近期,有读者反映,手机经常收到类似短信,声称“只要告诉我对方的手机号,我们就能复制出一张手机智能芯片,可偷听对方所有通话,接收对方短信,定位对方位置”。读者对此说法感到担忧。
那么,知道手机号就可复制手机卡偷听通话、接收短信、定位吗?记者进行了调查。
疑问一:知道手机号就可复制手机卡吗?
记者调查戳穿骗局;警方表示已办案件中均未成功复制,实为骗钱
记者按照广告短信上的号码,与一位自称是杨经理的男子进行了联系。杨经理说,安装他们的特殊软件可以监听对方通话、接收对方短信、位置定位等,他们提供两种套餐,监听通话和接收短信的套餐价格为1688元,外加定位的需要1888元。记者表示需要位置定位功能,最终商定价格为1600元。杨经理记下了记者需要监听的手机号码,并称第二天会有技术员为记者送货并安装。
第二天,一位男士与记者联系,约好一小时后在某商场西门见面。一个多小时后,对方打来电话说已经到了,但表示先不见面,说“由于自己干的是偏行,要先验货付款,然后见面拿货”,并嘱咐记者,待会他会用复制好的手机卡给记者打电话,让记者试试通话是否清晰。不久记者手机果然接到电话,来电号码显示为记者需要监听的手机号码,接通后,对方正是那位技术员。他告诉记者用这个复制卡可以同步接听对方来电,并且不会被对方察觉。紧接着,技术员要求记者给他银行账户上打钱。
由于记者之前了解到,有一款“号码随意显”的电脑软件可以更改手机来电显示,为了验证复制手机卡的真伪,记者要求技术员说出被监听号码的机主现在所处的地理位置,技术员反复表示要记者先把钱打到指定银行账户。记者坚持要验证了定位正确后才能付钱。经过反复沟通,技术员不情愿地说去进行手机定位。
过了一会儿,记者接到同事打来的电话。该同事持需被监听的手机卡正在北京东部的某商场内,告诉记者一分钟前有电话打到这个卡上,称有赠送礼品要快递给机主,需提供地址,按照记者和同事事先的约定,同事告诉对方自己位于北京西部某银行。随后,记者接到了技术员的电话,他表示已经帮记者定位成功了,“我们的软件显示,他就在××银行附近,误差不会超过500米”。而该地址正是记者同事告知“快递员”的地址,并不是该同事实际所在的地址。
记者当即指出手机定位有误,质疑监听电话和接收短信的功能是否是真的,该男子支支吾吾,之后挂了电话。
显然,这是个骗局。那么,这类短信都是骗局吗?仅凭手机号码能不能复制出手机卡?
据广西南宁市公安局“打击电信网络诈骗犯罪专业队”负责人曹韩文介绍,“仅2011年上半年,南宁警方就抓获此类犯罪嫌疑人130多名。案件中无一例是复制成功的,都是为了骗钱。”曹韩文说,在这类诈骗案中,骗子的作案手法和特点都很简单,但受害者被骗后往往因为数额不太大,且本身目的并不光明磊落,怕人笑话,所以报案较少。
疑问二:技术上有无可能远程复制?
【调查】 SIM卡有独立操作系统及密钥,不可能远程复制
工业和信息化部电信研究院通信标准研究所无线与移动部副主任刘东明告诉记者,手机卡上存储的与用户安全最密切相关的参数是密钥,用来识别一个用户是否为他所归属的移动网络的合法用户,如果知道了这个参数,同时再知道其他的一些必要参数如国际移动用户识别码,就可以复制一张新卡。但密钥存储在卡的保密区,按照标准的规定是只能写入不能读出的,因此通过读出卡上的密钥进行复制基本不可能。不过,在理论上存在通过鉴权算法反推出密钥的可能,也确有不法分子利用智能卡中鉴权算法的脆弱性复制智能卡,但前提是要拿到被复制的卡,所以无卡复制手机卡无法实现。
中国移动通信研究院副院长杨志强也印证了刘东明的观点。据他介绍,手机SIM卡即客户识别模块,也称为CPU智能卡、用户身份识别卡,存储了手机客户的信息、加密的密钥等内容,供移动通信网络对客户身份进行鉴别,并对客户通话时的语音信息进行加密。SIM卡拥有自己独立的操作系统,与网络的鉴权通过高安全等级国际算法来实现。在卡片里存有一组密钥以保障安全性。在SIM卡与网络之间串接专业工具截取数据流,无法得到密钥。而运营商网络是独立在因特网之外的网络,可杜绝来自因特网黑客的攻击。基于以上原因,SIM卡的远程复制不可能办到。
“手机卡内的安全处理模块均基于国际通用标准,2009年底以后中国移动的手机卡还增加了‘增强安全型’模块,可以主动监测非法复制行为,保证现有的攻击方法无法实现对SIM卡的复制。”中国移动通信研究院项目经理罗红表示。
同时,中国电信的专家也表示,从技术上讲,中国电信天翼手机卡(CDMA UIM卡)和小灵通SIM卡不可能无卡远程复制。
疑问三:手机信息会在不被发现的情况下泄露吗?
【调查】 手机病毒及恶意软件可盗取用户多种信息
虽然从技术上讲,无卡复制手机卡无法实现,但有读者提出疑虑认为:平时手机卡丢了可以补办,说明运营商是可以做到复制SIM卡的,那么会不会出现“内外勾结”的情况?
对此,罗红表示,运营商给用户补办卡是为用户重新发放一张新的手机卡,在运营商系统内将为用户重新分配新的用户数据,原有卡内的用户数据同时废止,补办的新卡数据与原有手机卡数据并不一样,所以说补办卡不是在复制用户的SIM卡。同时,中国移动对于用户SIM卡中密钥有着严格的管理要求:网络系统内存储的用户关键数据均为加密形式,严格控制对关键数据的读取权限,即使运营商内部的普通工作人员也无法获得用户手机卡的关键数据。
此外,还有一些所谓“侦探公司”、“调查公司”宣称,能拿到被调查者的“通话记录、短信清单、手机定位等信息”,“我们在机主不知情的情况下向系统发送打印通话清单申请,然后直接拦截系统发回的验证信息,被调查者根本不会发现。”实际情况能这样吗?
针对这种说法,杨志强表示,中国移动对查询客户详单(包括语音通话记录、短彩信发送记录、无线上网记录等)、位置信息等涉及用户隐私信息的业务均设置了严格的认证和提醒流程,不可能在“被调查者根本不会发现”的情况下获取用户通话记录的情况。
据介绍,目前,查询上述业务信息的方式有:通过客服密码和动态密码在网上营业厅和营业厅查询,部分单位客户可凭有效证件在营业厅查询,查询后均会下发提醒短信。
杨志强表示,为防止“通话记录、短信详单”等信息泄露,中国移动发布了“五条禁令”、《客户信息安全保护管理规定》等,并在技术层面采取了多种防范手段;同时客户可通过10086热线举报信息安全问题,一经核实将对公司内部责任方予以严肃处理。
事实上,据业内专家介绍,监听手机通话、截获短信、定位等与复制卡并没有直接的关系。刘东明说,监听手机通话主要有两种途径:一种是通过专用设备截获用户通话,也就是使用类似收音机的专用设备将被监听手机所发射的无线信号转换成语音信号。其实现条件为:必须在同一基站的覆盖范围之内(在城市,基站的覆盖半径一般为200—500米),且设备与被监听手机之间的距离必须保持在几十米以内;被监听手机不能处在不断移动状态,否则很难实现。另一种途径是通过在手机中安装窃听软件,主要是针对智能机,比如曾经有一款能实现窃听功能的软件X卧底(及变种),能在用户通话时启动三方通话功能实现窃听。
此外,随着智能手机的普及,也出现了很多恶意软件可以盗取用户的通话记录、电话本、短信、位置信息等。因此使用智能手机用户一定要注意。
(下期将继续关注手机个人信息安全,讨论如何防范手机泄密风险。)
链 接
如何防范手机信息泄露
1.避免将手机交给他人保管使用,并最好设置手机密码或PIN码;
2.不要让不可信任的人或机构随意安装软件,不要上不可靠的网站下载安装软件;
3.不要轻易查看收到的垃圾短信、彩信、邮件或点击上述信息中的链接;
4.安装防火墙、杀毒软件等;
5.在不使用蓝牙之类的无线传输功能时尽量关闭,通过WiFi上网时选择可信任的接入点,以降低黑客通过蓝牙或WiFi入侵的风险。