越轨的手机隐私

    近年来，手机隐私安全问题越来越严峻，隐私泄露更是骚扰电话、垃圾短信或网络诈骗等危害的源头。在大数据时代，如何让你的手机更安全？本期“关注”为您解读。

    随着近些年智能手机的不断普及和网络技术的逐步提升，人们极大程度地享受了移动互联网带来的便利，但同时也凸显出了新的问题。面对日益猖獗的恶意软件、骚扰及诈骗短信和电话、个人隐私窃取、银行卡信息窃取、恶意扣费等手机安全问题，移动终端用户该如何防患未然？

    云端之“危”

    2011年苹果全球开发者大会上，乔布斯重点介绍了苹果的云服务，“苹果云端存储你所有的数据信息，然后将其无线推送给其他所有设备，自动上传、储存、推送，它还与你的应用程序相连，完全自动化，无需学习其使用方法，就是这么有效。” 

    苹果用户李女士表示，云存储服务的确给她带来不少方便，“除了文档、照片之外，甚至手机上浏览了一半的网页也可以自动保存到云端，同步后，可以在其他苹果设备上继续浏览。”除了iCloud之外，李女士也是其他云存储服务的忠实用户，“只要有网络就能随时随地使用云存储。有时需要回家办公加班，就会很麻烦地拿移动硬盘拷取资料。现在无论是转存、共享还是整理数据，都能通过云存储实现。”

    云存储实现数据信息在任何地点、任何时间实时共享，看似舒适美好，却也暗藏危机。

    2014年8月31号晚，一百多名美国女明星的隐私照片被匿名发布在社交网站论坛。照片随后被迅速转发，如洪水般涌入其他各个社交媒体。美国联邦调查局随即介入调查。与此同时，有媒体称大多数受害者均使用苹果手机，并开通了云服务。黑客是利用了苹果“查找我的iPhone”这一功能存在的漏洞，通过暴力破解密码侵入了名人的iCloud账号。

    苹果公司在经过超过40个小时的调查之后发表声明说，一些名人的云端账户用户名、密码以及安全问题遭到了有针对性的攻击，而类似的攻击行为在互联网上正在变得非常普遍。苹果强调，未发现云端服务遭到大规模入侵的迹象。

    智能手机安全问题频出

    云服务难保100%安全

    现阶段，我国云服务到底面临哪些安全问题呢？工业和信息化部电信研究院规划设计研究所工程师陈其云通过对国内主要云服务商的调查发现，我国云服务面临下述七大安全问题。其中，虚拟化安全、共享环境下的数据安全、云平台应用程序安全等属于云服务模式下面临的新问题，海量用户的身份认证与访问控制、云服务运维和管理、内容合规性审查等体现了传统问题的一些新特点，而可用性与兼容性则属于传统的安全问题范围。其中共享环境下的数据安全是用户最担心的问题。

    云服务模式下，用户非常担心托管于服务商处的数据是否会被泄露、篡改或丢失。用户数据面临的人为威胁主要来源于服务商、黑客、相邻恶意租户以及后续租户。服务商天然具有对存储于其设备上的用户数据的优先访问权，如何防范服务商内部人员（如系统管理员）对用户数据的非法访问和泄露是一个重要的问题。传输中的数据容易遭到黑客或恶意相邻租户的截获或篡改。后续租户可能恢复未经彻底删除的退租用户的数据。用户数据面临的客观威胁主要是软硬件故障、电力中断、自然灾害等各类客观因素造成云服务中的数据丢失。

    另外，云服务模式下，用户身份认证与访问控制面临新挑战：海量用户的身份认证与授权、访问权限的合理划分和账号、密码及密钥管理。云计算主要通过互联网对外提供服务，支持的用户数可能少则10万，多则100万、1000万，甚至上亿。如何应对海量用户不断变化的业务和用户身份，需要云服务商对用户身份认证和接入管理实现完全自动化。在密钥管理方面，云服务商可能拥有用户用于加解密的密钥，这将导致数据的泄露。

    陈其云认为，除了依靠技术手段，政府部门更应着力推进监管政策及法律法规的制定与实施以实现云服务安全监管。监管政策和法律法规作为上层建筑，从宏观层面影响着所有具体业务。有效的监管环境也有利于建立用户与云服务商的信任关系，提升用户信心。

    中国互联网协会研究中心秘书长胡钢表示，安全本身是个相对概念，没有绝对的安全，云服务面临一些安全的上的问题不可否认，但是对待云服务应用也不能因噎废食，未来云服务将成为像水电气一样不可缺少的基础设施。

    手机隐私安全状况令人担忧

    iCloud被曝存在安全漏洞只揭开了手机存在安全方面问题的冰山一角。近年来，手机泄密事件屡见不鲜。

    2014年9月2日，DCCI互联网数据中心联合360手机安全中心发布《2014年上半年Android手机隐私安全报告》(以下简称报告)，数据显示，92.8%安卓手机用户在手机中存放隐私，智能手机已经成为隐私最多的设备。越来越多个人隐私从手机外泄，隐私安全状况令人担忧。

    报告数据显示，92.8%用户习惯将隐私存储至智能手机中，手机是承载人们隐私最多的载体，台式机或笔记本、U盘、移动硬盘、平板电脑存储的隐私数据分别占到74.1%、44.2%、30.7%、28.3%。

    DCCI 联合360手机卫士通过对1200个APP（智能手机的第三方应用程序）检测发现：92%的安卓应用获取了隐私权限。获取1-5项隐私权限的APP占61.5%，获取6-10项隐私权限的APP占26.2%，获取隐私权限超过11项的应用占4.3%。多数安卓应用获取隐私权限具有合理性，这些应用需要获取隐私权限才能正常使用。

    安卓应用多数会获取用户隐私权限，其中，设备信息、用户位置和Wifi权限这三项隐私内容位居前三。社交通讯类应用因自身特点所需的权限较为丰富，其中设备信息、位置和录音权限是社交通讯类应用获取最多的三大权限；生活购物类应用则会读取位置信息；影音图像类应用需读取位置、发送短信；位置和短信类权限是游戏类APP获取的重要权限；阅读类应用为实现付费获取发送短信权限。

    毫无疑问，移动应用要求获取必要的隐私权限有其合理性，比如：如果社交类应用不获取您的位置信息就无法使用“附近的人”功能，如果不获取您的通讯录就不能方便地添加好友，支付类应用如果不读取短信记录就不能方便地填写短信验证码。但是隐私权限越轨行为将会带来多种风险。

    隐私权限越轨行为指移动应用在自身功能不必需的情况下获取隐私权限的行为。某些正版软件或恶意软件有意无意地获取了和软件自身功能不相关的权限，造成对隐私权限的“越轨”获取，可能会带来隐私窃取、恶意扣费、资费消耗、流量消耗、等安全问题。而隐私泄露是骚扰电话、垃圾短信、电话或网络诈骗等危害的源头。

    手机用户隐私保护习惯亟需培养

    工业和信息化部电信研究院高级工程师魏薇介绍，目前政府和企业等层面已经开始关注并采取措施应对移动智能终端的网络与信息安全问题，并且建议从加强对移动智能终端进网的安全评估、开展对移动应用商店的安全监管及加强对第三方应用服务器的安全监管三个环节加强安全保护。

    互联网时代，手机用户是隐私信息的生产者，更是保护隐私安全最重要的一道防火线。DCCI调查显示：在安卓手机用户中，安装了手机安全软件的用户已高达88.1%。其中约50%的用户从未使用过安全软件的“隐私保护”和“隐私行为监控”功能保护隐私，用户的隐私保护习惯亟需培养。

    在大数据时代，保卫信息安全可能远没有人们想象的那么简单。360手机安全专家朱翼鹏表示，随着智能手机中的隐私数据越来越多，加上手机云端存储功能的盛行，手机隐私安全变得十分重要，对此，给智能手机用户以下建议。

    每3个月改云端密码

    虽然云端存放的数据经过加密，还有安全设计，但是安全度低的密码，会让任何账号变得非常脆弱。用户要使用安全度较强的密码，平日要小心“网络钓鱼”骗取密码的手法。同时，对于不同账户应使用不同密码，并尽量每3个月更改密码。

    适时关闭iCloud+开启2步骤身分认证

    启用“两步验证”，即在登录时提供密码并通过短信或邮件接收验证码也是降低被盗风险的有效措施。业内人士还提醒，用户应当及时检查云端备份的数据，而不是仅仅在设备上删除。对于一些不想被他人看到的绝对隐私，最好不要上传到云端。

    在正规的应用市场安装应用

    不要随意下载不明APP，部分开发商受利益的驱使，或在APP中加入第三方插件、代码，甚至病毒木马，轻则吸干流量，重可盗取重要隐私信息，给用户造成经济损失。

    在同意安装应用之前，请多花一点时间看一下应用的权限列表，不值得为了一个普通的游戏而交出自己的隐私信息。

    手机支付不可掉以轻心

    手机支付带来的便利不言而喻，但是也增加了泄露更多信息的危险性。要谨记不轻信扫描陌生人发的二维码；不要把银行卡、身份证及手机放在一起；保持设置手机开机密码的习惯；更换手机号码前，一定要在支付端解除原号码的捆绑；手机如果丢失，要在第一时间打电话给银行和第三方支付供应商冻结相关业务；警惕“U盾升级”等骗局。

    收到陌生号码的短信要慎重

    不要轻易点击陌生号码发送短信的链接。通过短信传播是今年以来手机木马的重要传播方式，近期全国范围大规模传播的“蝗虫木马”就是利用短信方式迅速蔓延。

    学会使用手机安全软件对隐私数据进行加密

    目前，很多手机安全软件都能支持对手机私密照片、私密视频、短信和文件的加密功能，只要开启“私密空间”功能即可将这些隐私内容统统加密保存。

    学会使用手机防盗工具

    手机的丢失也是导致隐私泄露的重要原因之一，用户可以通过安装手机安全软件并开启手机防盗功能，一旦发现手机丢失后，立即启动远程删除手机所有数据功能，即可销毁手机中的所有私密内容，以防止隐私泄露。

    淘汰下来的手机别乱扔

    对待淘汰不用的手机，可以将手机恢复出厂设置或者格式化，再存入一些其他无关紧要的内容，将手机的存储空间占满；如果要彻底清除手机里的信息，则要多次重复“格式化-占满内存”的方法，并且要使用专业的清除软件。之后可以将手机卖给相对正规的厂家，或参加官方以旧换新的活动；不要将手机作为一般的生活垃圾随意处理。

    不要连入安全性未知或陌生的Wifi网络

    不管在哪里都去连接安全性未知或陌生的Wifi网络，这样的行为也可被黑客利用。

    谨慎发布自己的隐私信息

    身在网络时代的现代人，必须审慎思考自己的隐私，再微小、再不经心的上传，都会留下纪录。

    此次iCloud事件中的好莱坞女星詹妮弗·劳伦斯曾经在接受媒体采访的时候很不明智地引用过自己的邮箱地址。这就会让网上的黑客有“猜测密码”的可能，而由于艺人的生日、兴趣爱好等资料在互联网上到处可查，那么黑客想答对“安全问题”也不足为奇。

    美国乔治城大学（Georgetown University）电子商务及资讯系统教授席格曼（Elizabeth P Sigman）表示，“我们自己可能认为无关紧要且无伤大雅的微博或照片，到最后很容易变成分享给数百万人。”席格曼指出：“这是一个非常公开化的世界，你必须要自己谨慎面对。不要上传以后会让你自己感到难堪的任何东西”，要注意网络服务与社交网站的隐私设定，同时要切记没有任何资料是真正隐密的。