网秦手机安全专家邹仕洪日前告诉记者,智能手机窃听软件X卧底至今已累计感染手机近100万部。这类窃听软件利用了手机的三方通话功能,在诱骗用户安装后,每次启动时可在通话时插入一则波段,实际置于同一通话环境之中,从而在其中可以随意听取通话信息。邹仕洪称,由于X卧底成本低廉,且有多种盈利模式,尽管一再受到打击,仍然存在地下销售网络。
南开大学信息技术科学学院副教授史广顺认为,利用智能手机窃密不是个别现象,目前已经形成庞大的黑色产业。
“窃听风云”真实上演
记者在“蒙知晓大中华区官方网站”上,遇到了真正的窃密高手。记者通过QQ与“蒙知晓”工作人员张先生进行交流。张先生告诉记者,“蒙知晓”是著名窃密软件“X卧底”的升级版,服务器在国外,可以在塞班、安卓、苹果等智能手机上窃取信息,不会被任何杀毒软件发现。
见记者有所怀疑,张先生告诉记者该软件可以提供试用。记者在“官网”上下载了这个仅仅有27Kb的软件。在按照张先生发过来的教程把该软件安装到安卓手机之后,记者发现,软件列表里查不到这个软件,手机上的杀毒软件也没有任何反应。
记者随后按要求把自己的邮箱和手机号码发给了张先生。在确认软件已经安装成功之后,张先生要求记者打开手机网络连接,打几个电话、发几条短信试试。记者按其要求进行了相关操作,随后张先生要求记者登陆自己的邮箱查看窃密结果。
记者打开邮箱发现,记者手机上完整的通讯录、刚才收发的短信、记者的所在地以及刚才通话的录音都已经被传到了邮箱。有一段录音甚至是记者在打电话之前的“环境录音”,录音效果非常清晰。
张先生告诉记者,“环境录音”就是无论被窃听者是否在通话中,只要操作者向被窃听手机发送短信指令,就可以随时窃听周围的声音,而被窃听者根本收不到这条短信,也丝毫不会察觉。这意味着即使手机处于待机状态,记者身边的声音也可以随时被监听。窃密程度之高,令人毛骨悚然。
张先生告诉记者,这只是软件功能的一部分。对于不同的操作系统,该软件能窃取的内容并不相同。对于安卓手机,该软件可以窃取的内容有通话录音、环境录音、短信内容、定位信息、电话簿等;对于苹果手机,该软件除无法窃听通话录音外,以上其它内容基本能够窃取。张先生称,目前为止,世界上没有软件能窃听苹果的通话。
而对于诺基亚塞班系统,张先生称该软件不仅可以窃取以上全部内容,甚至使用手机拍摄的照片也可以立刻上传。比如手机不开GPS也可以定位,你在哪里,在跟谁说话,说了什么,拍了什么照片,马上都能知道,即使手机换了电话卡也都能继续监听。
张先生告诉记者,只要把软件安装到被窃密者的手机上,除了刷机,不可能把这个软件删除。这些窃取的信息会在有网络连接时自动传到指定邮箱;没有网络连接时自动存储,只要开启网络连接立即上传。因此除了流量会有所增加,不会有任何异常,而且就算发现了流量异常,也查不出原因。
如果不是亲身经历,记者根本无法相信,自己的智能手机,如今已经变成了别人的“千里眼和顺风耳”,而在我们的周围,又有多少千里眼和顺风耳呢?
产业巨大安全隐患丛生
中央财经大学民生经济研究中心主任李永壮认为,伴随着移动互联网的快速发展,智能手机的功能越来越广泛,作用越来越大,承载的信息量也越来越多,而相关的安全防范体系却远远没有PC那样成熟,这就为恶意软件窃取信息提供了可乘之机。
南开大学信息技术科学学院副教授史广顺告诉记者,利用智能手机窃密不是个别现象,目前已经形成了庞大的黑色产业。
史广顺认为,与窃听软件这种“小众产品”相比,无处不在的恶意软件才是智能手机信息安全真正的威胁。
北京邮电大学信息与通信工程学院副教授郑侃告诉记者,手机定位一般是靠GPS和基站定位结合进行,GPS定位精度高,但是室内无法接收信号,基站定位精度低,但是受环境影响小。由于每个基站都有自己的编号和独一无二的地理位置,通过分析手机信号,恶意软件很容易就能窃取手机的位置。
南开大学信息安全系主任贾春福告诉记者,从软件开发角度讲,由于安卓系统的开放性,窃取手机上的个人信息没有任何技术难度。目前没有相关的行业规范,规定什么信息可以读取,什么信息不能读取,读取什么信息一定需要通知用户,在这方面,完全依靠软件开发者自律。
史广顺告诉记者,智能手机用户的个人信息具有很高的商业价值。举一个简单的例子,一些修图软件、游戏软件等和地理位置毫不相关的软件,也会收集我们的地理位置信息。这些信息被后台收集起来之后,就可以用来分析智能手机用户的分布区域和活动范围,从而售卖给对这些信息有需求的商家。
除了这些窃取信息的恶意软件,许多正常软件也由于暴露了个人信息,从而产生一定的社会危害。史广顺告诉记者,微信、陌陌、街旁等基于地理位置信息进行服务的软件如今非常流行。很多年轻人使用“陌陌”和周围的陌生人搭讪聊天,使用微信查找谁在附近,由此导致不少年轻女性被不法分子侵害。
行业规范需尽快建立
天津万华律师事务所律师李琳告诉记者,恶意软件收集、窃取用户信息的行为已经严重侵犯了公民的隐私权,亟须相关部门依法予以严厉打击。
史广顺认为,治理恶意软件,首先要治理行业不规范的现状。对于品类繁多的应用商城,相关部门应加强监管,予以规范,应用商城经营者也应加强自律,严格审查各类软件。同时,对于软件读取个人信息的行为,也应加强规范。与地理位置无关的软件,不可以捆绑读取位置信息的条件;与地理位置有关的软件,开启读取地理位置信息的服务需经用户授权,用户具有不开启该服务的选择权;严厉打击不经用户授权,读取用户位置的行为。严格限制软件读取用户通讯录、通话记录、短信记录等私密信息;对于不经用户同意,后台窃取用户通话录音、环境录音的违法行为,要依法严厉打击。
贾春福认为,除了更加严格的监管,用户加强防范意识也是必不可少的。用户应尽量在正规渠道下载软件,不要因好奇等原因下载各类稀奇古怪的软件,更不要随意刷机。一旦发现某软件有后台上传信息的迹象,一定要将该软件及时删除。