一、手機隱私安全不太平
小白:大東東,大東東!你有沒有看今年的315晚會呀!簡直太可怕啦!
大東:你說的是WiFi探針盒子?
小白:是啊,只要你打開了手機WiFi,這玩意就能獲取你的手機號,你說可怕不可怕!現在這個大數據時代,處處都要使用手機號,這拿到了我的手機號,就是找到了我個人隱私的大門啊!
小白:關鍵是這些盒子還被放在各種人潮涌動的地方,商場、超市、便利店、寫字樓,在咱用戶毫不知情的情況下獲取數據信息。
大東:當你在逛街、逛超市、買東西時候,手機號早就被別人拿到了。
小白:簡直是被當街扒光的趕腳。
二、潘多拉盒子
小白:所以這探針盒子又是什么時候出現的新技術?好黑暗啊。
大東:實際上WiFi探針并不是什么新玩意,七八年前在國外就已經很成熟了,只是在過去沒有顯示出較大的危害,所以沒有產生大規(guī)模的談論。如今它引起大家的關注,實際上是因為其結合了大數據的威力,通過關聯匹配、人物畫像、行為分析等技術產生一些驚人的功能。
WiFi探針盒子(圖片來源:百度)
小白:別看這盒子雖小,竟然是個潘多拉魔盒。這是怎么做到的?
大東:其實它的工作流程非常簡單。當你的手機無線局域網,也就是WiFi開關處于打開狀態(tài)時,手機就會向周圍發(fā)出尋找無線網絡的信號,探針盒子發(fā)現這個信號后,就能迅速識別出用戶手機的MAC地址,接著轉換成IMEI號,再轉換成手機號碼。
小白:MAC地址?I什么號?這都是啥?
大東:手機MAC地址(Media Access Control Address)就是手機的網卡地址,換句話說,就是手機網卡的身份證號。MAC地址又稱為物理地址、硬件地址,用來定義網絡設備的位置,它由一串英文加數字的字符串組成,并具有全球唯一性。你可以在手機的WLAN設置里查看本機的MAC地址。
小白:噢,就是手機上網證!
大東:IMEI號是國際移動設備識別碼(International Mobile Equipment Identity,IMEI),即通常所說的手機序列號、手機“串號”,用于在移動電話網絡中識別每一部獨立的手機等移動通信設備,相當于移動電話的身份證。
小白:沒想到手機也需要這么多證件?。?/p>
大東:有了IMEI號,通過通信商可以查詢到機主信息。
某手機信息(圖片來源:必應搜索)
三、隱私竊取
大東:探針盒子只是這場隱私竊取的開端。
小白:我有預感魔爪將伸向我的錢包。
大東:依靠探偵盒子得到用戶電話號碼后,與其后臺的上億用戶信息的數據庫進行匹配查詢,甚至能夠對個人進行精準畫像,之后進行營銷、詐騙等一系列行為。
小白:這么大的數據量,從哪兒來的?
大東:如此海量的數據主要來源于用戶手機上所安裝的一些軟件,我們平時同意的服務條例都暗藏玄機。
小白:我知道了,權限允許按鈕!
大東:沒錯。一旦開啟了app的權限,“之后用戶使用軟件時所產生的這些用戶數據,公司可以用作商業(yè)用途的”,這就是app公司對權限使用現狀。
小白:我用過的那么多app,不知道該散播出去多少個人隱私??!
四、后臺無感知監(jiān)聽
小白:app權限真的難防!我甚至感覺平時和朋友聊天說起想要買手機,下次打開個購物app,我還沒輸入呢就開始給我推薦手機了!
大東:嗯,你說的這件事在技術上是有可能實現的。
小白:什么?
大東:這幾天,某團隊對后臺無感知監(jiān)聽在安卓環(huán)境下驗證了技術的可實現性,成功在用戶手機鎖屏的狀態(tài)下獲取到用戶的語音信息。
大東:不只是安卓系統(tǒng),iOS系統(tǒng)也有同樣的問題,只是iOS系統(tǒng)安全門檻更高,實現更需技術難度更大。
小白:那我手動退出app行么?
大東:首先大部分用戶都是按home鍵去返回菜單和切換app,進程一直都是掛在后臺進程上的,這樣不是殺掉進程。即便是把app退了,被退的app還可以使用組合攻擊的方式,實現被其他app喚醒組合攻擊的方法。
小白:神操作很多??!
大東:另外,很多手機廠商會對一些大型互聯網廠商提供白名單,白名單廠商的app不需要授權,就可以獲取一定的權限,這個是殺不掉的。
五、防御在行動
小白:那我們小用戶就只能任人宰割了么?
大東:針對WiFi探針行為,實際上蘋果、谷歌、微軟都嘗試采取了一些措施來保護用戶的隱私:2014年,蘋果在iOS 8中加入了一個旨在保護用戶隱私的新功能“MAC地址隨機化”;2016年,微軟在Windows 10系統(tǒng)也加入了該功能,從而幫助保護用戶隱私,防止基于通過設備MAC地址進行用戶追蹤。在Android P新版系統(tǒng)當中添加了此功能,但還處于實驗性功能,用戶可以在開發(fā)者選項當中啟用。
小白:加油??!各大廠商!
大東:作為一個普通用戶,更重要的還是隱私安全意識到加強,從自己身上斬斷不良廠商伸來的黑手。
小白:出門關閉WiFi開關,絕不連接陌生WiFi!
大東:使用app也要注意。
小白:不要使用不正常的app,更不要在上面注冊,把個人信息泄漏。當app請求操作權限的時候更要當心,輕易不要選擇“永遠允許”。
大東:小白總結的不錯。