2010年专题之
[专题53]高科技时代让我们无隐私
黍匀营养机构编
高科技时代的到来,我们不再有隐私可言。你我开始透明,什么事情都被他人所知道,这就是一个让人又爱又恨的时代,而生活开始不在属于你自己,你将被他人所了解,不管是恶意的还是无意的......
慎用即时信息 安全隐患让个人无隐私可言
近日,有用户反映,有人利用
AOL即时通讯(IM,Instant Message)从好友名单上发送虚假网站信息,稍不注意就会受骗上当,甚至在毫不知情的情况下造成类似病毒一样的后果。
如果用户点击了好友传送过来的网址,有可能被偷偷地安装了非法软件,同时会利用AOL即时通讯(AIM)网络繁殖宣传,继续在好友名单上发送类似的邀请,引诱更多的人加入骗局。暗中安装的软件很可能会跟踪用户的网页习性和兴趣,产生弹出式广告和修改主页,对用户造成困扰。而且信息来自用户好友名单上熟悉的朋友,更让人防不胜防。
可见,攻击者是有目的地将即时通讯服务作为传送垃圾邮件信息的中转站,释放病毒,在电脑上创造进入系统的后门和对互联网造成祸害。
即时通讯是90年代首先在青年人中流行起来的,随后在客户和商业服务中得到了广泛的应用,作为共享文件、图片和网页链接的工具。根据IDC的统计,去年为止全球大约有1.62亿IM帐号,相比起2000年的8200万有将近一倍的增长。专家指出,黑客和垃圾邮件制造者已经瞄准了日益庞大的IM用户。Symantec安全响应中心高级主管SharonRuckman也承认,越来越多的人使用即时通讯软件,它开始成为热门的攻击目标。
CERT应急技术处理协调中心再三警告IM用户,尤其要留心近来相当热门的社会工程学(social engineering)--一种利用人性弱点进行攻击,以免费产品、色情文学和貌似有趣的链接引诱用户上当的技术。用户很可能因此而泄漏了个人资料或者将其计算机推入一个危险的境地。Ruckman表示,社会工程学技术是一种策略,引诱你亲手打开门户,让外人入侵并将私人信息拱手相送,从而作恶者就能获得该用户的弱点,趁用户不备时对其电脑进行攻击。
IM是一个盗取个人私隐的绝好工具。当用户使用即时通讯交流时,信息通过IM服务的中心服务器以纯文本形式转发的至接受者。因此,用户稍不谨慎就会泄漏密码或者结合数字的个人信息。
当IM信息通过无线网络传播时,私隐的安全显得更无保障。无线热点一般保持低安全级别,以减少用户在接入的过程中的麻烦。只要使用Sniffer等包嗅探软件就可以发现,“大量的文本数据包满天飞”。
另外,IM最大的便利——文件共享,同时也可能是其最大的弱点。IM的用户可以向对方用户传送文件,或者给予对方共享文件夹的使用权。有时,这些文件夹可能包含家庭的照片或者登记了姓名、地址和财政状况的文档。
然而,IM并不是唯一的受害者。许多安全机构都相继发现了AIM、Yahoo Messenger和MSN的漏洞,其中包括“缓冲溢出”(buffer overflow),该程序先淹没整个计算机的防卫系统,然后在内存内插入接下来要让处理器执行的恶意程序。面对这些问题,AIM、Yahoo和MSN均开始密切关注软件的信息。
电子先驱基金(Electronic Frontier Foundation)的技术专员Dan Moniz认为,开放式设计和开放式协议是应对未来灾难发生最好的保障,它们不需要防护,但能够更容易地查找到缺陷并及时修补。
微软的发言人表示,MSN相对较小,因而容易测试和控制设计上的缺陷。另外,类似“Osama Found”等游戏也可能增加IM被利用的风险。
许多IM上的骗局与利用e-mail传播病毒和垃圾邮件的手法几乎同出一辙。如今,曾经发生在电子邮件上的安全隐患有开始向IM服务转移的势头,如果不对其控制和维护,IM的即时性会使有病毒效应的信息传播更快。
逾百种智能手机被曝易遭窃听,诺基亚苹果在列
在你还在津津乐道地谈论着默多克“窃听门”事件如何如何时,殊不知,你自己的手机可能已经被窃听了,如果你使用的是智能手机。你的智能手机有没有偶尔接收到空白短信?事实上,等你重新开机之后,手机内的所有信息可能随时遭窃取。
香港媒体前天报道iPhone手机可嵌入窃听程序,手机就被处于监控状态,通话、短信让窃听者一览无遗,私隐荡然无存。早报记者了解到,不仅 iPhone手机存在这样的“被偷听”危险,大多数智能手机都可能遭遇这样的隐忧。早在2006年时内地网络上便已经出现类似的手机窃听软件,尽管此类软 件已被列为间谍软件,严格禁止使用,但网络中仍有不少网站售卖。
上海交通大学信息安全工程学院范磊副教授表示,通过安装相关软件,实现窃听功能是完全可能的,专家提醒市民要看管好自己的手机,纵使离身几分钟也有危险。
装窃听程序只需3分钟?
“你有iPhone吗?这下你麻烦了!”有香港媒体前天封面文章提醒说,一种iPhone等智能手机窃听程序,正引爆香港。该报记者亲自试验, 发现植入程序只需3分钟,手机即被监控,通话、短信被窃听者一览无余。报道甚至称,除了植入窃听程序外,更有人研发了一套堪称目前最先进的窃听技术,只需 取得手机号,便可通过大气电波随意监听,神不知鬼不觉,防无可防。
该报称,内地早已有网站称有手机窃听器材出售。为一探虚实,早报记者昨天在百度搜索引擎中,找到一家名叫南京特洛伊有限公司的网站,该网站宣称 为一款名为flexispy软件的中国总代理。2006年,该公司售卖这种手机“卧底”软件的现象,就被江苏卫视报道过,当时该公司负责人就表示,该软件 肯定会触碰到一部分人的隐私。
使用者只需要在一部智能手机中偷偷安装该公司名为“X卧底”的软件,不到3分钟时间,就能在网络上查到该手机的各项电话及短信通讯记录,更让人 瞠目的是,该软件还能开通一个监控功能,通过另一台手机拨打被安装“X卧底”的手机,就能悄悄地偷听到“卧底”手机周围的情况,而“卧底”手机却没出现显 示任何通话或其他异常的现象。原来,这种软件还能激活空闲中“卧底”手机的麦克风免提,达到监听的效果,相当于安放了一个窃听器。
诺基亚、苹果都未能幸免
几年来,这样的“卧底”软件不仅没有消失,还伴随着智能手机的壮大,不断增加业务。2006年,智能手机初行其道,这些“窃听”软件还主要针对 以安装塞班系统Symbian的诺基亚手机为主,而随着智能手机逐渐发展,安装安卓Android、微软Windows Mobile、苹果iPhone iOS等系统的智能手机越来越多,而这类手机窃听软件也与时俱进,逐渐改进将众多智能手机包括在内。在该网站显示中,支持的手机类型已经高达上百种,包括 了大多数智能手机。
记者联系到南京特洛伊有限公司一名销售人员,销售人员称目前这种“X卧底”软件已经支持绝大部分智能手机,包括现在最流行的iPhone手机。 尽管这种软件售价不菲,最基本的“套餐”高达近2000元,但销售人员透露,购买其软件的客户并不少,销售人员表示,购买产品的人主要为遇到婚姻纠纷的, 想通过软件抓到证据,也有想通过远程监听,在商业谈判中占优势的。
记者注意到,虽然该公司介绍“X卧底”软件功能强大,但也承认这种软件处于灰色地带,在其网站上特意贴出公告,称其“产品已经正式被国家信息产业安全部定义为‘间谍软件’,不允许在任何公开场所发布跟销售”。该公司也将服务器搬迁至国外,并改换办公地址,且该服务网站也遭到封停,只能变换使用其他域名出现在网络中。
软件以防盗名义网上热卖
而在另一家销售类似软件的公司中,则把这种刺探别人隐私的软件改换说法,以防盗的名义,在网络大行售卖。但“随时随地了解被盗手机的周围环境情况”、“随时随地了解被盗手机的语音通话记录”、“随时随地了解被盗手机的短信情况”等功能,实际上还是一个“卧底”软件。
对客户使用该软件做什么,该公司销售人员并不关心,“制造软件是没有问题,用户要怎么用我们管不了。”对于该产品是否合法,销售人员这样解释,就匆匆挂断电话。
每天6600次隐私信息窃取事件
根据相关法律规定,公民隐私权包含了通信秘密,受法律保护。只有国家公安、安全部门,为了国家安全、刑事案件调查的需要可以窃听他人通信。此外,任何个人、机关窃听通信都是违法。这类软件无疑已经触犯了手机用户隐私。
记者从中国移动、联通运营商处了解到,无论哪家运营企业,都不会为用户提供查询别人定位、非法查询通讯记录的服务。
实际上,对于被宣称为防盗软件的“X卧底”就是一种恶意程序。今年6月,中国移动官方发布公告,称名为“X卧底”的手机恶意软件正在严重威胁着 用户的隐私安全,这种软件主要以窃取用户隐私、通话为主要目的。根据国家计算机网络应急技术处理协调中心监测数据显示,该恶意软件在全国范围内平均每天发生6600次隐私信息窃取事件。
2006年,智能手机初行其道,“窃听”软件还主要针对以安装塞班系统Symbian的诺基亚手机为主,而随着智能手机逐渐发展,安装安卓Android、微软Windows Mobile、苹果iPhone iOS等系统的智能手机越来越多,而这类手机窃听软件也与时俱进,逐渐改进将众多智能手机包括在内。
手机“窃听门”三解
手机怎么被窃听?中国移动公司的公告中介绍,这种手机恶意软件隐藏在手机操作系统中。主要传播方式有:
◆一是通过存储卡拷贝,直接在手机上安装软件;
◆二是通过互联网下载软件,安装在手机上,或发送短/彩信,诱导用户点击后自动安装。安装后,该软件通过调用智能手机操作系统相关API接口,读取手机终端的个人通讯录、呼叫记录、短信记录等隐私数据,并通过GPRS通道发送到后台主控服务器,以达到窃取用户隐私的目的。
手机为何能被窃听?
据了解,智能手机相当于小型、功能简化的电脑,也面临遭受病毒攻击的可能。手机制造商设计时会设定一定的权限,用于保护基本的运行程序免遭错误改动,通常用户使用中无法随意改动核心的程序,也无法直接安装一些不符合安全规范的软件。
而所谓的“越狱”和破解正是破坏这种已设定的权限,让用户可以自行修改核心内容,这样不少自制软件和盗版软件也就可以在其手机上运行。但经过“越狱”和破解的手机,也就相当于解除了防卫,打开自家大门,病毒和恶意程序就可以轻松进入。销售人员表示,只有用户自己“越狱”、破解打开权限,“X卧底”软件才能在手机上发挥效果。
如何防止被窃听?
◆中国移动公司建议用户提高安全使用手机意识,不要轻易将手机借人;
◆收到来路不明的信息和链接不要随意打开,更不要转发,应及时删除,以免遭受恶意软件侵害;
◆下载手机应用软件,应选择相关软件的官方网站。
手机为什么会收到空白短信
黑客用电脑向目标手机号码发出一个有窃听病毒的手机短信;机主接到短信,显示空白或无法打开,机主即使把短信删除,这个病毒依然能潜伏下来;当手机重新启动时,这个病毒就自动安装;病毒成功安装的信息自动回复给电脑黑客;黑客启动程序,即可盗取机主的通讯录、通话、短信、照片、视频以及机主所在位置等资料。
鸣谢:
1.太平洋科技新闻组 Winny,慎用即时信息 安全隐患让个人无隐私可言.
2.龙毅,韩晓蓉.逾百种智能手机被曝易遭窃听,诺基亚苹果在列.
3.中国广播网.iPhone可嵌入窃听程序 通话短信让窃听者一览无遗.
