WiFi探针如何让你的手机隐私秒变小透明丨专栏

GYhrfTba

一、手机隐私安全不太平

7 r, n6 a4 ]: ~5 z9 J0 `, ?
  o8 H$ L. z- Q小白：大东东，大东东！你有没有看今年的315晚会呀！简直太可怕啦！
' }/ i8 t: |5 Z

大东：你说的是WiFi探针盒子？

8 y7 {6 a* E) k
小白：是啊，只要你打开了手机WiFi，这玩意就能获取你的手机号，你说可怕不可怕！现在这个大数据时代，处处都要使用手机号，这拿到了我的手机号，就是找到了我个人隐私的大门啊！

3 V" W% y7 ?6 o& P
- }4 Y) \# V6 [" m1 d3 A小白：关键是这些盒子还被放在各种人潮涌动的地方，商场、超市、便利店、写字楼，在咱用户毫不知情的情况下获取数据信息。
4 ?, |! o/ |/ @- y
; M3 j/ n! H+ b6 I) h, }: C
大东：当你在逛街、逛超市、买东西时候，手机号早就被别人拿到了。
+ Q% }3 v9 {2 `+ f% F! z
" e" G3 t! E3 {8 |' I6 M( ?9 ?
小白：简直是被当街扒光的赶脚。
1 J- m6 p' m( G/ Y. r' T

: C2 u7 H* ~- e二、潘多拉盒子

3 ]- Q9 {* R8 E+ h8 h6 y1 p
/ j/ S% w  T0 l" r9 f' e小白：所以这探针盒子又是什么时候出现的新技术？好黑暗啊。
! X. C( L5 |6 l& T0 A% K5 F9 {" }
" w' u% v4 e3 m1 J* j+ W; e5 ?
大东：实际上WiFi探针并不是什么新玩意，七八年前在国外就已经很成熟了，只是在过去没有显示出较大的危害，所以没有产生大规模的谈论。如今它引起大家的关注，实际上是因为其结合了大数据的威力，通过关联匹配、人物画像、行为分析等技术产生一些惊人的功能。
 

WiFi探针盒子（图片来源：百度）

" o. }) S7 P, q7 K8 B
小白：别看这盒子虽小，竟然是个潘多拉魔盒。这是怎么做到的？


大东：其实它的工作流程非常简单。当你的手机无线局域网，也就是WiFi开关处于打开状态时，手机就会向周围发出寻找无线网络的信号，探针盒子发现这个信号后，就能迅速识别出用户手机的MAC地址，接着转换成IMEI号，再转换成手机号码。
4 U  Z+ M. V- F' t: x

2 _, k& o# z0 X8 ]( A& C小白：MAC地址？I什么号？这都是啥？

. H; d8 t. G2 n2 }2 B  W/ D
' M& h# i0 E/ y. N5 d大东：手机MAC地址（Media Access Control Address）就是手机的网卡地址，换句话说，就是手机网卡的身份证号。MAC地址又称为物理地址、硬件地址，用来定义网络设备的位置，它由一串英文加数字的字符串组成，并具有全球唯一性。你可以在手机的WLAN设置里查看本机的MAC地址。
* I$ u5 Z0 y+ X% v  F: B; p& N

小白：噢，就是手机上网证！

# J; F$ k2 R$ N# l8 \) a3 z% `0 V
9 N8 R# M: |! S0 P0 C大东：IMEI号是国际移动设备识别码（International Mobile Equipment Identity，IMEI），即通常所说的手机序列号、手机“串号”，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。


小白：没想到手机也需要这么多证件啊！
8 B6 D& W) o3 j: B
" \9 c" y$ b. u9 o& ?; O- h4 ^
1 e7 @6 w% k  e  A7 q, n6 r& o! Z6 x大东：有了IMEI号，通过通信商可以查询到机主信息。

% S" S. W. i! l) ]1 E) R2 E
( P5 _* H3 u. Y) m3 W, Y6 U

: r( [2 `3 j. ~

某手机信息（图片来源：必应搜索）

  y9 i- f2 L& Y1 r: M9 _
, m; S) S: [; d# R三、隐私窃取

1 g) W( Q0 E% x# x( \# n) a: L
3 G% H# J# E% Y# s) j  a; p8 W大东：探针盒子只是这场隐私窃取的开端。


小白：我有预感魔爪将伸向我的钱包。
+ }3 T" Z3 d$ j% ^* @

大东：依靠探侦盒子得到用户电话号码后，与其后台的上亿用户信息的数据库进行匹配查询，甚至能够对个人进行精准画像，之后进行营销、诈骗等一系列行为。
4 a1 s' S- T) F# V
8 W) ?6 J' ^7 ?+ {# K
, D- Y7 R0 s1 L" I* f/ B7 R+ N小白：这么大的数据量，从哪儿来的？

3 g) F6 d3 p/ a9 C3 w7 _# c, t
) k* L& f9 ?7 T5 {6 A. `( W0 e大东：如此海量的数据主要来源于用户手机上所安装的一些软件，我们平时同意的服务条例都暗藏玄机。
) S. o3 N3 h2 p+ p7 M
! {( Q9 R$ F# ?' ?% S
" y; v5 X1 A$ |5 c0 A% p小白：我知道了，权限允许按钮！
8 Z9 g9 |# ?; [$ j
' O) y0 F2 _; I
7 V: ~; Y+ U0 o: f大东：没错。一旦开启了app的权限，“之后用户使用软件时所产生的这些用户数据，公司可以用作商业用途的”，这就是app公司对权限使用现状。
4 r* v9 M' e8 p  S5 M9 ^$ U

小白：我用过的那么多app，不知道该散播出去多少个人隐私啊！
9 s/ |8 @$ i( Y# m- j# W

四、后台无感知监听
( y* u# {5 P% z0 \

5 z4 P2 m6 R* P3 w% v, q( t# q3 ~. }# k/ d- U小白：app权限真的难防！我甚至感觉平时和朋友聊天说起想要买手机，下次打开个购物app，我还没输入呢就开始给我推荐手机了！
+ r1 G8 Y* k- }, i! m& C/ b' G! \
1 ^: o# O$ x! N+ }" v. b
大东：嗯，你说的这件事在技术上是有可能实现的。
! S8 ?6 H6 a  r0 a+ Q

小白：什么？
9 v* }6 h/ B3 c* M
( E0 U. ?, z2 f& g7 L' C
0 }, \6 X# \. {* G/ I$ M5 P- n) ~大东：这几天，某团队对后台无感知监听在安卓环境下验证了技术的可实现性，成功在用户手机锁屏的状态下获取到用户的语音信息。
. ]/ B3 g5 c) z$ S* X

大东：不只是安卓系统，iOS系统也有同样的问题，只是iOS系统安全门槛更高，实现更需技术难度更大。


小白：那我手动退出app行么？

9 z4 y5 k: Z) t, W% [0 q! v$ k
大东：首先大部分用户都是按home键去返回菜单和切换app，进程一直都是挂在后台进程上的，这样不是杀掉进程。即便是把app退了，被退的app还可以使用组合攻击的方式，实现被其他app唤醒组合攻击的方法。
7 t6 t$ _, J6 m1 V2 h

' @* A5 c0 k+ S$ e+ u' H5 |: J小白：神操作很多啊！
: @/ [4 o9 j: k2 A
9 G5 v% W9 L' q8 o9 S
) I8 o0 t. E. q大东：另外，很多手机厂商会对一些大型互联网厂商提供白名单，白名单厂商的app不需要授权，就可以获取一定的权限，这个是杀不掉的。

2 F" `( \8 U  Z5 m* x
' j, M5 q: x7 k/ S五、防御在行动
# u: B& h  o( Z3 l# V8 z7 m# M
. K6 ]$ F/ v+ B  r
; y" a( x, m' H7 L6 M小白：那我们小用户就只能任人宰割了么？
  h. v& v1 [8 K) A# r! C  P. w* R
7 H7 k; q: w! L1 m# U0 o
6 L$ y, ?4 P& F3 P大东：针对WiFi探针行为，实际上苹果、谷歌、微软都尝试采取了一些措施来保护用户的隐私：2014年，苹果在iOS 8中加入了一个旨在保护用户隐私的新功能“MAC地址随机化”；2016年，微软在Windows 10系统也加入了该功能，从而帮助保护用户隐私，防止基于通过设备MAC地址进行用户追踪。在Android P新版系统当中添加了此功能，但还处于实验性功能，用户可以在开发者选项当中启用。
$ i' l- g: ~4 h7 S, j* h# |- t& ?

小白：加油啊！各大厂商！

2 r6 H/ k1 k: L+ [
$ s2 A, N. c0 i+ {大东：作为一个普通用户，更重要的还是隐私安全意识到加强，从自己身上斩断不良厂商伸来的黑手。

, F0 a* v* C3 u' X! G
" U/ p- k; w+ ]" P4 H1 |( @0 O小白：出门关闭WiFi开关，绝不连接陌生WiFi！

1 a) P6 f8 T' |* q  m2 L' R1 n& ^
大东：使用app也要注意。


小白：不要使用不正常的app，更不要在上面注册，把个人信息泄漏。当app请求操作权限的时候更要当心，轻易不要选择“永远允许”。

/ v- @0 v3 ~+ f5 N) ]2 j
/ B/ x( }" a6 T* c5 c" X: d! P大东：小白总结的不错。

: E8 c2 \: J2 ]/ `; }
" r7 g- Z' v3 N9 |来源：中国科学院计算技术研究所

* ~4 U3 ^* \& f7 t) z  g% l, i温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
7 [6 w: [1 T+ v; p0 I5 W
' I, |' }! L& f. E( G

7 V3 f. A2 Y% S3 V

6 d! V! r! W- D
/ p6 k2 M- Z; h
% u. Y9 U6 _5 R# w


( N4 K8 e4 [, _1 f! A来源：http://mp.weixin.qq.com/s?src=11&timestamp=1553958005&ver=1516&signature=uSGKUT6yu2jWuZL1UmlxiirPzOsz6jUkvNi63ah0IS*rRgndkzyan49guR077Vn06S91zoEzAiuxP6qPCz0-iadgZhv0PGV0WeJPX5tcigGn*dfP57GGewTL-AedA5hy&new=1
* b" _; B- a9 A- c免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！