周末上演的真实版的“窃听风云”事件正在愈演愈烈。全球超过1亿部的手机用户隐私信息遭到窃听,HTC和三星电子两家手机厂商遭到用户的集体诉讼,就连苹果和AT&T、Sprint美国两大运营商都牵涉其中。这是截至目前全球范围影响最大的手机隐私监听事件。
Carrier IQ事件
Android系统安全研究员特维尔·艾克哈特(Trevor Eckhart)近日发现,Carrier IQ的软件能够追踪复杂的用户数据,这些数据远远超过对网络进行诊断的需要。Carrier IQ是一家“移动智能”公司,为运营商和手机厂商提供手机监控软件。
据金山手机安全中心专家分析,Carrier IQ除了搜集与网络相关的信息之外,还搜集设备类型、设备地理位置、用户按键信息、设备使用历史等与网络无关的信息。这些信息被传回至Carrier IQ公司的服务器进行统计分析。其提供的后台产品可以对任何一个设备进行详细的历史记录查询。用户的隐私被完全暴露。
智能手机隐私高压线
冯小刚导演的一部电影《手机》曾一度风靡,它彰显了手机在带给人们通讯方式革命的同时,也承载了越来越多的个人私密信息。而这些信息一旦泄露,有时就会造成难以估量的后果。这种趋势随着智能手机的普及和功能不断增强变得愈加突出。
Carrier IQ事件的手机设备“主角”就是三星、HTC等Android平台以及部分苹果iPhone等智能手机。
根据美国调研机构Gartner预计,2011年全球智能手机销售量将达到4.68亿部,到2015年预计将达到11亿部。随着千元智能手机的相继推出,智能手机的普及速度无疑还将加快。
智能手机可以理解为一个开放的移动计算平台,除了基本的通话、短信等通讯功能外,还能够安装各类应用程序,可进行上网浏览、收发邮件、电子商务等各类操作,这也为那些怀有不良意图的开发商提供了可乘之机。
金山手机安全专家介绍,监听和攻击智能手机带来的非法收益无疑比传统手机要大得多。由于平台开放,手机中毒的几率大增,短信内容、通话记录、通讯录等均有可能被间谍程序监控收集,此外,上网记录、GPS定位信息,甚至网上购物的银行账户信息,都极有可能遭到泄露。
这都极大地造成了用户对智能手机信息安全的担忧。业内人士表示,Carrier IQ事件就是一次集中的爆发,也希望能通过此次事件引起消费者和监管机构的重视和管理。
据了解,针对Carrier IQ事件,不仅美国美国参议员开始介入质询,欧洲一些国家如德国、法国和意大利等的隐私保护监管部门也已展开相关调查。
Android平台一年十余起窃听事件
Carrier IQ事件主要集中在三星、HTC等Android平台手机上,而这远非是Android手机隐私泄露的首个事件。事实上,据金山手机安全中心专家介绍,在一年时间内,Android平台上爆发的影响较大的此类事件就已超过十起。
该专家表示,虽然都是智能手机,但苹果手机相对封闭,监管也较为严格。而Android平台由于代码开源、支持手机品牌和型号众多、第三方应用商店鱼龙混杂等原因,管理纰漏相对严重。
比如,很多厂商在Android系统的基础上可以自定义ROM,其中就内置了很多病毒或者间谍程序;Android平台除了官方应用商店之外,还存在这众多的第三方商店和论坛下载渠道,这些渠道由于监管水平参差不齐,大量的恶意程序混杂其间;不少程序申请的权限超过自身功能需要,如不少简单的小游戏或者书籍应用竟然也申请通讯录、GPS定位等权限,而这样的程序经常能通过应用商店的审查。
这些都留下了严重的安全隐患。Android平台上存在不少吸费陷阱和隐私间谍。就监听应用来讲,今年以来,金山手机安全中心就相继监测到了金雕(Golden Eagle)、电池∑美女勾魂、TucySMS。a等十余个Android间谍应用和病毒,有的感染量每天都高达数千部。
灰色链条
是谁在监听我们的隐私?他们为何这么做?能获得什么样的非法收益?据国内一位Android第三方应用商店的工作人员透露,手机监听等病毒主要为获得经济利益或者用户统计分析,涉及一些ROM制作商、应用开发商、第三方应用商店、手机厂商、下载渠道甚至运营商等众多环节。
金山手机安全专家分析,隐私监听应用或病毒进入用户手机的渠道主要包括水货手机刷机包(ROM)、第三方应用商店等非官方下载渠道、恶意捆绑等,尤以第一种方式为主。
上述业内人士透露,手机恶意程序破坏力巨大。其一,窃密应用不少还直接偷偷定购SP业务,并购买游戏充值卡,直接吸取用户话费;其二,有些应用窃取私密信息、使用习惯并销售给相关机构获取利益;其三,有些应用还会在后台偷偷安装其他程序,赚取推广费用;有的还主动打开指定浏览器导航页,赚取广告费,同时偷偷消耗了用户手机流量。
评论者指出,这已经是一个庞大的灰色利益链条,其涉及广度已与传统互联网上的病毒产业链毫无二致。
防范宝典
金山手机安全专家提醒广大智能手机用户注意自己的隐私防护,苹果iPhone手机尽量使用正版,不越狱更加安全,Android手机也提供了如下几条安全宝典。
第一,尽量从Android官方市场安装软件,如果要使用第三方Android市场发行的软件,应注意查看其他用户评价。或者在安装Android软件时,注意查看权限要求。不可盲目点击下一步。如果一个简单的小游戏或应用也要访问手机联系人、短信、GPS定位等资源,须特别小心。
第二,尽量不使用非官方刷机包(ROM),不少刷机包被人为改造后植入后门。
第三,新购买的水货手机,最好重新用官方刷机包重刷一次,消除隐患。安装完全免费的金山手机卫士对手机进行安全扫描。有经验的手机玩家最好只刷官方ROM,或正规第三方ROM,如MIUI。
第四,留意手机资费是否异常,手机是否存在莫名其妙连网的现象等。
第五,安装金山手机卫士,可帮助用户识别危险程序。