|
|
一、手机隐私安全不太平
* l) g- {4 Q; l7 H5 y$ b% t$ n( @: s5 E
* h! S, q5 h: k' n
小白:大东东,大东东!你有没有看今年的315晚会呀!简直太可怕啦!( d0 \1 x: S$ K* h
" \& e9 j6 p" Q# S! [$ Q
8 j( u" ?0 R4 J* W大东:你说的是WiFi探针盒子?
" m5 J7 ~1 F+ a e, ]6 m4 j. B/ P/ _3 ]- e$ u1 T+ l' R- F
9 U! c9 [& m% v4 A9 A小白:是啊,只要你打开了手机WiFi,这玩意就能获取你的手机号,你说可怕不可怕!现在这个大数据时代,处处都要使用手机号,这拿到了我的手机号,就是找到了我个人隐私的大门啊!
5 L$ `. ]' w6 y+ {
% f! X. }0 A" S1 x5 ~: |% `7 j) l2 x
7 P4 u$ E/ D0 s1 C小白:关键是这些盒子还被放在各种人潮涌动的地方,商场、超市、便利店、写字楼,在咱用户毫不知情的情况下获取数据信息。 f+ v l* j& O* B7 x; S, H% k
( \( c4 z3 a, e4 h2 A6 z+ M
; @# Q; y! _; m6 ?. Y+ Z: @
大东:当你在逛街、逛超市、买东西时候,手机号早就被别人拿到了。
0 R* U D0 a1 z2 T
2 T, D& A) |! v
* H u7 d; ]" ]. }+ S; z0 m! q4 y小白:简直是被当街扒光的赶脚。
+ \) {3 k) P. V5 s G% n: q; v5 S/ \4 C
; P: t8 {; B9 T1 L& e4 G0 w二、潘多拉盒子7 J# x* ?# l$ E# O. {% p! v9 \
0 w) p0 _& X6 Y5 H
/ g4 Q/ }9 Z- t. @小白:所以这探针盒子又是什么时候出现的新技术?好黑暗啊。
, y2 `9 W6 F2 X3 h5 v6 r i* g3 I, K+ `+ V
6 w4 @( M+ q: R# C, q1 N" r大东:实际上WiFi探针并不是什么新玩意,七八年前在国外就已经很成熟了,只是在过去没有显示出较大的危害,所以没有产生大规模的谈论。如今它引起大家的关注,实际上是因为其结合了大数据的威力,通过关联匹配、人物画像、行为分析等技术产生一些惊人的功能。: o8 ^* f: L9 R& \
2 z3 Q4 i$ i' c3 v6 m
: Q$ t1 o/ R2 a. f- A5 \8 S! MWiFi探针盒子(图片来源:百度)
3 W5 H& G& d6 z, a! D7 t+ ?5 E- l9 j8 N& E; G) P ?
0 v4 I' ]5 T3 F) c% M9 a小白:别看这盒子虽小,竟然是个潘多拉魔盒。这是怎么做到的?
' M9 L) C7 }2 J+ q1 B* e: b0 t; b7 R/ A5 D: E2 v. ?& E/ q; h
& y, Q; K2 P' L
大东:其实它的工作流程非常简单。当你的手机无线局域网,也就是WiFi开关处于打开状态时,手机就会向周围发出寻找无线网络的信号,探针盒子发现这个信号后,就能迅速识别出用户手机的MAC地址,接着转换成IMEI号,再转换成手机号码。4 _! f# Q6 p: k4 X: e0 `2 c3 ?
! I( X! w9 {7 [$ C# H- ]; x+ O+ c( W$ T! K
小白:MAC地址?I什么号?这都是啥?1 H$ z) a a- ]
( t" ?, \9 Y$ e) D# O- W6 e& e ^: Z0 i& e- m5 \+ B
大东:手机MAC地址(Media Access Control Address)就是手机的网卡地址,换句话说,就是手机网卡的身份证号。MAC地址又称为物理地址、硬件地址,用来定义网络设备的位置,它由一串英文加数字的字符串组成,并具有全球唯一性。你可以在手机的WLAN设置里查看本机的MAC地址。9 F S6 U; B3 {( P8 {% s
5 ^# P- P1 Y: ]$ w
! u( A7 _4 R' m) ?' V
小白:噢,就是手机上网证!
5 ~( Y& X( G$ v1 }8 p; F0 ^
6 Y. l; a& }7 [: F+ ^9 x( W- @ ]3 L6 r
大东:IMEI号是国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备,相当于移动电话的身份证。
# ?7 |( R% K# s3 Z1 d, U3 j! ?& u- X: B$ s
3 M# _1 ?/ u% L0 k; R
小白:没想到手机也需要这么多证件啊!' F1 U; h8 V% q7 O
& |4 K ^0 y$ E. t8 [& u) }4 t# l0 |; T3 T
大东:有了IMEI号,通过通信商可以查询到机主信息。8 g$ O3 N7 I( Y4 V$ X, d
. q' A L- Z& I8 _' r
+ d, z; i9 J7 Z, q7 o$ X& h6 A
9 N# Y; j! [+ D. @某手机信息(图片来源:必应搜索)
7 _1 t( x# P1 E* k% W" R1 q
0 ^1 o0 _" }/ N
: ~9 }1 ^* G% z2 r- ]/ a三、隐私窃取) X$ C+ q$ ^) R, B3 O) [
6 E8 [ M! Y0 @: A: X
- V1 |3 p( @- E& {6 k ]' T
大东:探针盒子只是这场隐私窃取的开端。" k! J9 f6 g. \7 x3 |% {: G
1 j; F5 Z& {% k2 E4 s
. |" m4 ~* T% ]3 s小白:我有预感魔爪将伸向我的钱包。
% K" `: I8 L; D) b0 D* Y
! z o0 N" C% S% b; {# q; S9 Y/ s4 z8 r: b) g
大东:依靠探侦盒子得到用户电话号码后,与其后台的上亿用户信息的数据库进行匹配查询,甚至能够对个人进行精准画像,之后进行营销、诈骗等一系列行为。
1 R9 N) `- O" U) X% ?2 J( m& a/ |9 W: g& C" P3 d4 V
! Z$ s0 I4 _+ R8 V小白:这么大的数据量,从哪儿来的?
3 q' W8 v5 C Q. M
8 ]! b; y. ]- u3 C4 |5 ?1 I9 R! ~& Y) \8 n* a
大东:如此海量的数据主要来源于用户手机上所安装的一些软件,我们平时同意的服务条例都暗藏玄机。
& P+ F9 d) ?% T. i) e
1 Q" ?7 T- p( z" `+ l. T% l6 h! H, d; l! [: H' X% g% {( i
小白:我知道了,权限允许按钮!
4 k& i; O* Q1 V8 r# [8 z; o
9 g5 `( s- e- e& m# E, A! J# @0 \: W0 p+ N7 a+ y% F
大东:没错。一旦开启了app的权限,“之后用户使用软件时所产生的这些用户数据,公司可以用作商业用途的”,这就是app公司对权限使用现状。3 }2 z+ g5 B" ]& N1 ~ Y
- _! E- L. O0 o! n5 o( o5 l
4 s+ S% _& R7 p2 `- ] d小白:我用过的那么多app,不知道该散播出去多少个人隐私啊!
9 X9 Y& T6 S4 [' |6 j3 W2 m" z; H! D. m' ~( Y$ v9 j, b: S
. ?5 Y# `5 K/ f
四、后台无感知监听
1 ?; l% ]* F4 y; H' f5 o1 p7 g5 R. P8 E
/ V6 v1 F* v. d+ T0 [! f: P! l, g
小白:app权限真的难防!我甚至感觉平时和朋友聊天说起想要买手机,下次打开个购物app,我还没输入呢就开始给我推荐手机了!' ]/ S0 s! t+ E+ h' C+ n
9 n! L* Z3 E, q# j; _% y
5 G3 j# z' k4 U大东:嗯,你说的这件事在技术上是有可能实现的。
& `, ?6 i' P* C$ i" y. A) o n; x
8 k$ J% ]+ j# O) d/ @7 [
小白:什么?- i7 Q6 j4 q5 H# A' y4 F
. {4 |( U2 i' K/ g" n, K
( d* d; D, m0 s& v; `大东:这几天,某团队对后台无感知监听在安卓环境下验证了技术的可实现性,成功在用户手机锁屏的状态下获取到用户的语音信息。' M, P9 p' ]2 t6 [# P0 U- e7 v# H
7 X" Q* F9 \( R9 Y! A F# g
; ?. q% y; X6 X8 V0 B- `
大东:不只是安卓系统,iOS系统也有同样的问题,只是iOS系统安全门槛更高,实现更需技术难度更大。
" R9 t/ }, S# `$ R3 C7 L
) v9 `" G* x& Z6 R* L ^7 k/ K* i; ~0 d
小白:那我手动退出app行么?$ b- C: D& O, @
" x, c" K6 g8 [, c R
+ \. A$ l0 ?, m8 r0 G" Y! |
大东:首先大部分用户都是按home键去返回菜单和切换app,进程一直都是挂在后台进程上的,这样不是杀掉进程。即便是把app退了,被退的app还可以使用组合攻击的方式,实现被其他app唤醒组合攻击的方法。
& n. K2 Q E$ x, L3 O8 Z# d
: g4 X$ j4 ~6 r; d' R; M' h
4 N+ B9 i; z* t; i8 R小白:神操作很多啊!
% a4 y: @8 T5 x6 F" t$ Z. `+ J" k0 f" I2 |
5 l" M6 k. n$ w/ `- s) Y6 z! u5 B大东:另外,很多手机厂商会对一些大型互联网厂商提供白名单,白名单厂商的app不需要授权,就可以获取一定的权限,这个是杀不掉的。9 v+ }0 j3 R2 C `9 f1 P
G. W6 a, R: ?: Z7 t1 V- ~! l; y9 F7 V& @. n
五、防御在行动
+ q3 u, d c D9 S: m8 K- }& F2 l* D' u- J
, v3 @+ u& g; |8 y小白:那我们小用户就只能任人宰割了么?1 V5 h: @: [( v% @/ }: s
@1 U' m: q$ ?8 U9 i [
9 p$ ?5 }+ F* a
大东:针对WiFi探针行为,实际上苹果、谷歌、微软都尝试采取了一些措施来保护用户的隐私:2014年,苹果在iOS 8中加入了一个旨在保护用户隐私的新功能“MAC地址随机化”;2016年,微软在Windows 10系统也加入了该功能,从而帮助保护用户隐私,防止基于通过设备MAC地址进行用户追踪。在Android P新版系统当中添加了此功能,但还处于实验性功能,用户可以在开发者选项当中启用。
: G0 N! @) y2 \& M
, y ^7 j" C) w. ^5 `' f! d
" T6 m }! V6 z' k8 |$ g0 M. M3 N小白:加油啊!各大厂商!
0 N! y" {. n Z |- M
3 @2 Y. R9 b! m0 [
P! `8 ^6 [+ Q& s/ J大东:作为一个普通用户,更重要的还是隐私安全意识到加强,从自己身上斩断不良厂商伸来的黑手。8 ?4 k4 c0 U9 u. G. ^( w
. d6 v( t, U) [* ?5 m0 H1 u2 x! Z
; g0 G+ ]5 u' @2 j- i' z
小白:出门关闭WiFi开关,绝不连接陌生WiFi!8 ~. k' w$ c0 k1 [
# x* b0 U# Z! M( D
( ~6 V* ]0 d4 ]. }+ f& |
大东:使用app也要注意。
# [4 i7 \/ j. I* x7 ?5 f3 S/ h) r' s/ S% w3 O) W/ X" G0 ]! j5 h2 L
4 d+ J" Q6 F, f, [
小白:不要使用不正常的app,更不要在上面注册,把个人信息泄漏。当app请求操作权限的时候更要当心,轻易不要选择“永远允许”。& \# x& S, i. u
( b+ I' i% m0 N+ s1 v. ?* ^8 g" X1 E) k6 _1 R1 E
大东:小白总结的不错。
h% k6 D& S" e& @1 F; U: k" F9 S! Z& G1 f3 U5 n- T
+ }7 a9 i9 i5 P" Q6 r- o来源:中国科学院计算技术研究所1 k$ B8 {6 ]" v% h S8 [; r( V9 I
; m1 S7 @% e! s+ F7 e! N1 d' l
温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」
9 y# K' ^7 @: ~+ o6 Q
% p' R" Z5 B2 R- y
3 b6 o1 J' z" E/ G9 l/ v& J) T: _& t) o1 P3 y) u
 / h) v9 f6 ?* m" F
: k7 ?! g' ~" C# F/ }$ L) k# y
6 }# ^1 f- f3 J1 a" c) K8 y+ H1 `- l& U. Y
" _9 C7 o; r! I, A: L4 z" O4 K. {
8 o( K2 L* E) {1 D8 ]来源:http://mp.weixin.qq.com/s?src=11×tamp=1553958005&ver=1516&signature=uSGKUT6yu2jWuZL1UmlxiirPzOsz6jUkvNi63ah0IS*rRgndkzyan49guR077Vn06S91zoEzAiuxP6qPCz0-iadgZhv0PGV0WeJPX5tcigGn*dfP57GGewTL-AedA5hy&new=1
7 k4 u/ w& e+ h _5 A免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-3-31 03:19:43
