WiFi探针如何让你的手机隐私秒变小透明丨专栏

GYhrfTba

一、手机隐私安全不太平


( x8 B; a- }$ {" D! f" }2 g9 ]小白：大东东，大东东！你有没有看今年的315晚会呀！简直太可怕啦！


7 u/ k1 l+ o& M大东：你说的是WiFi探针盒子？
( ?0 f( U  P  _7 m4 c3 i9 R
1 \3 T4 I& p3 L" D1 h5 Z( t1 Z
小白：是啊，只要你打开了手机WiFi，这玩意就能获取你的手机号，你说可怕不可怕！现在这个大数据时代，处处都要使用手机号，这拿到了我的手机号，就是找到了我个人隐私的大门啊！

% }5 r/ ?2 t, X- v5 [  o+ r
- e2 `6 L$ K' n6 }( L% P7 {小白：关键是这些盒子还被放在各种人潮涌动的地方，商场、超市、便利店、写字楼，在咱用户毫不知情的情况下获取数据信息。
. w$ p2 h1 z2 |4 M( X1 q+ i
# T% E& a* M7 h$ I% ]2 p% [- K
7 L8 c) ]1 H3 V& a. l大东：当你在逛街、逛超市、买东西时候，手机号早就被别人拿到了。

) ?2 G. `; ?% M5 E/ {+ V3 p9 G; x- G
0 \0 `' j1 `# ]3 j7 W$ W小白：简直是被当街扒光的赶脚。


二、潘多拉盒子
* y; N- R- o& ^- E8 o4 y$ ?& H5 b
3 K$ q' l0 Z( H8 j# |8 q
小白：所以这探针盒子又是什么时候出现的新技术？好黑暗啊。


大东：实际上WiFi探针并不是什么新玩意，七八年前在国外就已经很成熟了，只是在过去没有显示出较大的危害，所以没有产生大规模的谈论。如今它引起大家的关注，实际上是因为其结合了大数据的威力，通过关联匹配、人物画像、行为分析等技术产生一些惊人的功能。
; \$ r  q" p+ F, l3 ?5 h; Q 

WiFi探针盒子（图片来源：百度）

$ l0 d  Z# ?0 T$ }6 w
小白：别看这盒子虽小，竟然是个潘多拉魔盒。这是怎么做到的？

% \+ o4 Z1 ]( H9 s5 O) C
4 [7 p8 P4 P' d- B5 x1 t, X7 y! ^大东：其实它的工作流程非常简单。当你的手机无线局域网，也就是WiFi开关处于打开状态时，手机就会向周围发出寻找无线网络的信号，探针盒子发现这个信号后，就能迅速识别出用户手机的MAC地址，接着转换成IMEI号，再转换成手机号码。
; e: c1 Q0 V7 v: w7 |& x
& A8 e( ]+ `; @( X- i4 B
9 T# \$ Q# r( f8 h- R7 P小白：MAC地址？I什么号？这都是啥？
( B9 w" I  c; m( [7 N4 a1 t
; [" [3 X! d- A7 U
: W+ N& G) w5 Y. S, Z; O大东：手机MAC地址（Media Access Control Address）就是手机的网卡地址，换句话说，就是手机网卡的身份证号。MAC地址又称为物理地址、硬件地址，用来定义网络设备的位置，它由一串英文加数字的字符串组成，并具有全球唯一性。你可以在手机的WLAN设置里查看本机的MAC地址。
3 M* ?9 W, _1 ]/ n& [

/ W6 t* [. E+ L3 `* t( n4 B小白：噢，就是手机上网证！
3 _, j! w: F. n' X

大东：IMEI号是国际移动设备识别码（International Mobile Equipment Identity，IMEI），即通常所说的手机序列号、手机“串号”，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。

& m4 h( s3 Q: o. o/ v- {, A
) N3 @; M9 ^; A: n5 Y4 b+ f4 l小白：没想到手机也需要这么多证件啊！
  F; N3 o! @$ v* u& y" G% O& z
3 q7 d) ?- J) I) o+ l" X
大东：有了IMEI号，通过通信商可以查询到机主信息。
; v- ^- {8 `5 W) O2 \
9 w! e! ]7 L: h! Y$ n9 d

0 R2 ^. F  Z! I

某手机信息（图片来源：必应搜索）

6 H9 g# o+ R6 ]! B; F
  j, A! p' L! ~8 G9 y8 e三、隐私窃取
: N2 X, J6 j9 ]+ Z0 Z
+ x) F" y) z9 h; @0 {& L
# G" ]+ a" r  b& ~; o. \6 V4 P3 p大东：探针盒子只是这场隐私窃取的开端。
. W. \( v+ p/ g; h
# `3 Q  s: a( z2 [5 u! t. P+ q$ f
小白：我有预感魔爪将伸向我的钱包。
0 ^3 O) p( L+ ^6 }, T, p
. I4 B2 S1 V% k# A) {
  _7 f  j5 p- b  N) e0 v0 Q* c大东：依靠探侦盒子得到用户电话号码后，与其后台的上亿用户信息的数据库进行匹配查询，甚至能够对个人进行精准画像，之后进行营销、诈骗等一系列行为。
& n: i! _2 z7 E/ e  H+ m
4 @, ?9 |' [. Z* G; G
小白：这么大的数据量，从哪儿来的？

; x' r: b. @+ v( \3 i- Y5 h1 s( z: c
大东：如此海量的数据主要来源于用户手机上所安装的一些软件，我们平时同意的服务条例都暗藏玄机。

0 n2 T4 T7 @, Q8 ]
小白：我知道了，权限允许按钮！
# k5 Q! q. G! Y  z+ g  S

0 h2 b( p: q+ S) s% {; i% \  O% C大东：没错。一旦开启了app的权限，“之后用户使用软件时所产生的这些用户数据，公司可以用作商业用途的”，这就是app公司对权限使用现状。
7 l# m! U8 p) m2 I: {, p
1 p9 Q  ~+ S% ?6 h7 x- R1 ~0 v
小白：我用过的那么多app，不知道该散播出去多少个人隐私啊！
/ v/ h# h# K' L: m
# X" d2 w: y# Z6 `2 `  R7 ?
四、后台无感知监听

% i7 I2 }0 @4 J) m9 U6 f, f# ?
/ @2 ?! q; X. w8 s  Y小白：app权限真的难防！我甚至感觉平时和朋友聊天说起想要买手机，下次打开个购物app，我还没输入呢就开始给我推荐手机了！


% |4 H8 d7 B- U, o2 F大东：嗯，你说的这件事在技术上是有可能实现的。
9 m* U1 ^9 l5 r- o. L, l

小白：什么？

' N% H4 T/ Y9 K8 N' Z& R
% u5 s! B+ J- ~$ c大东：这几天，某团队对后台无感知监听在安卓环境下验证了技术的可实现性，成功在用户手机锁屏的状态下获取到用户的语音信息。
+ x( L0 o3 m' m3 D# {

大东：不只是安卓系统，iOS系统也有同样的问题，只是iOS系统安全门槛更高，实现更需技术难度更大。
% _& }" g* p! L8 W$ V1 Y4 P
  g8 ^' M( }' B% U+ s# n
4 @" O5 d# s6 J5 N2 p小白：那我手动退出app行么？
- U  F2 g9 \+ X* G  k* ^
8 y  y5 }0 i2 ?9 w. G
& I" P- L( b+ ?8 U% f" b大东：首先大部分用户都是按home键去返回菜单和切换app，进程一直都是挂在后台进程上的，这样不是杀掉进程。即便是把app退了，被退的app还可以使用组合攻击的方式，实现被其他app唤醒组合攻击的方法。
& _7 r. d) E6 ]' x9 i; u" G

小白：神操作很多啊！

1 T1 G5 E$ X. a: O2 D  X/ x2 l- [# N
大东：另外，很多手机厂商会对一些大型互联网厂商提供白名单，白名单厂商的app不需要授权，就可以获取一定的权限，这个是杀不掉的。

8 d1 q, y8 n  L4 T4 Z
' X* h9 h" Q. F/ d9 a# c: e五、防御在行动

/ @% \2 E! `; d
小白：那我们小用户就只能任人宰割了么？
' X  T# o, [5 j- Z9 B) ]+ m
+ `: |1 [, C$ h2 _
大东：针对WiFi探针行为，实际上苹果、谷歌、微软都尝试采取了一些措施来保护用户的隐私：2014年，苹果在iOS 8中加入了一个旨在保护用户隐私的新功能“MAC地址随机化”；2016年，微软在Windows 10系统也加入了该功能，从而帮助保护用户隐私，防止基于通过设备MAC地址进行用户追踪。在Android P新版系统当中添加了此功能，但还处于实验性功能，用户可以在开发者选项当中启用。
# ^+ ~# G$ j4 j0 o! I1 x- g6 Z* F
8 f1 p- H9 K' |1 J, r8 c0 g
小白：加油啊！各大厂商！


; V# V7 p. m8 {, I0 ^9 Y+ r大东：作为一个普通用户，更重要的还是隐私安全意识到加强，从自己身上斩断不良厂商伸来的黑手。
/ e0 Q  U7 ^( R: Q% L: V' G+ b

小白：出门关闭WiFi开关，绝不连接陌生WiFi！


) X3 N3 B" `: r大东：使用app也要注意。

, V2 o+ d: ^- k3 u/ R/ o3 i% x
% F, c6 W6 m/ r小白：不要使用不正常的app，更不要在上面注册，把个人信息泄漏。当app请求操作权限的时候更要当心，轻易不要选择“永远允许”。
, X2 e' W( K( t; q) D

大东：小白总结的不错。
6 x4 @* B. `0 r8 F  R

! Z+ C7 [+ O- ]) Z  C  h来源：中国科学院计算技术研究所
& J. Z+ n  F2 [6 `" \% ]* }7 ~
温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
: O5 u/ z/ c/ \& k; R

6 I3 U- q+ s: b7 h

% X- }# b0 M( K: U  f

  ]/ h) }6 F2 X  r' N. x9 J4 I
来源：http://mp.weixin.qq.com/s?src=11&timestamp=1553958005&ver=1516&signature=uSGKUT6yu2jWuZL1UmlxiirPzOsz6jUkvNi63ah0IS*rRgndkzyan49guR077Vn06S91zoEzAiuxP6qPCz0-iadgZhv0PGV0WeJPX5tcigGn*dfP57GGewTL-AedA5hy&new=1
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！