窃取隐私的APP

小心手机里的短信、通讯录、通话内容、地理位置、照片……某些安装在你手机里的APP正想方设法窃取它。　　文/王欣怡　　【TechWeb报道】把钱和隐私放在一起让你选择，你会选择谁？　　我猜陈冠希老师一定会选择后者。电影《窃听风云》中说“每个人的手机都是一部窃听器”，这绝非危言耸听，它正在上演现实版。小心了，窃听我们隐私的可能是你手机里一款不起眼的APP。　　短信、通讯录、通话内容、地理位置、照片……这些都是我们的隐私，在此之前，TechWeb曾经报道过《收不到的10086短信》，介绍了扣费APP的操作模式，但事实上，窃取隐私更不容易被发现，危害程度也更高，虽然你暂时无金钱损失，却埋下了隐患，它随时可能成为一枚定时炸弹。　　窃不算偷？更容易获利　　“窃书不能算偷。”鲁迅笔下的孔乙己曾这样为自己偷书的行为辩解。窃取隐私的行为，该如何定义？　　用户小果是Android手机爱好者，然而让他困惑的是，手机里很多APP会获取在他看来并不相关的权限。“比如，一款单机小游戏，获取我的地理位置信息干什么呢？一款壁纸软件，获取我的地理位置又是想干嘛？”他担心，自己的隐私被窃取，存在不安全感。　　与扣费不同，隐私被上传，由于数据较小，不需要花很多时间或流量，很难被用户感知。　　首先了解下什么叫 “窃取隐私”。根据中国互联网协会的定义，窃取隐私是指用户在不知情或未授权的情况下，获取涉及用户个人信息的，据有隐私窃取属性，可能的行为包括：获取短信、彩信、邮件、通讯录、通话记录、通话内容、地理位置、本机手机号码、本机已安全软件信息、运行进程、各类账号信息、各类密码、用户文件内容、记录分析用户行为、获取用户网络交易信息、收藏夹信息、用户联网信息、用户下载信息，利用移动终端麦克风、摄像头等设备获取音频、视频信息等。　　窃取的隐私，用来做些什么呢？　　TechWeb了解到，窃取隐私的目的有很多种，主要是用来“卖钱”，客户主要包括三种：一是广告商，购买通讯录信息或地理位置信息，用于推送广告；二是短信诈骗集团，购买通讯录诱导用户汇款；三是私家侦探公司或有监听需求的用户，购买短信、通话记录、地理位置、音频等信息，或直接购买间谍软件，用于监听目标用户。　　此外，这些隐私信息还可能用于积累公司信息库，或暂时不会做任何事情，隐藏性强。　　据行业内人士向TechWeb透露，一款Android平台上的间谍软件，一个月的使用费用上千元，继续使用则要续费。有专家称，目前每年被窃取隐私的手机用户超过千万，而该产业规模上亿。有悲观的观点认为，在智能手机时代，人们已经没有隐私可言了。　　最可怕的是：毒藏在云端　　你可能还不知道，在我们不知情和未授权的情况下，恶意APP是如何窃取、上传了我们的隐私?　　为此，TechWeb专门咨询了金山、安全管家等多家安全厂商，从技术专家的口中，我们得知了病毒的操作步骤：　　首先，恶意APP要申请相关权限，如收听电话权限、录音权限、接受短信的权限等，获取权限后才能够获取相关信息。窃取隐私的模式有两种：一是本地控制，二是云端控制，后者更不容易被发觉。　　本地控制，即由本地来控制什么时候上传隐私信息，规则是固定的，主要有几种：定时或定周期执行操作、监听执行、重启开机执行、点击应用本身触发；云端控制，即云端会发送指令，在什么情况下上传什么内容，规则是由服务器定的。相对于本地控制，云端控制更为“高明”，可以随意修改规则，不易被觉察。　　安全厂商为TechWeb提供了一个病毒样本，这款名为Android.Hack.zjSpy.a的病毒会通过执行云端指令，窃取用户信息。　　这一病毒会在系统启动、收到短信息、打电话等情况下自启动。病毒收到短信息时，将短信息的内容、来源号码、时间记录在本地文件里；病毒会记录手机通话的时间和号码，如果是电话打入，会记录打入时间和结束时间。　　病毒注册自启动信息　　病毒根据指令上传用户信息　　病毒会默认在系统启动3小时后上传通话记录与短信息记录，这个时间是在配置文件中读取的，病毒还可能会根据网站返回的指令修改这个时间，这个延时上传使用户不会察觉问题，且上传文件的开关也是由配置文件控制的，病毒作者也可以通过修改该标志决定是否收集用户的隐私信息。　　据安全专家赵明介绍，除了窃取短信、通话记录的病毒，还有一些游戏捆绑的广告中存在病毒，游戏启动后，病毒会把手机唯一序列号、SIM卡唯一序列号、电话号码、GPS地理位置信息上传到服务器。　　“用户只是玩一个游戏，却被窃取手机号码、地理位置等信息，黑客可以定位到你的人，知道这个号码在什么位置，让你没有安全感。有些互联网公司也会做用户行为分析，但是匿名分析。”赵明称。　　用户该如何防范？　　据了解，窃取隐私的APP来源渠道有多种，一是电子市场，当前，电子市场与安全厂商合作，加强了APP检测，但不排除有漏网之鱼。Google电子市场曾几次报告发现恶意软件。二是通过第三方论坛下载的APP。三是一些终端零售商将病毒APP刷进ROM里；四是他人在你手机中恶意安装监听软件。　　普通用户如何防范呢？TechWeb为你支几招：　　首先，从正规渠道下载APP，安装时注意查看权限。如果相关权限与软件本身无关，如果不是必须尽量不要安装。　　第二，看手机定位符号。如果手机打开GPS信息，右上方会有GPS卫星标志闪动，如果手机没在有打开GPS的情况下莫名闪动，用户应该注意。更糟的情况是，现在很多APK已经不用通过GPS获取用户地理位置了，直接通过基站信息获取。　　第三，看流量符号。如果用户在没有联网的情况下，手机流量在莫名其妙的上传或下载，“E”标志闪动（此情况出现在2G网络下），用户应该注意。用户还可下载正规的流量监控软件，如果某些APP流量耗费多而本身又无联网需求，用户应该注意。　　游云庭律师观点：　　APP窃取隐私属侵权行为 可向工信部举报　　针对APP窃取隐私的现象，TechWeb采访了上海大邦律师事务所知识产权律师游云庭，他表示，APP窃取用户隐私的行为违反了《侵权责任法》。APP经营商未经用户同意，收集用户隐私的行为，属于侵犯用户隐私权的行为。用户可以向主管软件的工信部进行举报，也可以通过到法院进行民事诉讼来寻求救济，根据《侵权责任法》要求侵权者赔偿损失及停止侵权。　　APP窃取隐私违反《侵权责任法》和《计算机信息系统安全保护条例》　　针对APP窃取隐私的现象，TechWeb采访了上海大邦律师事务所知识产权律师游云庭。以下为采访实录。　　TechWeb：在用户未知的情况下， APP窃取用户隐私，是否触犯了国家的法律法规?　　游云庭：APP窃取用户隐私的行为违反了《侵权责任法》，根据该法第二条的规定，“隐私权”属于公民享有的民事权益。APP经营商未经用户同意，收集用户隐私的行为，属于侵犯用户隐私权的行为。　　另外，根据《计算机信息系统安全保护条例》第七条的规定，“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。”而“隐私权”当然属于我公民的合法利益。因此，APP经营商还违反了该《条例》。　　对用户造成损害需要承担赔偿责任　　TechWeb：APP窃取隐私有不同目的，有的是为积累信息库，有的窃取了隐私暂未作出行动，有的则卖给了广告商、短信诈骗集团，这些都属于什么行为，需要承担则样的责任?　　游云庭：这些都属于侵犯隐私权的行为，区别是“积累信息库”或“未作出行动”并未对用户造成损失，即便涉及赔偿，金额也不会高。后者“卖给了广告商、短信诈骗集团”可能对用户造成损害，需要承担赔偿责任。　　根据现行刑法的规定，除特定主体外，APP经营者因窃取用户隐私行为承担刑事责任的可能性不大。　　可向工信部举报或到法院提起民事诉讼　　TechWeb：用户如果遭遇隐私窃取问题，该怎么办?　　游云庭：中国刑法修正案七中规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”。如果是这些主体侵犯公民隐私权，公民可以到公安部门报案。　　而对于APP经营者的侵权行为来说，用户可以向主管软件的工信部进行举报，也可以通过到法院进行民事诉讼来寻求救济，用户可以根据《侵权责任法》要求侵权者赔偿损失及停止侵权。　　TechWeb注：用户遭遇窃取隐私APP，可向工信部电信管理局或通信保障局写举报信。工信部网址：http://www.miit.gov.cn/n11293472/index.html；工信部地址：中国北京西长安街13号。　　商家获取用户隐私应该遵守明示的规则　　TechWeb：您对这个行业有哪些建议?　　游云庭：除了在线游戏行业外，中国整个互联网产业基本是不向用户收费的。如果不收费，挖掘用户的数据针对性投放广告是必然的商业模式，我们认为，商家在获取用户隐私应该遵守明示的规则，且不能将用户隐私数据用于违法法律的用途。此外，中国Android电子市场数量多，Google官方也无从管理，因此目前比较混乱，我们认为可以成立民间的认证机构，对各个APP进行技术检测，并对没有后台程序的安全APP授予认证标志，只要该认证机构保持中立，经过一段时间，必定会取得用户的信任，可作为用户选择APP时的重要参考。　　附：窃取隐私APP名单　　TechWeb联系了国内多家安全厂商，他们分别提供了一些窃取隐私APP名单，我们整理如下。注：这些APP都经过他们的专业团队反复检测。　　TechWeb的建议：安全第一，请立即删除。　　指纹锁屏尝鲜版　　病毒克星　　一键翻墙(免费版)　　超级管理器　　每日记账本　　随身翻译机　　经典拖拉机　　罗马对对碰　　锁屏专家　　一鍵VPN　　经典贪吃蛇　　生活的艺术　　音乐随身听　　(以上名单来自金山手机卫士。注：不安全的软件商店常有病毒伪装成以上软件)　　------------------------------　　五子棋　　魔音　　爱情连线　　海藻天气预报　　安全管家（盗版）　　血斩僵尸　　森林守护天使　　奇幻水族馆　　狂奔少年　　疯狂企鹅　　(以上名单来自安全管家)　　------------------------------　　X卧底　　窃听猫　　比歌软件　　位置暴露狂　　(以上间谍软件由网秦科技截获)