细思极恐!用户定位泄露值得关注丨大东话安全
2022/4/23 8:00:00 中科院之声

     一、 小白剧场

     小白:大东东,感觉我最近像是被房产中介盯上了一样,总是接到他们的电话。

     大东:呦呦呦,我的白最近都在看房子啦。

     小白:那倒没有,但是很奇怪唉!

     大东:有什么奇怪的?

     小白:这些房产中介介绍的房子都在我单位或者家附近,他们怎么知道我在哪里呀?

     大东:那你可要小心啊,你的位置被泄露了。

     二、 话说事件

     小白:啊?这?

     大东:小白,要关心实事。

     小白:此话怎讲?

    

     谷歌(图片来自网络)

     大东:据外国媒体曝光,科技巨头谷歌拥有类似技术,可以通过手机信号等方式快速确定目标所在的位置。有时甚至不需要手机信号,就可以确定任意时间内安卓设备所在的地理位置。

     小白:这技术还挺“智能”哈!

     大东:The Verge报道,据联邦法院2月5日解封的一份文件所示,FBI(美国联邦调查局)向谷歌公司发出了“地理围栏搜查令”,用来调查在西雅图发生的一场纵火未遂事件。

     小白:什么是地理围栏呢?大东可以给我讲讲吗?

     大东:当然可以,所谓“地理围栏”,指的是谷歌安卓系统设备用户在特定时间内,是否曾到过特定地区的资料。

     小白:真可怕,那么App获取用户权限的原因是什么呢?

     大东:在2021年1月份,小米公布了一组MIUI系统上采集的数据,是各种App获取各类权限的次数。

     小白:请求最多的数据是什么呢?

     大东:其中,最夸张的是定位数据,平均每部小米手机每天会被各类App定位3691次,也就是说,平均每隔23秒就被定位一次。排在第二的是相册的访问权,平均每个手机每天被访问2432次。而App在后台尝试悄悄启动,每天会遇到783次。另外,还有大约40万个App可以读取用户的剪切板。

     小白:App要正常工作,当然要拿到一些权限啦,比如直播软件必须得有使用摄像头、使用麦克风的权限,点外卖和地图导航必须得有定位的权限。

     大东:但是现在市面上有很多手机APP,安装之初会申请很多和自己功能无关的权限,什么听歌软件申请定位啊,书城软件申请通信录啊,甚至手电筒软件还有申请这些加相册权限,就让用户很无语。现在这种“定位信息+通信录+相册+收集使用设备标识信息”组合权限申请几乎随处可见,肯定是让大家难以接受了。

     小白:还有其他数据泄露相关事件可以介绍一下吗?

     大东:比如Facebook数据泄露事件。2018年,一家第三方公司通过一个应用程序收集了5000万Facebook用户的个人信息,由于5000万的用户数据接近Facebook美国活跃用户总数的三分之一,美国选民人数的四分之一,波及的范围非常大。后来,5000万用户数量上升至8700万。

     小白:之后呢?

     大东:同年9月,Facebook遭到了黑客攻击,黑客利用Facebook的一个系统安全漏洞,成功盗取了3000万用户信息。

     小白:好多啊!

     大东:这3000万用户中,根据官方公布的数据,大概有1400万用户的敏感信息被泄露。

     小白:这是至少一半人啊!我真不知道该为这一半人悲伤还是为另外一半人庆幸。

     大东:这些敏感信息包括:姓名、联系方式、搜索记录、登陆位置等。

     小白:大东东,你知道这次事件更详细的一点技术信息吗?

     大东:知道一点,根据公开的信息,这次是因为照片API接口中的一个漏洞。

     小白:哇偶,这好像也算供应链安全领域了吧?

     大东:算的,小白说得不错。这个漏洞使得私密的没有被用户共享的照片也被“共享”了出来,因此“方便”了黑客。还没完,3个月后的12月,Facebook又被黑客“偷塔”了。

     小白:这才三个月?

     大东:是啊,正是12月14日,这次还是Facebook软件漏洞。

     小白:让我猜猜这次是多少人,不会也是3000万吧?

     大东:还真不是,这次更多,6800万用户的私密信息被泄露了。

     小白:太难了!

     三、 大话始末

     小白:数据泄露真是太可恶了。那么手机定位是如何泄露个人信息的呢?

     大东:原因有很多种,小白先来说说吧。

     小白:应用程序本身不完善,其中最突出的就是Android(安卓)系统。

     大东:有关研究显示,Android系统已经成为恶意软件的重点感染对象,国内市场中近六成的Android应用程序有问题,约有四分之一的安卓用户隐私遭到泄露威胁。

     小白:这原因是什么呢?

     大东:大部分专家都有一个比较一致的观点,那就是安卓系统的开源属性。

     小白:我只知道开源属性是很方便技术开发人员进行开发和技术研究的,莫非也“方便”了黑客进行“开发”?

     大东:猜对了!正是因为安卓的开源,方便了技术人员进行软件升级换代的同时,也方便了黑客对软件进行恶意修改。

     小白:说得好对啊!

     大东:同时,软件监管不力也是一种原因。

     小白:嗯嗯,就我身边来说,最明显的就是软件下载途径的问题!目前来讲软件应用商城下载还算安全,可是什么网页下载,甚至扫描下载,就很容易下载到恶意软件。

     大东:这是很好的例子。而且现在软件的二次开发行为本身也很混乱,就很容易造成威胁隐患。还有就是刚才提到过的权限申请的问题。

     小白:对的对的。我想还有一个问题,如果我们未能妥善处理旧手机,也会造成信息泄露。

     大东:没错。对于不再使用的手机,如果只是采取了简单的删除、格式化等方式。那就危险了,这些方法可太容易被黑客破解了。

     小白:黑客也会入侵窃密的。

     大东:手机联网时,对于黑客来说和计算机联网几乎没有区别,黑客能对你的电脑做的事,对手机都能做。

     小白:是的!千万不要有手机比电脑安全的错觉。

     大东:恶意软件潜伏在手机在,可以对手机进行非法启动、联网、发短信等操作。此时,用户的手机在黑客就是透明的,所有的私密信息都一览无余。黑客还能够监听通话内容。木马程序在录制完通话过程后,就可以直接把录音上传到黑客的服务器上,没有丝毫阻拦。

    

     数据泄露(图片来自网络)

     小白:黑客的入侵软件是怎样植入被窃听人的手机中的呢?

     大东:一是类似钓鱼邮件的钓鱼彩信,用户点击钓鱼彩信就会自动下载恶意软件,并借此安装。二是伪装,网页上的非正规渠道的下载链接经常能下载伪装成正常应用软件的木马。

     小白:还有其他方法吗?

     大东:三是“直接送红包”了。就是直接把装了恶意软件的手机送给你,你要不要?

     小白:天哪,以后拒绝类似“红包”了。

     四、 小白内心说

     小白:大东,应该如何有效预防信息泄露呢?

     大东:日常应该注意到的事情就有很多,比如不要随意丢弃含有个人信息的票据:像火车票、快递单、银行对账单等这些票据其实包含了很多的重要个人信息,如果这些票据一旦落入不法分子之手,这些不法分子很有可能依靠这些实行诈骗等不法活动。

     大东:注册软件呢?

     小白:注册各类应用、网站要尽量赋予最少的信息和权限:无论是网络购物,还是虚拟社区注册,或是在社交工具上发布信息,都会留下个人信息,填写时一定要谨慎小心。我们应该秉持信息最小化原则,如无必要不要将所有信息都填上,仅填一些必要信息就好了。

     大东:同时还要注意不要使用不正规的招聘网站或软件。

     小白:此话怎讲?

     大东:我们的个人简历中往往是填写有详细的个人信息的,这些个人信息一旦被泄露出去,后果不堪设想。所以大家平常找工作时尽量使用一些比较正规的招聘网站和软件,不找工作时及时去掉自己的简历和个人信息。

     小白:大东,还有吗?

     大东:尽量不要使用危险的公共WiFi。

    

     公共Wifi(图片来自网络)

     小白:确实。公共WiFi容易受到黑客攻击,一旦使用了那些遭到黑客攻击的公共WiFi平台,那您的上网数据可就危险了,因为你的上网信息将极有可能会被黑客监视,导致你的重要密码、数据、姓名、性别、地址、财务信息等信息全部泄露。

     大东:除了在生活中大家要加强对个人隐私信息的保护意识外。大家最好多去了解一些保护隐私的手机安全设置相关的功能以及一些保护隐私安全的APP。

     参考资料:

     1. 勒索软件防范指南 https://www.cert.org.cn/publish/main/8/2021/20210723084543714582413/20210723084543714582413_.html

     2. 勒索软件 https://baike.baidu.com/item/%E5%8B%92%E7%B4%A2%E8%BD%AF%E4%BB%B6/5243210

     3. 细思极恐!谷歌被曝对外提供特殊服务,可随时查看安卓用户定位https://mp.weixin.qq.com/s?__biz=Mzg3MjI1MDU4OA==&mid=2247499097&idx=1&sn=1b450ab754d0c0480ddf1883aebe3e5f&chksm=cef090eaf98719fc9a19e6547771fa1a11e11206d9e3d017e7f7987c5791854d86f72b7d62c1&scene=126&&sessionid=1644905788#rd

     来源:中国科学院信息工程研究所

    

     温馨提示:近期,微信公众号信息流改版。每个用户可以设置 常读订阅号,这些订阅号将以大卡片的形式展示。因此,如果不想错过“中科院之声”的文章,你一定要进行以下操作:进入“中科院之声”公众号 → 点击右上角的 ··· 菜单 → 选择「设为星标」

    

    

    源网页  http://weixin.100md.com
返回 中科院之声 返回首页 返回百拇医药