■阿靜

　　十年前，馮小剛和葛優(yōu)合作了一部賀歲檔電影《手機》。葛優(yōu)飾演的嚴守一因為一次疏忽，深藏手機里的秘密被妻子意外發(fā)現(xiàn)，生活由此脫離軌道……

　　嚴守一感嘆手機成“手雷”不免矯情，比起真實世界里的詹妮弗·勞倫斯，他真應(yīng)該慶幸自己“早生十年”。在最新一輪“好萊塢艷照門”中，包括詹妮弗·勞倫斯在內(nèi)的十多位女明星的裸照和私密自拍在互聯(lián)網(wǎng)上瘋狂傳播。而在此前，好萊塢數(shù)位女星的私密照片，包括詹尼佛·洛佩茲、克里斯汀·鄧斯特、超模凱特·阿普頓、歌手蕾哈娜等也不幸中招。海外媒體報道稱，“好萊塢艷照門”的罪魁禍首，很有可能是當事人蘋果手機的iCloud應(yīng)用中一項功能存在漏洞，一眾明星上傳至iCloud服務(wù)器上的私密照片，被黑客乘虛而入席卷一空。在嚴守一生活的“諾基亞時代”，手機泄密，主要是因為用戶自己不慎，手機落在別人手上。給他們帶來麻煩的，無非是那些短信、通話記錄而已。十年過去，“蘋果三星時代”的智能手機一旦被攻破“防線”，被泄漏的就不是幾個敏感通話記錄，而是手機中的短信、微信、網(wǎng)頁瀏覽歷史、網(wǎng)購交易記錄、私密照片視頻、銀行賬號、股票賬戶……而把你的這些私人秘密竊為己有甚至公之于眾的，是那些時刻在窺視著你一舉一動的手機病毒、惡意App、系統(tǒng)后門、黑客……面對它們，普通用戶根本沒有招架之力。

　　手機安全形同虛設(shè)，已給人們的正常工作生活帶來極大騷擾。正如一位安全專家所說的那樣：“你的智能手機可能裝在你的口袋里，但是你做不了它的主”——光滑的觸摸屏背后究竟藏著些什么，可以隨時掌握你我的一舉一動？它們是如何做到的？且聽專家的分析——

　　系統(tǒng)廠商留后門

　　9月中旬，蘋果發(fā)布了iPhone 6和iPhone 6plus兩款手機新品，但連續(xù)兩輪，國內(nèi)市場都未進入iPhone首發(fā)地區(qū)范圍，這讓眾多果粉等得心焦，對一再延遲的原因也產(chǎn)生了諸多猜測。

　　終于在9月30日，工信部為iPhone 6和iPhone 6plus兩款蘋果手機新品發(fā)放了入網(wǎng)許可，它們終于被允許在國內(nèi)市場開售。同時，蘋果手機新品延遲進入國內(nèi)市場的原因也被揭開，那就是“手機后門”。

　　在工信部發(fā)布的一份700余字的公告中，有600多字都是關(guān)于信息安全方面的內(nèi)容。工信部方面稱，經(jīng)過檢測，蘋果iOS系統(tǒng)的三個后臺服務(wù)程序存在被利用的可能性，iPhone6確實存在個人信息泄露的可能性，提醒用戶使用各類智能手機時提高防范意識，保護好個人隱私。而在數(shù)月之前，蘋果后門事件已經(jīng)鬧得沸沸揚揚。

　　其實，不僅是蘋果的iOS系統(tǒng)留有后門，安卓系統(tǒng)也不例外。曾經(jīng)在黑客大賽上攻破過iOS最新系統(tǒng)的安全專家陳良稱，國外最新的一項研究表明，安卓系統(tǒng)中存在一個嚴重的安全漏洞，攻擊者可以偽造ID，冒充可信任的App竊取用戶信息，這意味著攻擊者能夠利用虛假App冒充谷歌錢包這類支付軟件，竊取用戶賬號等財務(wù)數(shù)據(jù)，危險程度相當高。

　　黑客植入木馬病毒

　　很多人看過港產(chǎn)大片《竊聽風云》，“每個人的手機都是一部竊聽器”的臺詞，手機輕而易舉遭到監(jiān)聽的場景讓很多人心驚肉跳。但大家要明白的是，這并不是虛幻，而是會切切實實發(fā)生在人們生活當中。有媒體日前報道稱，北京的凌女士最近發(fā)現(xiàn)，系統(tǒng)提示自己的手機內(nèi)存快滿了，這讓她有些奇怪，自己手機沒有下載太多App，怎么內(nèi)存就不夠用呢？于是她仔細檢查了手機中存儲的內(nèi)容，發(fā)現(xiàn)多了很多音頻軟件，刪也刪不掉。凌女士很奇怪，自己從來不用手機錄音的，這些文件從何而來呢？

　　一位朋友正好是手機安全工程師，他幫凌女士檢測了這些音頻軟件，發(fā)現(xiàn)竟然都是她平時和別人打電話的內(nèi)容。而且，即使手機不在通話過程中，周圍環(huán)境的聲音也被錄了下來。這讓凌女士感到異常心驚。

　　凌女士發(fā)現(xiàn)自己手機被竊聽，原因就是因為她的手機中了木馬病毒。

　　木馬偽裝成“手機管家”后潛伏在手機中，會通過發(fā)送短信指令，竊取手機用戶的地理位置信息、微信語音信息、短信，甚至還會偷錄手機用戶的通話，這些隱私信息，都會通過郵件發(fā)送給木馬作者。

　　更為嚴重的是，監(jiān)聽行為非常隱蔽，其偷錄的通話錄音文件通過郵件發(fā)送給木馬作者后，還會將錄音文件從手機中刪除，不經(jīng)常查看SD卡存儲內(nèi)容的手機用戶，極有可能被蒙騙，難以察覺手機異常。此外，木馬還會判斷手機的電量信息以及是否root，郵件通知木馬作者，完全掌握“中招”手機運行狀態(tài)。

　　二維碼中藏陷阱

　　現(xiàn)在流行掃二維碼，使用的確很方便，但是暗藏的風險也不小。

　　如果市民參加過去年11月舉行的上海信息安全周活動，會對此有非常直觀的了解。在當時的活動現(xiàn)場，上海碁震Keen安全研究團隊負責人拿出一部全新的手機交給一位用戶，這位用戶先對著自己的名片拍了一張照片，然后又對著演示屏上的二維碼掃了一下。就是這看似隨意的一掃，馬上有了出人意料的結(jié)果，剛剛拍攝的照片，已經(jīng)被這位安全研究團隊的負責人獲取，并展現(xiàn)在了現(xiàn)場大屏幕上。不僅是拍攝的照片，用戶輸入的QQ賬號和密碼、支付賬號和密碼等等，也能被獲取。

　　“手機存在漏洞，所以才會被侵入?！边@位負責人表示，任何手機都不可能完全避免漏洞，使用時也不能掉以輕心。

　　正規(guī)App手伸過界

　　相比前文中提到的幾種手機泄密方式，還有一種更加值得關(guān)注，那就是正規(guī)App也在過度收集機主的信息。之前央視對此有過集中報道，被曝光以及點名涉嫌“竊取用戶隱私”的App中，不乏高德地圖等擁有千萬級用戶的公司。

　　被曝光的App中，被質(zhì)疑的竊取隱私行為包括讀取用戶手機號、位置信息、讀取以及上傳通訊錄、讀取及修改甚至發(fā)送短信等權(quán)限……其實，除了被曝光的應(yīng)用，用戶最常使用的很多App也會涉及到這些信息，比如微信就包含讀取、修改通訊錄、獲取位置信息、讀取短信等功能。

　　在這些App安裝之前，軟件開發(fā)商一定會告訴用戶需要獲取讀取通訊錄等權(quán)限。用戶可以選擇不同意，但是這些App也就安裝不了。所以很多用戶最終都“屈服”了，同意了這些條款。

　　智能手機竊取私人信息，只是近年來個人信息保護違法侵權(quán)現(xiàn)狀的冰山一角。中國社科院曾經(jīng)在北京、成都、青島、西安四城市調(diào)研發(fā)現(xiàn)，我國個人信息泄露、濫用的情況可謂觸目驚心。具體形式大致可以分為四種——

　　過度收集個人信息擅自披露個人信息擅自提供個人信息非法買賣個人信息

　　手機泄密的現(xiàn)象越來越泛濫，寄托于廠商自律、用戶謹慎去防范風險并不現(xiàn)實，解決之道是建立完善的法律和監(jiān)管體系。在這其中，有幾個問題需要明晰，何為“個人隱私”？App使用哪些用戶個人信息是合規(guī)的、哪些是不合規(guī)的？違規(guī)違法者該承擔何種法律責任？

　　明確App分級標準

　　央視曝光部分互聯(lián)網(wǎng)企業(yè)涉嫌侵犯用戶個人隱私后，涉事企業(yè)大喊“冤枉”。例如有訂餐服務(wù)企業(yè)認為，只有使用GPS定位才能使用查找附近美食功能；社交App則表示，如果沒有開啟通訊錄訪問權(quán)限，無法使用文字、語音聊天功能。

　　企業(yè)鳴冤叫屈并非全無道理。這些App依據(jù)地理位置信息，給人們的生活提供了極大方便，比如就近查找美食、預約打車、查找公交線路等等。所以，如果禁止App使用這些用戶個人信息，不僅廠商不同意，也得不到用戶的支持。

　　但是，并非所有的App需要的用戶信息都是一樣的。以位置交友為主要目的的App應(yīng)用，需要獲得用戶的GPS權(quán)限，這是合情合理的。但如果是一款手電筒之類的簡單應(yīng)用，就沒有必要去取得用戶的GPS位置權(quán)限。很多App在軟件本身被開發(fā)設(shè)計的時候，已經(jīng)考慮到App自身更新的需求，這樣開發(fā)者會將軟件自動提示升級的功能加入到軟件內(nèi)，因此需要獲得用戶手機的互聯(lián)網(wǎng)訪問權(quán)限。但是，像是一些電子書App也要獲取用戶的互聯(lián)網(wǎng)訪問權(quán)限，那就毫無必要，其真實意圖令人懷疑。

　　有專家因此建議，現(xiàn)在有必要建立手機端隱私數(shù)據(jù)分級、應(yīng)用程序收集和使用隱私數(shù)據(jù)應(yīng)有標準。哪些用戶信息是屬于等級較高的，哪些是等級較低的？App也應(yīng)分等級，要使用用戶通訊錄、通話記錄、短信內(nèi)容的App，應(yīng)該被歸入風險等級較高的App，在審核和監(jiān)管上“重點關(guān)照”。

　　完善法規(guī)建立追懲機制

　　事實上，比起互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)的發(fā)展速度，司法的更新節(jié)奏并不盡如人意。

　　工信部2002年曾出臺《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，對互聯(lián)網(wǎng)信息服務(wù)活動進行規(guī)范，但其中未包括個人信息保護。直到2011年，工信部發(fā)布《互聯(lián)網(wǎng)信息服務(wù)管理規(guī)定(征求意見稿)》，才對互聯(lián)網(wǎng)個人信息有了明確限定。管理規(guī)定除法律、法規(guī)規(guī)定外，未經(jīng)用戶同意，互聯(lián)網(wǎng)信息服務(wù)提供者不得收集與用戶相關(guān)、能夠單獨或者與其他信息結(jié)合識別用戶身份的信息?；ヂ?lián)網(wǎng)信息服務(wù)提供者只能收集其提供服務(wù)所必需的用戶個人信息。

　　規(guī)定還要求，應(yīng)該明確告知用戶收集個人信息的方式、內(nèi)容和用途，并且不能超出上述用途?；ヂ?lián)網(wǎng)服務(wù)提供商也不能將信息提供給第三方。對于違反規(guī)定的，管理部門可處以一萬元以上、三萬元以下的罰款。

　　但這只是部門規(guī)定，在法律層面上，我國目前并沒有專門針對個人隱私保護的法律。我國《刑法》強調(diào)“非法”使用“竊聽、竊照專用器材”采集個人信息才是違法，那么，利用App竊取用戶的隱私的行為是否是違法呢？

　　而且，從目前情況來看，管理部門對違規(guī)者處以一萬元以上、三萬元以下的罰款的懲罰力度有些弱，對很多互聯(lián)網(wǎng)企業(yè)來說幾乎無關(guān)痛癢，所以必須要加大懲罰力度，這樣才能遏制手機上個人隱私泄露的現(xiàn)象。

　　相關(guān)鏈接在眼皮底下偷走你的信息

　　■張斌

　　知名技術(shù)網(wǎng)站Business I nsi der(BI )不久前刊登文章，對近期熱炒的“小米手機將用戶個人信息發(fā)送回公司服務(wù)器”一事進行評論時指出：這一事件讓人們開始關(guān)注我們的智能手機和外部世界之間的聯(lián)系。只要你的智能手機處于開機狀態(tài)，它就會與至少三個不同的主人進行通訊——手機生產(chǎn)公司、無線運營商和你手機中安裝或預裝的第三方應(yīng)用程序開發(fā)者。

　　文章稱，從你手機中抓取數(shù)據(jù)的公司絕非小米一家?；ヂ?lián)網(wǎng)安全專家表示，無線運營商可能會從你的手機中收集收據(jù)，手機制造商也可能會收集各種信息，包括你的地理位置信息。他們這樣做可能沒有征得用戶的同意，或者根本就沒有讓用戶知道。

　　“這不是哪個手機制造商或電信公司的問題，而是整個行業(yè)的問題?！边@位專家指出：“各家公司都會以各種理由來收集數(shù)據(jù)，這樣做可能合法，但卻會帶來隱私方面的問題?！崩?，很多無線運營商在其服務(wù)條款中就包含了收集有關(guān)手機、電腦和網(wǎng)絡(luò)活動（包括用戶訪問的網(wǎng)站）等個人數(shù)據(jù)的權(quán)力?；萜蘸头▏ヂ?lián)網(wǎng)安全公司Qosmos所做的一項案例研究發(fā)現(xiàn)，無線運營商能夠跟蹤個人設(shè)備，查看用戶發(fā)送了多少條臉書信息。他們這樣做的目的是，利用這些數(shù)據(jù)來向用戶投放更有針對性的廣告。有調(diào)查顯示，三分之一的安卓手機應(yīng)用程序會在“用戶不知情的情況下”上傳個人信息給“第三方公司”，但“用戶并不能夠輕易地知道哪些信息或功能被訪問，哪些數(shù)據(jù)被傳回到開發(fā)者的服務(wù)器上、以及這些被傳到服務(wù)器上的數(shù)據(jù)是怎么被處理的。”

　　BI在這篇報道中指出，問題不在于手機制造商、應(yīng)用程序開發(fā)者和無線運營商是否會從你的手機中收集數(shù)據(jù)，而在于它們會收集什么樣的數(shù)據(jù)、何時收集，以及用來做什么。“在不知道背景信息的情況下，人們根本無從判斷發(fā)送這些數(shù)據(jù)是否合理。”