谁动了你的手机？让我们谈谈手机信息安全

　　在小说里，在电影电视剧里，我们见过很多因为被人出卖引发的悲剧。

　　这些悲剧造成的损失各种各样，有物质方面的，有精神方面的，也有物质和精神双双惨遭蹂躏，让男主泪洒当场的大悲剧。

　　不过，很狗血的是，各式各样的悲剧却总有一个相同的桥段：

　　出卖男主的，往往是最受他信任的那一个。

　　不要有侥幸心理，不要天真地认为被别人出卖这样的倒霉情况与你无缘，现在，就在你读这段话的时候，与你朝夕相处亲密无间的手机，说不定就正在出卖你……

　　毫无疑问，对于你花钱购买的手机，你当然拥有所有权和使用权。你可以自己决定什么时候开机，什么时候关机；或者要不要用它打电话，接电话；或者用不用它发短信、上网、拍照；甚至可以卖了它，或者把它摔个稀烂…

　　所以，看起来，你是Boss。

　　不过很遗憾，这只是看起来而已。其他人，或者公司，或者机构，其实也可以对你的手机发号施令。而有些讽刺的是，作为主人的你，却往往根本不知道手机和它们都偷偷干了些什么。

　　2011年，因窃听手机信息来获取内幕新闻的“窃听门”曝光，让有着168年历史、以爆料和八卦闻名的英国《世界新闻报》关门大吉。前段时间由美国中情局前职员斯诺登爆料的“棱镜门”也同样让大众哗然，从2007年起，美国情报机构一直在九家美国互联网公司（包括微软、雅虎、谷歌、苹果等）中进行电子监听工作，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。

　　这两大事件的共通之处在于：在用户毫不知情的情况下，对用户的通话信息、即时消息、照片、视频等隐私内容进行攫取。也就是说，即使你很小心地使用手机，也依然存在个人隐私泄露的问题。事实上，对整个手机泄密问题来说，已经曝光的事件只是冰山一角而已。而对大多数普通手机用户耒说，相比这些来自上游机构的威胁，潜伏在手机内部的木马病毒和恶意软件，它们更值得警惕。

　　木马病毒和恶意软件

　　以前的木马病毒总是跟PC联系在一起，而现在，智能手机成为了新的宿主。它们的主要功能也从之前的大肆破坏硬件或者系统，变成了“资费消耗”或者“窃取隐私”。用户有时在新安装几个APP应用之后，就突然出现网络流量不足或者资费欠费的情况，这很有可能是在安装APP应用时，让木马病毒有了可乘之机。曾经造成了恶劣影响的“X卧底”则是一款窃听木马软件，被暗中安装后不会启动任何图标，也不会给用户任何提示，一切监听行为都在后台自动完成。当用户通话时，木马会自动监听并录音保存，同时读取用户的通话记录、短信内容等；通话完毕后，木马启动上传程序，将通话录音等上传至不法分子搭建的服务器上。

　　更让人担忧的是，木马病毒在智能手机上肆虐的情况有愈演愈烈的趋势，一些社交平台已经成为木马病毒的重灾区。通过“伪装好友”及“假装购物”之类的伎俩，操控木马病毒的不法分子已经对很多手机用户进行了欺诈。有消息称，今年以来发现的新木马病毒几乎全部是手机木马。腾讯移动安全实验室发布的《2013年上半年手机安全报告》显示，截至目前的手机病毒包已经超过2012年的172倍，今年上半年感染用户最多的十大手机病毒感染用户总量达到796.4万。系统必备软件、手机游戏、旅游购物、社交、电商类软件成为手机病毒热衷打包植入的重点对象，其中具备隐私窃取类特征的病毒就占了40%。虽然相比PC界的木马病毒，智能手机的木马病毒还未成规模，但是由于智能手机如今仍然处于高速成长期，手机病毒很可能会迅速变得越来越复杂。

　　预先植入了木马病毒的恶意软件，也是目前智能手机面临的重大威胁。据统计，今年上半年手机恶意软件同比增长幅度将近200%。网秦发布的今年上半年手机安全报告中称，2013年上半年共查杀到手机恶意软件51084款，同比增长18g%，感染手机2102万部，同比增长了63.8%。这些恶意软件不但存在恶意扣费、远程控制、隐私窃取、恶意传播、资费消耗等问题，而且更具有迷惑性。它们往往采用与常见热门软件相似的名字和图标，因此更容易造成用户的损失。事实上，国家网络信息安全研究所的《2013年第二季度中国移动互联网应用安全检测与分析报告>十大恶意应用排行榜中，手电筒、3D梦幻永族馆、鳄鱼爱洗澡、一键ROOT、极品飞车热力追踪等都是名声在外，但各种山寨恶意版本已经喧宾夺主，很难找到原有正规版本的代表。

　　过度授权的正规软件

　　“愤怒的小乌”要求短消息读取和发送的权限，“水果忍者”会将你的电话号码泄露给广告商，“航班管家”需要读取你的通讯录…．-在智能手机和移动互联网普及的今天，当你安装这些热门应用软件时，你是否会留意安装前的授权确认？

　　智能手机采用的是基于权限的安全管理机制，例如安卓系统就采用了约130个权限进行系统资源管控，其中就有打开手机麦克风或摄像头，收集短消息、邮件、账号信息、通讯录、通话记录以及地I理位置等信息。有调查显示，市场上超过一半的APP应用要求访问通讯录、GPS、设备信息、感应器，但事实上大多数时候这些信息并不是它们所必须的，并且在请求用户授权的时候采取了模糊的描述，或者是隐藏在一个超干字用户协议的角落。就这样，大量用户的隐私数据就偷偷被上传到开发者数据库里，很多人都在心照不宣做着掩耳盗铃的勾当。DCCI互联网数据中心发布《2013移动应用隐私安全测评报告》指出，从中国市场下载量前1400位APP评测数据来看，有61%短信记录读取、73%通话记录读驭权限为功能不必须。同时，66.g%的智能手机移动应用在抓取用户隐私数据，而其中高达34.5%的移动应用有“隐私越轨”行为。

　　除了明显超出应用程序功能所需的权限，一些分开看是合理合法的权限，合在一起用就可能产生很大的问题。例如大家都要使用的智能输入法，它要求读通讯录和短信，也要求去上网更新词库。从收集信息了解用户的使用习惯，让用户的输入获得更智能高效匹配的角度来看，这两个需求都可以理解。但是，输入发会不会把短信和通讯录读下来以后，通过网络把它送出去了？不同的权限合在一起使用，就可能出现问题，而用户对此往往很难区分。

　　为什么有那么多人会对用户手机上的个人信息感兴趣？除了可以试图获取用户的账户信息，直接偷取用户的资金这种大家都能想到的原因之外，还有另外一个隐藏较深，但涉及到多方利益的灰色利益链在作祟。

　　一般来说，手机上的个人信息包括位置信息、通讯信息、账号密码信息以及存储文件信息等四大类。目前一些应用软件不但暗中盗取用户通讯录、短信、照片等I信息，还搜集用户的位置信息（比如常去的商场、日常的路线）、手机上网记录（浏览的网页、购物偏好）等。这些信息看似不起眼，但其实通过这些信息进行的用户习惯分析数据极具商业价值。

　　事实上，众多的中小应用开发商根本没有动机去盗取用户信息。但是为了赚取应用内置的广告费用，开发商会与移动广告商签署协议，在应用中内置广告代码，有广告商利用应用安装时获得的权限，大量读取用户信息，并上传至自己的服务器。也就是说，那些不良移动广告公司将用户的个人信息进行综合分析，作出判断，从而进行精准的广告投递，并以此谋利。目前日益泛滥的垃圾短信也与此相关。

　　有业肉人士表示，目前有移动广告公司手中掌握着数千万的智能手机UDID（设备唯一识别符）信息，一旦将这些信息与用户手机号码、姓名、位置、社交网络相配对，那么未来用户的隐私将很难保全。

　　虽然形式严峻，但手机信息安全并非已经病入膏肓。在国家政策层面，党的-l-)＼大报告首次明确提出了“健全信息安全保障体系”的目标，全国人大常委会审议并通过《关于加强网络信息保护的决定》，对网络信息安全保护提出了具体的要求和规范，体现了国家对于网络信息安全的高度重视，以及保护公民隐私权的决心。不过国家法规的制定和完善还需要时间，就目前的情况而言，无论在传统互联网还是智能手机主导的移动互联网，哪些内容属于用户隐私，需要怎样的方式获得用户的许可，用户隐私被侵犯后怎样举证，认定事实后如何进行处罚与赔偿，都还没有明确可以参考的案例。

　　因此就现阶段来说，移动终端的系统保护机制很重要。谷歌Android系统提供了Permission机制进行系统资源的保护，Permission机制在应用程序安装时将程序申请的所有权限告知用户，由用户选择是否授予相应的权限。用户也可以充分利用Android的Permission机制，进行应用程序的授权笛理。与此同时，苹果iOS系统也引入了很强的APP审核机制，AppleStore上的应用程序安全较高。

　　除此以外，市场上也涌现出众多的第三方手机安全软件。它们具备查杀手机木马病毒、维护系统、监控网络流量、拦截恶意电话／短信等功能，是目前很有效的手机安全保护措施。当然了，这些安全软件之间也有差异，具体哪款软件更有效更适合你？我们用测试说话。

　　骚扰电话以响一声电话为主，一般为异地陌生手机号码打来，用户如果不明原因打过去，极有可能被克扣费用。由于骚扰电话也是“可遇不想求”的，测试并不能很好的进行，我们只是用陌生号码做了简单的模拟测试，测试内容为使用陌生号码拨打电话，打通之后即快速挂机，模拟一声响电话。

　　在测试中我们发现，只有联想乐安全和LBE安全大师能够对一声响陌生电话做出提示，并提供拦截设置，例如加入黑名单功能。由于此项测试可控性并不高，骚扰电话类别也分多种，所以测试仅作为参考项，该单项得分我们也没有做很大差异设置，满分5分。

　　作为安全防御的基础内容，病毒能力的查杀不能忽略。手机作为新的智能终端，和PC相比已经开始有很大的不同。功能方面的丰富也带来多方面的风险，所以，安全应用在考虑杀毒的同时还要关注其他的安全防御内容例如典型的广告拦截功能。从测试结果我们已经了解到8款当前主流安全应用的全面表现，如果用户偏关注病毒查杀能力，卡巴斯基安全软件是个不错的选择，而想要一款较为全面的安全应用，乐安全是个不错的选择，当然，配置好的手机还可以选择360卫士，或者考虑来一个组合装。

　　文图|王阔 刘斌

关注读览天下微信， 100万篇深度好文， 等你来看……