WiFi探针如何让你的手机隐私秒变小透明丨专栏

GYhrfTba

一、手机隐私安全不太平

' d# F# {! C0 G% @, j( y
8 ]8 I; W& @) ~; v" j9 F. W  m+ ~- w小白：大东东，大东东！你有没有看今年的315晚会呀！简直太可怕啦！
4 h% O+ S  Q" a0 I- s2 X
; c4 p5 O5 I$ y
大东：你说的是WiFi探针盒子？
* d( u2 T6 [6 l% G* I- e8 o

小白：是啊，只要你打开了手机WiFi，这玩意就能获取你的手机号，你说可怕不可怕！现在这个大数据时代，处处都要使用手机号，这拿到了我的手机号，就是找到了我个人隐私的大门啊！

; N- A8 `' P3 D  b, `9 J
( t3 }1 o' q6 p. \$ w, i小白：关键是这些盒子还被放在各种人潮涌动的地方，商场、超市、便利店、写字楼，在咱用户毫不知情的情况下获取数据信息。

  S. D* C& V7 J% p& i, v6 C
+ Z! M$ v! \6 \: Z' p大东：当你在逛街、逛超市、买东西时候，手机号早就被别人拿到了。
: r. R" F. J! n/ k; Q

小白：简直是被当街扒光的赶脚。

" k6 B6 k+ K* G$ l$ D+ j9 t* U
( U# f* G7 _8 _) C8 u0 y/ V二、潘多拉盒子
& L$ O2 ~& Q8 z! ~
2 o. [! F4 T# q& @( j! Z( j6 L; b! m
小白：所以这探针盒子又是什么时候出现的新技术？好黑暗啊。
. r0 h! \, J2 P7 I7 z$ h

$ d9 e, ?; E% q* \大东：实际上WiFi探针并不是什么新玩意，七八年前在国外就已经很成熟了，只是在过去没有显示出较大的危害，所以没有产生大规模的谈论。如今它引起大家的关注，实际上是因为其结合了大数据的威力，通过关联匹配、人物画像、行为分析等技术产生一些惊人的功能。
 
! Z0 o/ T6 i6 `& b3 r/ A% n& K

WiFi探针盒子（图片来源：百度）

& a6 Y$ L9 h* c: U! z% `8 m( D& v
  o  q3 C0 T4 x! e" J( \3 _小白：别看这盒子虽小，竟然是个潘多拉魔盒。这是怎么做到的？


9 ^$ U2 O) C- _9 Z+ ~: l大东：其实它的工作流程非常简单。当你的手机无线局域网，也就是WiFi开关处于打开状态时，手机就会向周围发出寻找无线网络的信号，探针盒子发现这个信号后，就能迅速识别出用户手机的MAC地址，接着转换成IMEI号，再转换成手机号码。


小白：MAC地址？I什么号？这都是啥？

1 ?, P4 L- a- W; a9 m
7 _# b+ \1 `. q大东：手机MAC地址（Media Access Control Address）就是手机的网卡地址，换句话说，就是手机网卡的身份证号。MAC地址又称为物理地址、硬件地址，用来定义网络设备的位置，它由一串英文加数字的字符串组成，并具有全球唯一性。你可以在手机的WLAN设置里查看本机的MAC地址。


: C% D  x! h$ G6 n- r0 {小白：噢，就是手机上网证！
6 u! E. C9 V4 ^* ?/ E# v( O
! z# K" L: p" }! P
7 e8 t4 u; [' c# X( K8 a+ K大东：IMEI号是国际移动设备识别码（International Mobile Equipment Identity，IMEI），即通常所说的手机序列号、手机“串号”，用于在移动电话网络中识别每一部独立的手机等移动通信设备，相当于移动电话的身份证。


! ?' p- O# }$ ?6 {/ d小白：没想到手机也需要这么多证件啊！

/ q: n8 _- s+ d! t! `1 ^
& x) ]! b9 D; A& [2 P0 ]0 i4 Z/ ]大东：有了IMEI号，通过通信商可以查询到机主信息。
- H6 n/ y; J% D- B' ~2 l& P
2 Q$ C) i0 d! u% J1 Q  i8 o

( ^, m2 R+ L: N5 j$ E6 \

某手机信息（图片来源：必应搜索）

, u, M5 A# x# G9 u4 b
* D) \& Q2 n. M' f! P
1 F9 s: v( r# D% g& _三、隐私窃取
4 n' [: M. R8 b! ]" j' L' m

& f/ O& c( q* N' p/ v5 Y大东：探针盒子只是这场隐私窃取的开端。
" v/ z, J; I; ^5 @
& N  G" ^4 T" y! `! y4 f# [6 U
小白：我有预感魔爪将伸向我的钱包。


: W$ ?4 }  K$ f" a( `6 w  X% k9 w大东：依靠探侦盒子得到用户电话号码后，与其后台的上亿用户信息的数据库进行匹配查询，甚至能够对个人进行精准画像，之后进行营销、诈骗等一系列行为。
9 m9 u- X$ s1 ^2 B

小白：这么大的数据量，从哪儿来的？


) t# m' v: Y' Z. f5 G0 W大东：如此海量的数据主要来源于用户手机上所安装的一些软件，我们平时同意的服务条例都暗藏玄机。


7 a5 c! @! W% C小白：我知道了，权限允许按钮！
1 Y4 y# X7 S2 }! j1 w
* A) e: E* F# A. N" R0 \4 E
/ |6 S7 J+ l, K大东：没错。一旦开启了app的权限，“之后用户使用软件时所产生的这些用户数据，公司可以用作商业用途的”，这就是app公司对权限使用现状。
& f: l& F; e& ~' `( g' o0 o

  v: E( j3 o& l6 w( r3 \; V+ K" q小白：我用过的那么多app，不知道该散播出去多少个人隐私啊！

) W% ]* R8 `( v/ \
' T# X2 ]+ {& d8 Y四、后台无感知监听


小白：app权限真的难防！我甚至感觉平时和朋友聊天说起想要买手机，下次打开个购物app，我还没输入呢就开始给我推荐手机了！

) H4 _4 R! c$ ~7 Q' ]
大东：嗯，你说的这件事在技术上是有可能实现的。
9 Y, j* U) L( g/ [) ]- b; x
/ P( O+ E! Y5 G2 n5 {
! X, c0 G7 W; k+ v; W# k0 C. j- f小白：什么？
. z. Q" @  w( e0 \

: s6 u5 U& H1 P3 A; f大东：这几天，某团队对后台无感知监听在安卓环境下验证了技术的可实现性，成功在用户手机锁屏的状态下获取到用户的语音信息。

7 {/ X& }  _- K: n
$ R' A) @6 o/ f6 a* K7 T  W' i& j大东：不只是安卓系统，iOS系统也有同样的问题，只是iOS系统安全门槛更高，实现更需技术难度更大。

, o: q0 r8 |3 V( E6 x  |
. r8 k' n" ?5 _7 j小白：那我手动退出app行么？
" I% k7 H( w* |' K
( C* G$ u  W: p7 v) K( C
大东：首先大部分用户都是按home键去返回菜单和切换app，进程一直都是挂在后台进程上的，这样不是杀掉进程。即便是把app退了，被退的app还可以使用组合攻击的方式，实现被其他app唤醒组合攻击的方法。

$ N* Q, a) [3 w5 r* j9 v
4 v8 U/ e: l( K8 E' M) ~$ [小白：神操作很多啊！


大东：另外，很多手机厂商会对一些大型互联网厂商提供白名单，白名单厂商的app不需要授权，就可以获取一定的权限，这个是杀不掉的。
3 U% U6 N- M( i7 ?7 @6 D

- H% B% a& O& j( B7 j. ]% v4 ~五、防御在行动
+ v/ v% n" R7 `: w3 O8 T
, P. R; q" x# ~0 J
小白：那我们小用户就只能任人宰割了么？

7 W! g, a& h% N1 y5 L- p" n
大东：针对WiFi探针行为，实际上苹果、谷歌、微软都尝试采取了一些措施来保护用户的隐私：2014年，苹果在iOS 8中加入了一个旨在保护用户隐私的新功能“MAC地址随机化”；2016年，微软在Windows 10系统也加入了该功能，从而帮助保护用户隐私，防止基于通过设备MAC地址进行用户追踪。在Android P新版系统当中添加了此功能，但还处于实验性功能，用户可以在开发者选项当中启用。


小白：加油啊！各大厂商！

3 z0 I: G8 q2 h8 g. i7 f8 M0 H
大东：作为一个普通用户，更重要的还是隐私安全意识到加强，从自己身上斩断不良厂商伸来的黑手。
: h( W5 ^% n* ^% D2 F
4 V- Q  _7 p" C; o
9 f* U+ {) W, \; w小白：出门关闭WiFi开关，绝不连接陌生WiFi！

- X1 ~# r" m$ I& V7 q
大东：使用app也要注意。
7 \  V  h, B& T0 E$ R- ~& v
% m1 p1 N; J5 ?
小白：不要使用不正常的app，更不要在上面注册，把个人信息泄漏。当app请求操作权限的时候更要当心，轻易不要选择“永远允许”。
0 T5 ~, v; m  n, V0 x
" I; b, O# m$ _: {2 M
% ]% w+ V" W1 h3 f5 h4 _* o大东：小白总结的不错。
! n& y  P7 _8 L7 I
' T5 u/ {! x# y5 q0 C- M* ~
来源：中国科学院计算技术研究所
& Q5 x( R2 J& ^- a+ S; A9 z  q
# [* X9 j8 G; f3 J3 N) }- e8 k# x+ b温馨提示：近期，微信公众号信息流改版。每个用户可以设置 常读订阅号，这些订阅号将以大卡片的形式展示。因此，如果不想错过“中科院之声”的文章，你一定要进行以下操作：进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
7 L8 \! l" M6 k% Z8 w

; T3 H! b2 {+ e9 j
  Z  K% c  _- X3 Z0 N
: G! k5 w' V- s: g
& h' K1 i  M$ E. z
1 W1 _  k( T5 p# v" W) ?

; ^4 r' ]: `/ Y0 c  F8 o来源：http://mp.weixin.qq.com/s?src=11&timestamp=1553958005&ver=1516&signature=uSGKUT6yu2jWuZL1UmlxiirPzOsz6jUkvNi63ah0IS*rRgndkzyan49guR077Vn06S91zoEzAiuxP6qPCz0-iadgZhv0PGV0WeJPX5tcigGn*dfP57GGewTL-AedA5hy&new=1
3 r1 {- f$ X1 s1 S: V免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！