警惕手機(jī)中的安全漏洞

甘錚

前，隨著智能手機(jī)的普及，手機(jī)

成為了人們生活中最為私密的一種工具，它不但承擔(dān)著基本的話務(wù)通訊、短信收發(fā)功能，還具備網(wǎng)絡(luò)交流、網(wǎng)絡(luò)商品購買、移動(dòng)辦公、身份信息驗(yàn)證以及定位當(dāng)前用戶地理位置等與私人行為密切相關(guān)的功能。與此同時(shí)，或許出于商業(yè)或其他某種目的，幾乎所有的應(yīng)用廠商都試圖在收集捕捉著每一個(gè)用戶的行為和信息，一旦對用戶的行為捕捉分析成功，那么一個(gè)人的社會(huì)關(guān)系、通訊錄、搜索記錄、下載過的軟件、購買過的商品、人的喜好、互動(dòng)短信等手機(jī)上的過往歷史都將不再是隱私。那么，也許不久的將來，當(dāng)你攜帶著你的手機(jī)，走進(jìn)某個(gè)商家的一瞬間，你的一切個(gè)人信息早已被該商家分析得一清二楚。

智能手機(jī)像一把雙刃劍，在帶來便利的同時(shí)也存在著個(gè)人隱私泄露的風(fēng)險(xiǎn)，一旦使用不慎，我們將在當(dāng)前移動(dòng)互聯(lián)網(wǎng)的大數(shù)據(jù)時(shí)代變得“一絲不掛”。

操作系統(tǒng)漏洞廣

據(jù)調(diào)查，蘋果公司的iOS4版本和安卓2.3版本的手機(jī)操作系統(tǒng)均曾經(jīng)爆出過安全漏洞。該漏洞導(dǎo)致即使我們關(guān)閉了手機(jī)的地理位置定位功能，仍允許安裝有該操作系統(tǒng)的手機(jī)，以秒為單位收集用戶所在具體地理位置的坐標(biāo)信息，并結(jié)合時(shí)間的標(biāo)記，將其儲(chǔ)存在一個(gè)未經(jīng)加密處理的文件夾內(nèi)。隨著用戶將手機(jī)接入電腦，執(zhí)行電腦中的“同步數(shù)據(jù)”等操作，這些信息也同時(shí)被復(fù)制到個(gè)人電腦中。這就意味著，只要拿到用戶的手機(jī)、電腦或相關(guān)移動(dòng)網(wǎng)絡(luò)接入設(shè)備的遠(yuǎn)程管理權(quán)限，那么任何第三方，都可以通過該漏洞獲得該用戶的行蹤信息。

備份應(yīng)用漏洞深

目前，智能手機(jī)的“云同步”備份功能給手機(jī)終端用戶帶來了極大的便利，它能實(shí)現(xiàn)不同手機(jī)間通訊錄、通訊記錄、往來短信以及一些個(gè)人文檔文件的遠(yuǎn)超或異地同步，較好地解決了因用戶更換手機(jī)、丟失手機(jī)或手機(jī)損壞而造成重要信息丟失等災(zāi)難性問題。

但是，這些幫助手機(jī)系統(tǒng)進(jìn)行備份的應(yīng)用在幫助手機(jī)用戶進(jìn)行制定數(shù)據(jù)備份的同時(shí)，不單只獲得手機(jī)用戶備份的內(nèi)容，在備份應(yīng)用運(yùn)行的后臺(tái)也不斷地在收集手機(jī)用戶瀏覽過網(wǎng)頁的信息、存儲(chǔ)的文檔、用戶登錄的驗(yàn)證信息、正在使用手機(jī)特有的序列號(hào)，以及一些其他更為隱私的信息。商家通過對這些信息的收集和整理，就有可能分析得出手機(jī)使用者的身份、興趣愛好、工作職業(yè)等頗有價(jià)值的個(gè)人檔案以及用戶存儲(chǔ)于手機(jī)中涉及單位內(nèi)部事務(wù)的敏感性信息，不單為商家的商務(wù)推廣提供便利，催生出在網(wǎng)絡(luò)商務(wù)市場中一種個(gè)人信息的買賣鏈條，也會(huì)對國家、社會(huì)造成一定程度的危害。

其他應(yīng)用漏洞多

現(xiàn)今，針對網(wǎng)絡(luò)商務(wù)和敏感信息竊取的需求都已經(jīng)具備了很強(qiáng)的針對性。上網(wǎng)習(xí)慣、愛好、審美情趣和文檔類信息等一些個(gè)人信息和單位資料，對廣告業(yè)、網(wǎng)絡(luò)搜索引擎服務(wù)商、商品銷售公司和一些信息資源收集公司等都頗具價(jià)值。網(wǎng)絡(luò)廣告服務(wù)商和信息資源收集公司尤其青睞這類信息。他們設(shè)有專門的服務(wù)器，用于收集和整理通過手機(jī)應(yīng)用程序發(fā)送來的如通話記錄、往來短信、手機(jī)內(nèi)部的通訊錄、手機(jī)存儲(chǔ)的圖片文檔和網(wǎng)絡(luò)搜索瀏覽記錄等數(shù)據(jù)。根據(jù)分析整理的結(jié)果，明確定位，向手機(jī)終端發(fā)送業(yè)務(wù)廣告，或者為廣告業(yè)主和各類情報(bào)需求方等充當(dāng)中介，最終使企業(yè)和相關(guān)情報(bào)需求方在數(shù)以億計(jì)的手機(jī)使用消費(fèi)群體中精確定位潛在目標(biāo)群體。

據(jù)相關(guān)手機(jī)安全公司調(diào)查顯示：20%的安卓手機(jī)應(yīng)用程序允許第三方獲得有關(guān)機(jī)主的敏感或私密信息。這意味著，除了應(yīng)用程序供應(yīng)商以外，其他公司也能夠通過自行開發(fā)的軟件獲悉智能手機(jī)機(jī)主隱私。該調(diào)查還發(fā)現(xiàn)，在手機(jī)機(jī)主不知情的情況下，5%的應(yīng)用程序會(huì)自行撥打電話，2%的應(yīng)用程序會(huì)向特定號(hào)碼發(fā)送付費(fèi)短信。由此可見，手機(jī)應(yīng)用目前已經(jīng)成為了非法盈利和信息獲取插件植入的重災(zāi)區(qū)，許多手機(jī)應(yīng)用開發(fā)商也一直持續(xù)進(jìn)行手機(jī)終端存儲(chǔ)信息最大化的獲取方式的探索。更有甚者，相關(guān)的開發(fā)商還會(huì)與相關(guān)廣告的商務(wù)平臺(tái)和信息資源收集公司簽署定向植入插件的開發(fā)協(xié)議，由此作為實(shí)現(xiàn)自身公司快速盈利的手段，這也是當(dāng)前在手機(jī)應(yīng)用產(chǎn)業(yè)中無人監(jiān)管環(huán)境下，手機(jī)應(yīng)用被植入信息獲取插件最重要的原因。

隨著4G時(shí)代的來臨，高速的移動(dòng)帶寬帶來的將是更為豐富的移動(dòng)應(yīng)用，移動(dòng)網(wǎng)絡(luò)用戶又將出現(xiàn)井噴式的增長。手機(jī)等移動(dòng)終端在給我們的生活、工作帶來更多便利的同時(shí)，我們更應(yīng)加強(qiáng)自我保護(hù)意識(shí)，時(shí)刻警惕并管理好手機(jī)等移動(dòng)終端中相關(guān)應(yīng)用和存儲(chǔ)的敏感信息，讓手機(jī)為我們所用，而不是我們?yōu)樗谩?/p>

（作者單位：廣西壯族自治區(qū)人民政府辦公廳電子政務(wù)中心）endprint