好莱坞电影《楚门的世界》(Trueman show),讲述的是以男主角Trueman的日常生活为主题的一个真人秀。Trueman的一举一动,哪怕是一个小动作,一个小箱子里的小秘密,全部都在世人的检视之下。他的生活都是被编排好的,很多奇妙的事情伴随着他。他感觉到自己一直被跟踪,无论他走到哪里。直到有一天,他发现了这个秘密,并想法设法逃出了这个笼子,也就是那个摄影棚,来到了自由的世界。

Image for post
Image for post
楚门翻墙而出之后的情景

这个影片告诉我们,人们自以为很隐秘的东西,有可能一切尽在别人的掌控之中。就好象《1984》中的那句名言,不管你身处何处,老大哥在看着你。

Image for post
Image for post
老大哥在看着你

另外一部获得奥斯卡最佳外语片的德国电影《窃听风暴》,讲述在前东德,特工魏斯曼负责监听一个异议作家的生活起居,想要找到他的把柄给他定罪。但是魏斯曼却因为可以听到他生活中的点点滴滴,渐渐对被监听人的生活感兴趣,并转而开始暗中帮助他的故事。

Image for post
Image for post
《窃听风暴》剧照

不要以为这些窃听和监视只存在于电影或者文学作品中,随着科技进步,技术手段的日益发达,通过人们随身设备来定位和监控个人信息变得越发简单,泄密也会变得更加容易。每天随身携带的移动设备,坐地铁时不时拿出来把玩的手机,将成为个人隐私泄漏的最大来源。

低头看手机,是乘坐公共交通工具时最常见的打发时间的方式

很多人都遇到过诈骗短信,或者诈骗电话,对机主的个人信息甚是了解,有的还直接指名道姓,并以此为突破口,骗取钱财。

Image for post
Image for post
诈骗短信示例

社科院调查(http://tech.sina.com.cn/i/2009-03-09/07542891017.shtml)发现,社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。比如,个人在办理 购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。

这些信息有时候是个人在填写有关报名信息表格时,不慎泄漏给商家,商家又转手卖给第三方。也有的是不法商贩从手机中通过非正规渠道获得用户的个人信息。或者是通过木马程序,窃取了手机之中的个人信息。

手机系统软件商谷歌和苹果都提供了手机定位的功能,便于用户在手机丢失的时候可以找回自己的手机。

Image for post
Image for post

谷歌提供一款叫做android Device Manager的应用,只要通过自己的账号登录,就可以看到手机的当前位置。

Image for post
Image for post

而苹果提供免费的Find my phone的应用,实现的也是类似功能。

Image for post
Image for post

更有甚者,google map的一项功能location history,用户每天的足迹,几点几分到过那里,都被谷歌记录了下来。理论上是只有用户本人可以查看,但是要是数据落入第三方,或者是监管部门手里,还是有一定的隐患。所以建议用户在手机上关闭这项功能。

Image for post
Image for post
谷歌的位置历史功能

有关谷歌收集个人信息,并且有可能泄漏的问题,一直是消费者十分担忧的问题。

可以通过 https://www.google.com/ads/preferences 页面看一下,可能被谷歌收集的部分用户信息。你浏览过的网页的历史记录,你的搜索记录,你的电子邮件,个人偏好,看过的视频内容,以及使用电脑型号和浏览器种类,每个周末去的哪个餐馆,哪个超市,尽在谷歌掌握之中。难怪有人说,你的老板或者妻子都不如谷歌对你的行踪了如指掌。

Image for post
Image for post
用户在何时何地用何种浏览器登录的Google服务

谷歌服务有着强大的机器学习能力,如果你连续几个星期都去同一家超市,也许下个星期某一天,google now服务就会问你,是否对到这个地址的时间感兴趣。一方面感叹谷歌对个人信息的数据挖掘算法的强大,另一方面也容易引起用户的不安和担忧。

Image for post
Image for post
google now服务建议的用户感兴趣的地址

那么这些用户数据储存在哪里呢?据报道,在2006年开始,谷歌自己建数据中心以来,谷歌在互联网基础设施建设方面投入了大量金钱,每个季度的投资都超过10亿美元。谷歌在全球多个国家和地区都建有数据中心,亚太地区主要是在台湾,新加坡等几个国家或地区有数据中心建设。出于成本和战略性考量,在中国大陆和香港地区没有建数据中心。由于谷歌总部所在地硅谷,地贵房归,消费水平很高。谷歌在美国的数据中心主要建立在美国中部。

Image for post
Image for post
谷歌数据中心分布图

其实不光是谷歌和苹果提供的手机定位功能,以及搜索历史可能会泄露用户个人信息,除此之外,个别的手机厂商或者应用厂商,也会有意无意的不定期发回一些用户数据给指定的服务器,这也确实容易令人紧张。

比方说2014年7月,香港红米Note用户发现自己的手机,一开机就会把所有的个人资料上传到位于北京的一个服务器。此事一经披露,便在网上疯传。安全公司F-secure位于马来西亚的实验室,对一台未开封的红米1s手机做了测试(https://www.f-secure.com/weblog/archives/00002731.html)。发现该品牌手机在没有经过任何设置的情况下(未开启小米云设置),开按照下述的步骤去测试小米的数据连接:

  1. 插入sim卡
  2. 连接到wifi网络
  3. 允许GPS地址服务
  4. 在手机通讯录里加一个新联系人
  5. 发送和接受一天短信和彩信
  6. 拨出和接听一个电话

F-secure的测试发现,手机启动的时候就会把用户的运营商名称,手机串号IMEI和sim卡号码(包括通讯录中短信来源号码)都发送到api.account.xiaomi.com这个地址。如果开启了小米云服务,还会发送国际移动用户识别码IMSI到同样的地址。

Image for post
Image for post

手机还会把已安装应用程序的列表发送到 policy.app.xiaomi.com这个地址。很多用户纷纷猜测,小米此做法用来做什么。

手机厂商开始不承认,后来证据确凿并且批评排山倒海后,则不得不承认,通过Facebook页面发表了道歉声明。 小米承认,F-Secure测试中所指的是“网络短信”服务,手机开机后会通过小米服务器和IP通信协定自动开启。而“网络短信”和其它类似的免费即时通讯服务相仿,使用手机的唯一识别码(比如手机号码、IMSI和IMEI)对应后提供两台设备之间的资料传输。小米明确表示,在这个过程中,用户的电话号码、通讯录等信息,都不会存储在小米的服务器上,而且都是加密传输的。小米承诺,升级固件之后关闭了这项功能。

Image for post
Image for post
央视报道企业收集用户信息

另一个广泛波及的手机泄密事件,是发生于2015年9月的xcodeGhost事件。 事情起因于2015年9月,腾讯安全响应中心跟进一个bug时候发现,人们通过非官方渠道下载的苹果iOS的开发工具xcode,被植入了恶意代码,会给某个特定的地址发送个人信息。很多著名应用例如微信和网易云音乐,纷纷中招。 之后XcodeGhost事件的作者以 XcodeGhost-Author 的身份在新浪微博贴出致歉声明,称其只是一个实验性项目,并没有任何包含威胁性的行为。并公开了源码。

虽然作者声称这个漏洞不会带来任何威胁性的行为,但是却为传播极其广泛的应用例如微信,提供了有可能恶意窃取用户信息的可能。从分析代码发现,目前可以发送用户软件版本,和device name等信息。用户被诱导安装未经审核的安装包后,程序可以调用系统私有的API,实现其不可告人的功能,这样就给系统带来了巨大的安全隐患。

这个事件的教训就是,要从官方渠道下载移动应用软件开发包。

Image for post
Image for post

今年2月份,在知乎上有人爆料,支付宝的安卓版本,程序启动时候会开启摄像头拍照,并上传到服务器上,同时还有会通讯录,通话记录和附近基站信息(https://www.zhihu.com/question/40638556)。有人戏称: 还好每次用支付宝都穿着裤子。

之后支付宝方面称,只是该程序应用需要摄像头扫描二维码,所以初始化的时候要用到摄像头,属于正常操作,但是并没用收集用户信息。

此次事件,尚无官方定论,安卓系统对于应用程序权限的管理,也一直广受诟病。与苹果iOS系统严格控制程序权限相比,安卓的一大卖点就是开放。而开放带来的一个恶果之一,就是应用市场良莠不齐,非常混乱。安卓应用有四大组件,广播接受器就是其中之一。用来接收系统和应用中的事件唤醒,可以理解成是一个监听器。比如手机电量变化时,插上充电器时,从手机网络切换到wifi时,都会产生一个事件。每个事件变化,都可以作为唤醒程序的动因。

Image for post
Image for post
各种各样的系统接收器

而国内一些无良软件,就滥用各种事件唤醒,对每个相关或不相关的事件,都唤醒程序运行。浪费大量电能不说,因为进程很难杀掉,还可造成无时无刻都可以监视用户行为,达到窃取用户信息的可能。

Image for post
Image for post
百度云注册了19种自启行为

前面所述的国内手机厂商,或者是软件应用制作者,或者出于占领市场的需要,或者是软件生态的原因,往往那个很容易造成手机用户隐私泄漏。手机厂商收集用户信息,也许是为了更精确的跟踪用户行为,可以精确的投放广告,或者把用户信息卖给第三方市场营销公司,便于发放广告或者垃圾营销短信。在机场车站,申请免费wifi都要求填写个人手机号,就是为了收集类似的用户信息,所以需要谨慎。

“电话号码怎么会被商家知道?”“为什么垃圾短信会顺利发送到手机上?”……用户在收到垃圾短信之后经常会发出这样的疑问。事实上,据记者了解,垃圾短信背后是一条庞大的产业利益链。

链条一:搜罗各种个人手机信息,将信息贩卖给有需要的商家或业务员。“获取和贩卖个人信息成本低、市场需求大,已经形成一定规模的个人信息交易市场。”海口市公安局一位经侦民警说,一些有机会接触、掌握大量个人信息的网络工作人员,将个人信息出售获利,形成庞大的交易市场。

链条二:专门为短信群发者提供“电话卡”的销售渠道。据记者了解,市场上专门有供货商,提供一些账户余额不多、但仍可以透支的在网签约用户号码,或者购置一些具有特别优惠的短信套餐的预付费号码,专门用于群发短信。

链条三:短信群发公司,几个人、几台电脑、能制造海量垃圾短信。百度关于“短信群发”的搜索,排在结果前几位的都是一些提供短信群发服务的公司。一家短信群发公司甚至宣称,收费依据短信数量多少而不同,1万条起步,条数越多,单价越低,到达率在95%以上。

链条四:部分房地产中介、销售商是垃圾短信的主要“用户”。腾讯移动安全实验室此前发布的报告称,上半年各类商场、电商促销价格战不断,房地产垃圾短信持续来袭,这些因素共同推高了广告类垃圾短信的比例和涨幅。

Image for post
Image for post

“垃圾短信愈演愈烈的背后有一个短信群发行业在支撑。”在业内人士看来,垃圾短信难以根除并非是技术问题,而是利益驱动,电信运营商在这些利益链条上也是受益者。

海南一家电信公司的技术人员透露说,发送短信要向运营商支付服务费,即使每条短信按0.03元计算,例如每次发送10万条,运营商收益会高达3000元。一些公司通过投放广告、业务定制等方式所获得的利润还会与运营商分成。

而在国外监管相对较严的手机市场或者互联网领域,类似的用户数据泄漏的事件也同样时有发生。

最著名的,当属斯诺登事件。2013年6月,美国国家安全局外包商合同工,爱德华·斯诺登向英国《卫报》和美国《华盛顿邮报》披露的,美国国家安全局秘密窃听的棱镜计划,能够对即时通讯和电脑上的资料,电子邮件,进行深度监听。甚至还涉及到窃听一些外国政要的电话。一些互联网大公司都被牵扯其中,包括微软,雅虎,谷歌,脸书等软件业或者互联网巨头。这几家公司之后都否认在自己的软件中设有后门,谷歌说只是依据法律向政府透露用户资料,但是没有为政府访问用户私人资料设置的后门。美国政府变成这项举措,只是为了反恐,维护国家安全。但是政府权力是否被滥用,并被用来侵犯个人隐私,则饱受争议。

斯诺登提供的文件报道称,美国情报单位通过电脑游戏”愤怒的小鸟”(Angry Birds)抓取使用者信息,例如玩家的年纪和性别。美国国家安全局是如何使用收集到的数据并不得而知。同样的情形也发生在一个被下载超过5000万次的知名手电筒应用程序上。该程序在未知会使用者的情况下,将用户的所在地透露给应用程序开发商。

Image for post
Image for post
斯诺登,有人认为他是英雄,有人觉得他是罪犯

另外一起手机大规模泄密事件,是发生于2014年8月名人照片泄露事件,在欧美此事件被人戏称作“fappening”,中文圈一般称之为“好莱坞艳照门”。这次照片泄露事件,众多明星纷纷中招,著名的有奥斯卡影后,珍妮弗·劳伦斯,凯特·阿普顿,生活大爆炸中Penny的扮演者凯莉·库柯,以及蜘蛛侠女郎克尔斯滕·邓斯特等。此次泄密事件,怀疑是明星们使用的苹果公司移动服务iCloud账号遭到攻击造成。苹果公司的iCloud服务成为众矢之的。开始苹果公司排查iCloud服务时认为有可能是有安全漏洞造成,可以由黑客运行脚本猜测密码造成泄密。不过苹果很快否认有漏洞,而认为是明星们被钓鱼网站骗取密码所致。Jennifer Lawrence事后接受采访,声称这是一种偷窃行为。

Image for post
Image for post

而最近的关于手机与个人隐私的争议事件,莫过于苹果公司和FBI关于恐怖分子手机解锁而引发的对峙。2015年12月,在美国加州,圣贝纳迪诺发生的恐怖枪击事件,造成了14人丧生。恐怖分子也被击毙。但是恐怖分子使用的一部iPhone 5c手机,因为设置了开机密码,FBI探员无法解锁。而苹果手机设有保护功能,如果连续10次,试错密码以后,手机内的全部信息将会被抹去。FBI求助于苹果,希望他们帮忙解锁手机,或者规避试错密码抹掉手机内容的程序。但是苹果公司拒绝了FBI的这一请求,声称如果允许政府这一做法的话,则无法保证政府是否会对这一技术造成滥用,侵犯用户隐私。苹果公司声明,保护用户隐私是至为重要的。苹果公司CEO则一直措辞强硬,拒绝了政府的要求。而FBI也有说法,认为对付恐怖分子,保障国家安全,也是对普通民众至为重要的。双方争执不下,于是对簿公堂。

Image for post
Image for post
苹果CEO库克表示,苹果有责任帮助用户保护数据隐私。

双方僵持不下,最后FBI求助了第三方,与一家位于以色列的安全公司 Cellebrite合作,最终破解了手机。苹果公司为了保护用户隐私,敢于跟公权力对抗,获得了硅谷一些大公司的普遍支持。而FBI也发表声明,声称: “面对国家安全和公共安全威胁时,政府要么同相关方合作,如果合作失败,就得通过法律系统确保其获得重要信息。”

Written by

自由撰稿人,时评人,平等公义追求者

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store