记者调查:智能手机隐私风暴
发布时间:2012-06-20   录入:启明星辰

随时随地都可以拍照、发微博、查邮件,智能手机已经成为潮流生活中不可缺少的组成部分。但是,带来无限便利的同时,如何防泄密也成了这个时代的焦点。近日有网友微博爆料,自己原本已经删除的手机“私密照”竟然又出现了,一个小偷因为没有注销失主的苹果iCloud账号,竟然把自己的信息同步到失主账号……


在浙江,截止去年底,有近3亿手机上网用户使用智能手机阅读新闻,隐隐有着成为大型传播媒介的趋势。另一方面,有数据显示,在恶意软件特征方面,隐私窃取类以24.3%的感染比例位居首位。信息安全专家表示,如果在使用中不谨慎,智能手机造成的信息泄露可谓无处不在。
手机进入“智能”时代


每每新款手机发售,排队抢购的情况时有发生,中国手机市场有多大,中国手机用户有多少?根据今年初出具的《2011年国民经济和社会发展统计公报》显示,我国移动通信手持机于2011年底,达到113257.6万台,相较2010年增长13.5%。几乎人人都拥有一个手机。

 

尽管这样庞大的数字并非全部都是智能手机,但是也从一个方面说明了中国巨大的手机市场,正如浙江省委宣传部副部长鲍洪俊所说,移动互联网时代已经到来,手机将逐渐成为最大的媒体。但是在智能手机用户不断增加的同时,手机安全问题却出现两大极端,一个是不会用,误入陷阱,而另一个则是因为太会用,破解固有系统造成可乘之机。目前,市面上都有哪些手机智能系统?

 

什么样的手机可以成为“媒体”?可以上网,可以下载相应的应用软件,在这个智能手机的时代,相信绝大多数手机都可以胜任 “媒体”。而在街头随机调查的50名路人中,导报记者发现,目前街头出现率最高的手机系统主要可以归为安卓、IOS(苹果)、塞班、MTK(多用于山寨手机)这4种。

 

在这么多的手机系统,都可以自行安装第三方软件,但是每种系统又都有着自己的特性。比如,MTK系统往往自带众多软件,用户买来新手机就可以直接使用,但是预装的软件有付费的,也有免费的,自行下载软件往往会出现不兼容等情况。

 

而逐渐走低的塞班系统则完全不同,凭借较早进入市场,塞班拥有广大的用户群体,而且软件全部免费通过网站下载。

 

相对于MTK和塞班系统,安卓和IOS系统则显得有些类似,都需要通过软件商场下载软件,但是相对于IOS系统,安卓系统则以其硬件强悍,软件开源、大量免费软件的特点迅速打开市场,而IOS系统则坚持限制用户从其他途径下载软件。

 

得益于种种 “千元智能”的推广销售,安卓系统手机占有率不断走高,导报记者在中国联通杭州延安路营业厅看到,该营业厅工作人员运用电脑设备,免费给预存话费得手机的安卓手机用户安装诸如“愤怒的小鸟”、“水果忍者”等热门游戏以及手机卫士、来电显示等常用软件,而手机用户对于正在被安装的软件如何使用,是否需要,也都是一知半解,仅仅是听说免费软件,尝尝鲜而已。

 

对此,导报记者与一位孙先生聊了聊,发现年近40岁的他购买这款联通定制的小米手机,并不是自己了解智能手机,而是他的儿子告诉他小米手机软件很多,很好用,性价比高,而他自己表示,这是第一个安卓智能手机。导报记者问,为什么安装那么多软件?孙先生笑了笑说,他的儿子说“切西瓜”怎么怎么好玩,营业厅免费安装,就装了。

 

随后,导报记者又问孙先生,之前使用的是什么手机?孙先生从口袋里拿出了一个四四方方的飞利浦手机,说:“之前的手机也就是打打电话,最多发两条短信,就冲着待机时间长买了飞利浦,现在买了小米,屏幕大,看起来还不错。”

 

“越狱”带来乐趣与危险

 

与孙先生的情况完全不同,许多年轻手机用户往往非常精通智能手机的使用,“越狱”这个名词变得不再陌生。什么是手机“越狱”?这必须由iPhone的IOS系统设置说起。与其他手机系统(如塞班和安卓等等)最大的不同是,后者是开放的用户权限,而IOS用户权限极低。打个比方说,塞班和安卓的用户权限是可以读写,那么IOS的用户权限就只有读,IOS用户只能在通过验证的apple-store中购买和下载软件,而通过 “越狱”,IOS系统用户则可以获取较高的用户权限,可以自己优化系统,既能安装免费程序,又可以安装破解、收费的程序。

 

“越狱”的好处很多,当然坏处也有不少。潘先生自开始使用iphone后,见众多软件需付费使用,便自行“越狱”,免费下载了许多原本都需要支付高额费用的软件,但是随后便遇到了这样那样的问题。潘先生说:“越狱以后,明显感觉到手机电量消耗很快,原本可以坚持将近一天,现在半天左右就要充电,带着充电器那是必须的。”此外,潘先生还告诉导报记者,他 “越狱”就是为了免费使用原本需要付费的软件,但是有些时候却发现这些软件偶尔会出现类似死机的情况,等待一会手机才会有反应,就兼容性上来讲,没有“越狱”前好。是否后悔“越狱”?潘先生笑着说,不“越狱”不iphone。

 

又比如安卓系统的智能手机,由于系统本身就是开放的用户权限,自由度很高,但是系统自带的软件却因权限不够不能修改,因此不少用户都会选择在开源的基础上进行root,获取手机的最高使用权限,然后将安卓智能系统所自带的软件进行清理,从而进一步加强手机的使用体验。从IOS的“越狱”,到安卓系统获得最高root权限,都是对系统进行修改,虽然用户的使用上便利不少,但是却让系统稳定性降低,一旦安装没有经过验证的免费软件,如果带有木马程序,将轻而易举地在你的手机中扎下根,而未“越狱”的手机往往中招概率很低。

 

“间谍级”软件绑架用户

 

从目前智能手机系统中,可以说是安卓系统与IOS系统之间的较量,在众多手机用户纷纷 “越狱”、ROOT的时候,奇虎360相关负责人艾永春告诉导报记者,自2011年开始,中国手机安全开始步入“危险”时代,手机木马软件正在呈现暴涨趋势。

 

据艾永春介绍,78%的安卓手机木马目标明确——占用手机资源,吞噬用户的手机话费,而另有13%的安卓木马则瞄准了手机通讯录、照片、短信、设备信息等用户隐私,2011年12月震惊全球的 “CIQ事件”正是窃取用户隐私的最好案例。

 

在生活中,不知道你有没有收到这样的短信或者QQ留言,“前不久QQ被盗,发的消息不要相信……”也许有人会说,电脑中木马了,QQ被盗、游戏账号被盗都是很正常的,要养成良好的电脑使用习惯……但是如果说QQ是在使用手机登陆时被盗的,你会相信么?国内目前有没有人中招尚不可知,但是国外却闹得沸沸扬扬。

 

2011年12月,一款名为CarrierIQ(简称CIQ)的内核级间谍软件被曝光,该软件会暗中收集用户隐私信息,甚至每按下一次键盘都会被秘密地记录在案,一旦该软件被不法分子利用,不要说是QQ账号,就连你今天给谁打了电话,发了什么短信,使用手机阅读了什么信息都会被这个软件“看”得清清楚楚。而就是这样一款软件,原本是一款用来监测手机使用情况的应用程序,它会根据手机使用情况提供具体数据,以指导手机用户,方便手机生产商提高产品质量和服务水平而产生的。

 

据导报记者了解,包括苹果、HTC、三星在内的手机制造商,以及AT&T、Sprint、T-Mo-bile等运营商都在手机上预装CIQ软件,也因大量“水货”手机涌入而出现部分CIQ偷渡进了国内。

 

根据艾瑞咨询发布的最新研究数据表明,2011年第三季度,全球智能手机操作系统总体销售额为1.15亿美元,比去年同期增长42%。其中,安卓操作系统排名第一,获得52.5%的市场占有率。

 

对此,艾永春告诉导报记者,安卓平台的开源、开放、免费等特性,虽然为谷歌带来了大量的市场占有率,但是这把双刃剑也给消费者带来了不少安全隐患。由于几乎没有入驻门槛,木马制作者可以通过篡改正常软件的方式,随意将捆绑了木马的软件应用在安卓平台发布,许多爱“尝鲜”的用户看到,免费便下载来使用,从而中招。

 

链接

 

一款恶意代码月赚10万元

 

“无利不起早”,对于制作恶意代码的人和组织来说,更是如此。业内专家表示,最新出现的一款伪装为“安卓升级补丁”的吸费软件,通过短信群发,若以百万群发、约5%的人点击了来计算,单次群发就可感染5万部手机,即使每次只扣费2元,每月可产生超过10万元的收益,而目前短信群发的行价是1分到2分一条,发100万条只需1万至2万元,暴利显而易见。公开资料显示,中科院计算技术研究所高级工程师罗海勇说,制作恶意代码投入很少,租用一个服务器一年才几千元,但年收入可达几千万元。

 

粗暴的获利方式

 

“SP扣费最简单粗暴,但这需要运营商的收费通道。”一位不愿具名的业内人士透露,一般扣费一次运营商可以提取30%,剩下70%的费用中,有10%由SP代码公司获得,也就是0.14元。剩下的90%,即1.26元由恶意代码制作者获得。

 

胜思网络移动游戏项目经理资章明向记者透露,恶意代码还会强制向用户展示广告。以美国为例,费用为每10条2美分,而用户点击则是每次0.2美元。“表面看一些手机游戏或者广告很‘干净’,但恶意代码其实已经写入,用户点一次都会扣费。”不过,资深技术人士Warren表示,恶意代码以偷跑流量分成的获利方式其利润不高。因为,这需要引导用户点击链接到其他网站,收益不直接且较低。因此,这是最不常用方法。恶意代码的最大获利方式则是窥探手机用户隐私,比如手机号、位置信息、网购信息等,然后将资料打包销售。他说,一些恶意代码会隐蔽地、持续地同步用户通讯录、名字、短信、记录地理位置以及网购信息,转手以精确资料卖给保险公司、荐股公司、培训机构等。

 

悄悄植入手机内部

 

记者获悉,恶意代码通过伪装成各类热门的手机应用程序(APP),或隐蔽在不易察觉的短信、网站、微博链接中来诱骗用户下载安装,装入手机后依据预设指令控制终端设备执行如恶意扣费、盗取隐私等行为。一款名为“安卓吸费王”的恶意吸费软件及变种,根据监测,2011年至今累计植入到超过700款热门手机APP之中,累计感染手机300万部。

 

Warren说,如热门游戏《愤怒的小鸟》、《水果忍者》等,黑客将恶意代码主动植入到该游戏免费版中(即写入游戏源代码),当用户下载安装时,恶意代码也一并安装,随后其自行在后台运行。“没有越狱的IOS终端中招的情况较少。”资章明说,越狱后恶意代码就会随着用户在第三方市场下载的免费软件潜入手机。“胜思网络不做An-droid手机游戏而专注苹果IOS平台,一个重要的原因是前者太开放,恶意代码容易侵入。”他说,即便是安卓市场,谷歌对上线APP的审查,也不如苹果严格。

 

另外,黑客也会针对手机操作系统的“后门”制作恶意代码。资章明说,利用豌豆夹、91助手等下载安装应用,中招的可能性较高。

 

隐蔽性极强用户无解

 

手机安全专家在分析偷话费的“食人鱼”恶意代码时发现,用户不知情的情况下在后台偷偷联网后,跳转到www.yangruiling.com、IP地址为61.191.55.43的一个网站。然而,当点击登录该网站时,却显示无法登录。“恶意代码隐蔽性非常强。从技术角度,对于普通用户来说,通过自我鉴别可能会难以进行有效防范。”专家建议,手机用户及时选择一款专业的手机安全产品,其可通过集查杀、防护于一体的保障体系,及时遏制手机可能遭遇的安全风险。


资章明则建议,用户不要轻易越狱IOS终端,也不要ROOT(获得最高权限)安卓终端。因为,这意味着手机“不设防”,虽然一定程度上方便了用户,但更是为恶意代码的长驱直入打开了大门。同时,在下载安装APP时,最好直接从App Store或安卓市场进入,切记不要利用短信、网站、微博中的网址链接来下载安装应用。而进行手机流量监控,也应是基础功课。“在3G智能时代,通过芯片底层植入恶意代码的做法基本不可能了。因为设计要求很高,生产成本也很高,相反被发现后的损失很大。”他说,要分清恶意代码扣费和偷隐私与普通应用如微信、米聊、陌陌、手机浏览器等搜索用户位置、通讯录等信息的差别,后者也会泄露隐私,但更多是为了“精准服务”。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号