主的照片、录音、视频等文件。此外,手机的一些硬件信息,比如IMEI号(手机串号)、无线网卡的Mac地址、硬件配置信息也都属于个人信息的范畴。
业内专家提醒说,并不是只有盗取用户通讯录、短信、照片才是“侵犯手机个人信息安全”,目前一些应用软件暗中搜集用户的位置信息(比如,常去的商场、日常的路线)、手机上网记录(浏览的网页、购物偏好)等信息,看似不起眼,但其实通过这些信息进行的用户习惯分析数据极具商业价值,也都可能成为被侵犯的目标,而且这种侵犯行为较隐蔽,不易被发觉。
疑问二:手机泄密渠道有哪些?
【回应】手机木马与恶意软件最危险;隐私窃取木马会监听并上传通话录音;一些看似普通的软件可能读取私人短信
据互联网安全公司360副总裁李涛介绍,目前侵犯手机个人信息的主要方式,除了通过线下购买手机用户信息、通过诈骗电话套取个人信息等之外,主要是通过手机木马与恶意软件直接窃取,后者正在成为不法分子获取手机个人信息的重要方式。
除恶意扣费外,窃取用户隐私已经成为手机木马的主要危害之一。据安全工程师介绍,DDL“隐私大盗”和“X卧底”都是有代表性的隐私窃取木马。DDL“隐私大盗”木马专偷短信、IMEI、Google账号等隐私信息,窥探、监控用户的举动,并将相关信息卖给有关商家。
“X卧底”是一款窃听软件,被暗中安装后不会启动任何图标,也不会给用户任何提示,一切监听行为都在后台自动完成:当用户通话时,木马会自动监听并录音保存,同时读取用户的通话记录、短信内容等;通话完毕后,木马启动上传程序,将通话录音等上传至不法分子搭建的服务器上。
据360安全中心发布的《2011中国手机安全状况报告》显示,2011年新增手机恶意软件及木马8714个,被感染的智能手机用户超过2753万人次。以安卓(Android)平台为例,2010年发现12个木马,2011年暴增至4722个。其中,13%的木马专门窃取手机个人信息。
在今年“3·15”消费者权益日,中国电子信息产业发展研究院、中国软件评测中心发布了《2012年Android手机软件个人信息安全报告》。据负责该报告的中国软件测评中心副主任刘法旺介绍,该中心通过抽样的方式从中国移动、联通、电信、安卓在线等8家手机应用软件市场上测试了不同类型的软件870款,结果显示,所有电子市场均发现部分软件存在个人信息泄露行为。在泄露的个人信息类型中,以IMEI号泄露最为严重,其次为手机号码、地理位置和SIM卡序列号。IMEI是每只手机在组装完成后被赋予的全球唯一号码,获得IEMI码后,可以通过手机供应商进行手机锁定,中止手机通话功能,获知手机方位。
该中心智能移动终端测试实验室主任王晓芹列举了一款名为“寸芒v1.0.1”的电子书软件,在阅读“第1集雪夜”时,点击“第一章星罗”后,会发现该软件向某IP地址同时发送了“手机号码”、“SIM卡序列号”和“IMEI号”三种个人信息,而在用户的手机页面中未出现任何与此相关的提示信息。
手机移动安全顾问认为,手机软件平台的开放性使得软件开发者越来越多,由于软件上线审核不是非常严格,很多开发者对于权限并不重视,会无意或有意地加入一些“功能”。比如一个日历软件会读取私人短信,这就是典型的滥用权限行为,对用户来说就是安全隐患;再比如软件长时间驻留后台,无法关闭,也给用户带来不便。
安全专家提醒手机用户:从大型可信站点、商店下载手机软件,避免到论坛下载;安装软件时注意观察软件权限,出现敏感权限要特别警惕;安装手机安全软件特别是具有隐私保护功能的安全软件,将个人照片、视频等隐私数据加密保存;开启安全软件中的手机防盗功能,方便找回手机,或者在无法找回时发送指令远程取回数据并销毁数据;在使用中随时留意手机运行状况,及时处理异常行为。