|
|
一、手机隐私安全不太平
4 N" V# P A0 k$ U! r9 |' u# U1 S" H. i5 {
- K9 V& ~8 n' g6 L) z小白:大东东,大东东!你有没有看今年的315晚会呀!简直太可怕啦!
7 X1 j+ H9 x+ Y+ f# F: ^8 v5 t: y
. _+ L \& X a4 c* Y7 D" u3 I9 R2 g1 p2 q! T& ^3 a6 q
大东:你说的是WiFi探针盒子?
5 n* Z$ i$ k) w8 J! c% Y8 V) r4 K9 |3 z
% q& k U2 z) K小白:是啊,只要你打开了手机WiFi,这玩意就能获取你的手机号,你说可怕不可怕!现在这个大数据时代,处处都要使用手机号,这拿到了我的手机号,就是找到了我个人隐私的大门啊!
) a0 c/ h! x& g# `# f/ \
7 ~2 d; {6 A2 r* D& U% Y9 G' y7 P% T7 L6 _# O0 g1 l
小白:关键是这些盒子还被放在各种人潮涌动的地方,商场、超市、便利店、写字楼,在咱用户毫不知情的情况下获取数据信息。- R: ~: J! u" X6 p
0 p" Y3 o% M5 X8 M: i0 }8 L' i& E% H- g- s
大东:当你在逛街、逛超市、买东西时候,手机号早就被别人拿到了。8 l9 A5 f$ i; L# }. l: z1 g7 B
( m1 V/ Y n, N: m. M1 o5 ~, M4 s8 g! R3 P
小白:简直是被当街扒光的赶脚。5 e" W$ ^) O% w' m7 U( z
: a3 P- _$ w# D
; u, u% m4 x" c6 p0 H
二、潘多拉盒子
" ?# V3 h5 _2 m, I& \
/ o/ a8 ]; ~( s# ]. e2 J0 r, R- G
小白:所以这探针盒子又是什么时候出现的新技术?好黑暗啊。* j- H' T3 ~4 u8 C# w0 S9 M
& s) _: Y' Q7 u1 x$ a3 ~# o* M. Y
; e5 j' ^7 u1 o, h大东:实际上WiFi探针并不是什么新玩意,七八年前在国外就已经很成熟了,只是在过去没有显示出较大的危害,所以没有产生大规模的谈论。如今它引起大家的关注,实际上是因为其结合了大数据的威力,通过关联匹配、人物画像、行为分析等技术产生一些惊人的功能。, ~0 d W; t' u+ o0 j6 j4 ?4 ]; `
" r% f- n; b8 ~; x! U
. q) V8 i$ V z8 [$ s1 Q
WiFi探针盒子(图片来源:百度)
, w( J3 Q& y( U. M; A
( W2 G3 g7 h+ [. c* Z8 x3 {5 A1 L' w% }
小白:别看这盒子虽小,竟然是个潘多拉魔盒。这是怎么做到的?6 ~( T0 V+ C5 U: @5 Y: R5 Q
6 | a3 D7 _: y2 l- A
8 O* |8 p" N- v0 Z8 v$ p' d
大东:其实它的工作流程非常简单。当你的手机无线局域网,也就是WiFi开关处于打开状态时,手机就会向周围发出寻找无线网络的信号,探针盒子发现这个信号后,就能迅速识别出用户手机的MAC地址,接着转换成IMEI号,再转换成手机号码。$ c- u: n5 Q/ {2 b3 }+ E. Y
0 N8 `1 V3 m9 K' B* x4 ~7 @- K
# o5 Z- d# |: n" w' W/ w小白:MAC地址?I什么号?这都是啥?
& A/ I8 a2 `& l3 q5 W9 f# n
. F4 C9 ?& H) T8 h9 w2 I& B* U+ ^& w u, G+ z4 O8 v
大东:手机MAC地址(Media Access Control Address)就是手机的网卡地址,换句话说,就是手机网卡的身份证号。MAC地址又称为物理地址、硬件地址,用来定义网络设备的位置,它由一串英文加数字的字符串组成,并具有全球唯一性。你可以在手机的WLAN设置里查看本机的MAC地址。6 \( ^# d$ c' {3 p& x
& |$ r0 z4 `- V$ t6 j6 o% A& U3 N2 ?$ z% N' {' v* F5 x
小白:噢,就是手机上网证!
: i$ c; \" H: [# {/ T& I8 ]! T
) o- N; g4 c- S X& g9 Z* ^; N" Q
大东:IMEI号是国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。( l; n! ] x' U f) J6 u B" R. u
0 o+ f8 @- I% K8 l, a
5 F: u7 M3 @5 R3 s) b, P+ E! R8 @
小白:没想到手机也需要这么多证件啊!4 P& q/ t6 s& `4 I% j* H
/ K; g7 K% R. d4 [+ v! u
. Y/ D% v( O% H大东:有了IMEI号,通过通信商可以查询到机主信息。: x! Z( I# K6 q {
0 z0 Q+ J3 x6 B4 ^' {# C
. N! S' @0 R: Q% F8 ?2 {
- e, w) V$ ]) W. U' ]* E% k" z# f& d. B
某手机信息(图片来源:必应搜索) ; d8 |* n( V; ~% E1 ^- Q- H
9 W# d# w9 ?2 _3 U. D' l& _& W6 O- K M c
三、隐私窃取3 L/ H% H* K6 }) M2 O
: @3 u7 m o& Q z
v+ i' l) [9 c) n% p7 F大东:探针盒子只是这场隐私窃取的开端。
' Z# B% \' D' b1 z6 g( K, q7 b* Q' {3 [: x3 I9 A4 Y! f8 }% m. z# x
- \- Q2 R9 x. V$ r9 x
小白:我有预感魔爪将伸向我的钱包。
- V2 S; \1 i5 Q1 P/ J9 q8 `" h1 a2 X& r
/ B% I9 l L9 G5 n! @. D大东:依靠探侦盒子得到用户电话号码后,与其后台的上亿用户信息的数据库进行匹配查询,甚至能够对个人进行精准画像,之后进行营销、诈骗等一系列行为。
`% W8 G. Q$ E9 c! T5 B9 L& ]* A1 W: i
# K/ Y) t4 A m2 ?+ i
小白:这么大的数据量,从哪儿来的?+ d/ L+ F$ x4 b* A+ S9 A/ z
- J% z \% `) ]& `7 p, \( V" a+ \4 d7 u% N- y3 P
大东:如此海量的数据主要来源于用户手机上所安装的一些软件,我们平时同意的服务条例都暗藏玄机。
+ N: v; I; F# _ K: F* i0 u. J
n9 r$ N+ ~( s! t) Q s
$ ?8 T5 }; g$ }+ @; M2 ?小白:我知道了,权限允许按钮!: R* S1 S7 t `- Z
# o( B9 @) B0 v4 {; x% L
+ F4 Q& X9 k6 U* V% y- N, \
大东:没错。一旦开启了app的权限,“之后用户使用软件时所产生的这些用户数据,公司可以用作商业用途的”,这就是app公司对权限使用现状。' Z3 a; `4 E5 A7 b! N
8 ?8 t" F* C* I0 |) B- o J1 a0 J0 W
小白:我用过的那么多app,不知道该散播出去多少个人隐私啊!3 w; v+ p' H& p
; k% U5 g$ B7 ?
/ F* l) I3 y" G3 w0 |
四、后台无感知监听/ f! C% {7 L2 V# P
3 U8 {& f0 I7 F/ ~$ N
- m) m: m' Z' }3 y小白:app权限真的难防!我甚至感觉平时和朋友聊天说起想要买手机,下次打开个购物app,我还没输入呢就开始给我推荐手机了!9 A9 O% d6 L/ Q: x0 ?
$ z! J1 ] F; c$ N- t% H w/ F* B
大东:嗯,你说的这件事在技术上是有可能实现的。
* {5 z5 o" P& s3 T0 T. t7 w8 n# ~. {8 s
! {; p/ O$ y5 [# a9 c小白:什么?
. A7 h& j' t4 D# G( m
. u) R7 ~% A( P& E4 p) x* R3 W9 x5 q% F3 [1 K# u, F6 B
大东:这几天,某团队对后台无感知监听在安卓环境下验证了技术的可实现性,成功在用户手机锁屏的状态下获取到用户的语音信息。4 y( \5 Y) @& M, T9 F0 i
c/ `$ {+ r* j
2 n$ J" Y: Q5 g$ R大东:不只是安卓系统,iOS系统也有同样的问题,只是iOS系统安全门槛更高,实现更需技术难度更大。: s% y1 ]' v7 S
3 y. r: a% x: V
2 \& L( b0 {' k. q2 v% i0 o小白:那我手动退出app行么?
5 D. q/ r% `& M" I4 j6 [) @+ V; B P& X9 F
" F( h$ ~( r+ K6 p( l* g4 j+ x大东:首先大部分用户都是按home键去返回菜单和切换app,进程一直都是挂在后台进程上的,这样不是杀掉进程。即便是把app退了,被退的app还可以使用组合攻击的方式,实现被其他app唤醒组合攻击的方法。
6 w7 P, k6 Y- c- R' F. `* @- S7 U4 `6 @6 V' N! w7 q. _, ]
* _* [" {$ A8 b/ [, H1 k7 E, U+ F" ?
小白:神操作很多啊!
! A% ]* O% q( `+ P' [) H- a; q
/ ^5 v" \. m- W" x3 _1 t& @
* ?( W) N- d+ ]3 o' H1 d大东:另外,很多手机厂商会对一些大型互联网厂商提供白名单,白名单厂商的app不需要授权,就可以获取一定的权限,这个是杀不掉的。
x: d( Y9 c$ |4 V C, C
. v9 Z/ I, Y- y8 N* h7 U' L7 u a$ O& \0 W1 s1 ^9 k! Q" O9 n
五、防御在行动
5 J( A* K; O" d e7 I" X9 \" ~( i, y0 E# n- q6 T& ^, X p
- [. p; w1 p9 x1 i$ h' ]小白:那我们小用户就只能任人宰割了么?: h' c/ d4 O' c$ B- {. U" |
( y0 C* w7 p, j/ D8 U
- _, n( G) y, X( r大东:针对WiFi探针行为,实际上苹果、谷歌、微软都尝试采取了一些措施来保护用户的隐私:2014年,苹果在iOS 8中加入了一个旨在保护用户隐私的新功能“MAC地址随机化”;2016年,微软在Windows 10系统也加入了该功能,从而帮助保护用户隐私,防止基于通过设备MAC地址进行用户追踪。在Android P新版系统当中添加了此功能,但还处于实验性功能,用户可以在开发者选项当中启用。
* O$ L7 j6 i# X/ }/ g
1 w# f, H" x5 y
9 b6 a# } ~6 ^) L小白:加油啊!各大厂商!
$ v# T& R) E \* ]. r/ A& `0 i
7 k: e/ \/ v7 z
. \6 }) H: n. v" D" g; ?* f大东:作为一个普通用户,更重要的还是隐私安全意识到加强,从自己身上斩断不良厂商伸来的黑手。' X) e% Y. x- ~ O# a1 G( y
; Y( s ~; w0 Y6 r$ Q3 n% z$ z9 m3 f1 L3 u* W/ g0 C! l9 \ F2 k. N- u
小白:出门关闭WiFi开关,绝不连接陌生WiFi!
- e- c" B' H! {
0 V7 q+ o2 p/ N& t" _9 L; f
! e# I; U6 k( V! ]- G大东:使用app也要注意。8 e! f! q J b0 h
2 N. W: V1 b) L" ]; T5 I& [
/ l1 Q$ L; ^2 i5 ^6 Q- z* w小白:不要使用不正常的app,更不要在上面注册,把个人信息泄漏。当app请求操作权限的时候更要当心,轻易不要选择“永远允许”。2 n4 Q2 u- l5 @
3 S% p. d& N1 d5 b- ~' Q( f! m2 E( n2 Q h6 ~
大东:小白总结的不错。6 y; }( J6 v! U" N. s# o: `
7 P2 ^* N; ~3 l! l5 E
2 [' P5 h' l7 e& b来源:中国科学院计算技术研究所
1 L. ?/ }+ R b" l" `$ z* o# e& \& n
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」+ M* H& i; P- X o8 }1 z
$ C( M' U& h5 l6 r/ ~8 n @/ A
& m* d4 s2 E7 s9 ^# X
3 U3 a. W7 z% c! S' x3 d2 x
z0 A; X, `% j N$ l
, n2 C# U7 G) }. D3 N0 N; G) f0 d4 ]- C8 v
! e0 c7 S9 x. r Y& d- w8 u4 ]6 p
' |1 o7 x; w0 A1 q( r& n/ F
! t2 P: l4 h* c3 l# ~, e来源:http://mp.weixin.qq.com/s?src=11×tamp=1553958005&ver=1516&signature=uSGKUT6yu2jWuZL1UmlxiirPzOsz6jUkvNi63ah0IS*rRgndkzyan49guR077Vn06S91zoEzAiuxP6qPCz0-iadgZhv0PGV0WeJPX5tcigGn*dfP57GGewTL-AedA5hy&new=1* Y0 [5 R2 x k( y6 e3 x
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|