手機泄密有多嚴重 不當下載或遭木馬監聽

制圖：蔡華偉

4月9日本報“求證”欄目刊登《復制手機卡偷聽通話是騙局》，引發讀者對手機個人信息安全的關注。

隨著移動互聯網搜索、游戲、閱讀、音樂、互動社區、手機支付等業務的開發使用，移動互聯網已融入普通百姓的生活。中國互聯網絡信息中心2012年1月發布的有關報告顯示，截至2011年底，我國手機網民數量超過3.5億。

移動互聯網的快速發展給人們帶來便利，也給個人信息安全帶來嚴峻挑戰。這種挑戰不僅來自病毒、惡意軟件對用戶手機進行的非法自啟動、私自聯網、私自發短信、惡意扣費等威脅，同時，手機用戶的通話記錄、通訊錄、賬號、個人私密文件都面臨著被窺視與竊取的風險。

疑問一：手機可能泄露哪些信息？

【回應】通訊錄、密碼、短信、通話、照片都可能被竊取

手機上的個人信息包括位置信息、通訊信息、賬號密碼信息以及存儲文件信息等四大類。其中，通訊信息包括通訊錄、通話記錄、短信等，手機內存儲文件信息包括機主的照片、錄音、視頻等文件。此外，手機的一些硬件信息，比如IMEI號（手機串號）、無線網卡的Mac地址、硬件配置信息也都屬于個人信息的范疇。

業內專家提醒說，并不是只有盜取用戶通訊錄、短信、照片才是“侵犯手機個人信息安全”，目前一些應用軟件暗中搜集用戶的位置信息（比如，常去的商場、日常的路線）、手機上網記錄（瀏覽的網頁、購物偏好）等信息，看似不起眼，但其實通過這些信息進行的用戶習慣分析數據極具商業價值，也都可能成為被侵犯的目標，而且這種侵犯行為較隱蔽，不易被發覺。

疑問二：手機泄密渠道有哪些？

【回應】手機木馬與惡意軟件最危險；隱私竊取木馬會監聽并上傳通話錄音；一些看似普通的軟件可能讀取私人短信

據互聯網安全公司360副總裁李濤介紹，目前侵犯手機個人信息的主要方式，除了通過線下購買手機用戶信息、通過詐騙電話套取個人信息等之外，主要是通過手機木馬與惡意軟件直接竊取，后者正在成為不法分子獲取手機個人信息的重要方式。

除惡意扣費外，竊取用戶隱私已經成為手機木馬的主要危害之一。據安全工程師介紹，DDL“隱私大盜”和“X臥底”都是有代表性的隱私竊取木馬。DDL“隱私大盜”木馬專偷短信、IMEI、Google賬號等隱私信息，窺探、監控用戶的舉動，并將相關信息賣給有關商家。

“X臥底”是一款竊聽軟件，被暗中安裝后不會啟動任何圖標，也不會給用戶任何提示，一切監聽行為都在后臺自動完成：當用戶通話時，木馬會自動監聽并錄音保存，同時讀取用戶的通話記錄、短信內容等；通話完畢后，木馬啟動上傳程序，將通話錄音等上傳至不法分子搭建的服務器上。

據360安全中心發布的《2011中國手機安全狀況報告》顯示，2011年新增手機惡意軟件及木馬8714個，被感染的智能手機用戶超過2753萬人次。以安卓（Android）平臺為例，2010年發現12個木馬，2011年暴增至4722個。其中，13%的木馬專門竊取手機個人信息。

在今年“3·15”消費者權益日，中國電子信息產業發展研究院、中國軟件評測中心發布了《2012年Android手機軟件個人信息安全報告》。據負責該報告的中國軟件測評中心副主任劉法旺介紹，該中心通過抽樣的方式從中國移動、聯通、電信、安卓在線等8家手機應用軟件市場上測試了不同類型的軟件870款，結果顯示，所有電子市場均發現部分軟件存在個人信息泄露行為。在泄露的個人信息類型中，以IMEI號泄露最為嚴重，其次為手機號碼、地理位置和SIM卡序列號。IMEI是每只手機在組裝完成后被賦予的全球唯一號碼，獲得IEMI碼后，可以通過手機供應商進行手機鎖定，中止手機通話功能，獲知手機方位。

該中心智能移動終端測試實驗室主任王曉芹列舉了一款名為“寸芒v1.0.1”的電子書軟件，在閱讀“第1集雪夜”時，點擊“第一章星羅”后，會發現該軟件向某IP地址同時發送了“手機號碼”、“SIM卡序列號”和“IMEI號”三種個人信息，而在用戶的手機頁面中未出現任何與此相關的提示信息。

手機移動安全顧問認為，手機軟件平臺的開放性使得軟件開發者越來越多，由于軟件上線審核不是非常嚴格，很多開發者對于權限并不重視，會無意或有意地加入一些“功能”。比如一個日歷軟件會讀取私人短信，這就是典型的濫用權限行為，對用戶來說就是安全隱患；再比如軟件長時間駐留后臺，無法關閉，也給用戶帶來不便。

安全專家提醒手機用戶：從大型可信站點、商店下載手機軟件，避免到論壇下載；安裝軟件時注意觀察軟件權限，出現敏感權限要特別警惕；安裝手機安全軟件特別是具有隱私保護功能的安全軟件，將個人照片、視頻等隱私數據加密保存；開啟安全軟件中的手機防盜功能，方便找回手機，或者在無法找回時發送指令遠程取回數據并銷毀數據；在使用中隨時留意手機運行狀況，及時處理異常行為。