一、 小白劇場

小白:大東東,感覺我最近像是被房產中介盯上了一樣,總是接到他們的電話。

大東:呦呦呦,我的白最近都在看房子啦。

小白:那倒沒有,但是很奇怪唉!

大東:有什么奇怪的?

小白:這些房產中介介紹的房子都在我單位或者家附近,他們怎么知道我在哪里呀?

大東:那你可要小心啊,你的位置被泄露了。

二、 話說事件

小白:啊?這?

大東:小白,要關心實事。

小白:此話怎講?

谷歌(圖片來自網絡)

大東:據外國媒體曝光,科技巨頭谷歌擁有類似技術,可以通過手機信號等方式快速確定目標所在的位置。有時甚至不需要手機信號,就可以確定任意時間內安卓設備所在的地理位置。

小白:這技術還挺“智能”哈!

大東:The Verge報道,據聯邦法院2月5日解封的一份文件所示,FBI(美國聯邦調查局)向谷歌公司發出了“地理圍欄搜查令”,用來調查在西雅圖發生的一場縱火未遂事件。

小白:什么是地理圍欄呢?大東可以給我講講嗎?

大東:當然可以,所謂“地理圍欄”,指的是谷歌安卓系統設備用戶在特定時間內,是否曾到過特定地區的資料。

小白:真可怕,那么App獲取用戶權限的原因是什么呢?

大東:在2021年1月份,小米公布了一組MIUI系統上采集的數據,是各種App獲取各類權限的次數。

小白:請求最多的數據是什么呢?

大東:其中,最夸張的是定位數據,平均每部小米手機每天會被各類App定位3691次,也就是說,平均每隔23秒就被定位一次。排在第二的是相冊的訪問權,平均每個手機每天被訪問2432次。而App在后臺嘗試悄悄啟動,每天會遇到783次。另外,還有大約40萬個App可以讀取用戶的剪切板。

小白:App要正常工作,當然要拿到一些權限啦,比如直播軟件必須得有使用攝像頭、使用麥克風的權限,點外賣和地圖導航必須得有定位的權限。

大東:但是現在市面上有很多手機APP,安裝之初會申請很多和自己功能無關的權限,什么聽歌軟件申請定位啊,書城軟件申請通信錄啊,甚至手電筒軟件還有申請這些加相冊權限,就讓用戶很無語。現在這種“定位信息+通信錄+相冊+收集使用設備標識信息”組合權限申請幾乎隨處可見,肯定是讓大家難以接受了。

小白:還有其他數據泄露相關事件可以介紹一下嗎?

大東:比如Facebook數據泄露事件。2018年,一家第三方公司通過一個應用程序收集了5000萬Facebook用戶的個人信息,由于5000萬的用戶數據接近Facebook美國活躍用戶總數的三分之一,美國選民人數的四分之一,波及的范圍非常大。后來,5000萬用戶數量上升至8700萬。

小白:之后呢?

大東:同年9月,Facebook遭到了黑客攻擊,黑客利用Facebook的一個系統安全漏洞,成功盜取了3000萬用戶信息。

小白:好多啊!

大東:這3000萬用戶中,根據官方公布的數據,大概有1400萬用戶的敏感信息被泄露。

小白:這是至少一半人啊!我真不知道該為這一半人悲傷還是為另外一半人慶幸。

大東:這些敏感信息包括:姓名、聯系方式、搜索記錄、登陸位置等。

小白:大東東,你知道這次事件更詳細的一點技術信息嗎?

大東:知道一點,根據公開的信息,這次是因為照片API接口中的一個漏洞。

小白:哇偶,這好像也算供應鏈安全領域了吧?

大東:算的,小白說得不錯。這個漏洞使得私密的沒有被用戶共享的照片也被“共享”了出來,因此“方便”了黑客。還沒完,3個月后的12月,Facebook又被黑客“偷塔”了。

小白:這才三個月?

大東:是啊,正是12月14日,這次還是Facebook軟件漏洞。

小白:讓我猜猜這次是多少人,不會也是3000萬吧?

大東:還真不是,這次更多,6800萬用戶的私密信息被泄露了。

小白:太難了!

三、 大話始末

小白:數據泄露真是太可惡了。那么手機定位是如何泄露個人信息的呢?

大東:原因有很多種,小白先來說說吧。

小白:應用程序本身不完善,其中最突出的就是Android(安卓)系統。

大東:有關研究顯示,Android系統已經成為惡意軟件的重點感染對象,國內市場中近六成的Android應用程序有問題,約有四分之一的安卓用戶隱私遭到泄露威脅。

小白:這原因是什么呢?

大東:大部分專家都有一個比較一致的觀點,那就是安卓系統的開源屬性。

小白:我只知道開源屬性是很方便技術開發人員進行開發和技術研究的,莫非也“方便”了黑客進行“開發”?

大東:猜對了!正是因為安卓的開源,方便了技術人員進行軟件升級換代的同時,也方便了黑客對軟件進行惡意修改。

小白:說得好對啊!

大東:同時,軟件監管不力也是一種原因。

小白:嗯嗯,就我身邊來說,最明顯的就是軟件下載途徑的問題!目前來講軟件應用商城下載還算安全,可是什么網頁下載,甚至掃描下載,就很容易下載到惡意軟件。

大東:這是很好的例子。而且現在軟件的二次開發行為本身也很混亂,就很容易造成威脅隱患。還有就是剛才提到過的權限申請的問題。

小白:對的對的。我想還有一個問題,如果我們未能妥善處理舊手機,也會造成信息泄露。

大東:沒錯。對于不再使用的手機,如果只是采取了簡單的刪除、格式化等方式。那就危險了,這些方法可太容易被黑客破解了。

小白:黑客也會入侵竊密的。

大東:手機聯網時,對于黑客來說和計算機聯網幾乎沒有區別,黑客能對你的電腦做的事,對手機都能做。

小白:是的!千萬不要有手機比電腦安全的錯覺。

大東:惡意軟件潛伏在手機在,可以對手機進行非法啟動、聯網、發短信等操作。此時,用戶的手機在黑客就是透明的,所有的私密信息都一覽無余。黑客還能夠監聽通話內容。木馬程序在錄制完通話過程后,就可以直接把錄音上傳到黑客的服務器上,沒有絲毫阻攔。


數據泄露(圖片**來自網絡)

小白:黑客的入侵軟件是怎樣植入被竊聽人的手機中的呢?

大東:一是類似釣魚郵件的釣魚彩信,用戶點擊釣魚彩信就會自動下載惡意軟件,并借此安裝。二是偽裝,網頁上的非正規渠道的下載鏈接經常能下載偽裝成正常應用軟件的木馬。

小白:還有其他方法嗎?

大東:三是“直接送紅包”了。就是直接把裝了惡意軟件的手機送給你,你要不要?

小白:天哪,以后拒絕類似“紅包”了。

四、 小白內心說

小白:大東,應該如何有效預防信息泄露呢?

大東:日常應該注意到的事情就有很多,比如不要隨意丟棄含有個人信息的票據:像火車票、快遞單、銀行對賬單等這些票據其實包含了很多的重要個人信息,如果這些票據一旦落入不法分子之手,這些不法分子很有可能依靠這些實行詐騙等不法活動。

大東:注冊軟件呢?

小白:注冊各類應用、網站要盡量賦予最少的信息和權限:無論是網絡購物,還是虛擬社區注冊,或是在社交工具上發布信息,都會留下個人信息,填寫時一定要謹慎小心。我們應該秉持信息最小化原則,如無必要不要將所有信息都填上,僅填一些必要信息就好了。

大東:同時還要注意不要使用不正規的招聘網站或軟件。

小白:此話怎講?

大東:我們的個人簡歷中往往是填寫有詳細的個人信息的,這些個人信息一旦被泄露出去,后果不堪設想。所以大家平常找工作時盡量使用一些比較正規的招聘網站和軟件,不找工作時及時去掉自己的簡歷和個人信息。

小白:大東,還有嗎?

大東:盡量不要使用危險的公共WiFi。

公共Wifi(圖片來自網絡)

小白:確實。公共WiFi容易受到黑客攻擊,一旦使用了那些遭到黑客攻擊的公共WiFi平臺,那您的上網數據可就危險了,因為你的上網信息將極有可能會被黑客監視,導致你的重要密碼、數據、姓名、性別、地址、財務信息等信息全部泄露。

大東:除了在生活中大家要加強對個人隱私信息的保護意識外。大家最好多去了解一些保護隱私的手機安全設置相關的功能以及一些保護隱私安全的APP。

來源: 中科院之聲