★哪些東西算「行動裝置」?
按照俺一貫的風格,先界定清楚相關術語和範疇。
本文所說的「行動裝置」,至少包括:手機(智能和非智能)、平板、可穿戴設備(比如:智能手錶、智能腕帶、智能眼鏡)。
至於筆記本電腦或上網本電腦,不在此列。上網本雖然也很輕便,且容易移動,但是筆記本跟「手機/平板之類」,還是有本質的差異——進而導致了隱私防範方面的差異。
★硬體的隱私問題
先從最底層的硬體說起。
◇麥克風
名詞解釋
這個俺就不用解釋了吧?
隱私風險——基於麥克風竊聽
麥克風可以收集到行動裝置周圍的聲音,並且行動裝置上的軟體可以讀取麥克風的數據。如果你的行動裝置中了木馬。木馬當然可以用麥克風竊聽設備周圍的聲音。
雖然筆記本電腦上也有麥克風,但是筆記本電腦不會隨身攜帶,而手機通常是隨身攜帶。所以,同樣中了木馬的情況下,手機的竊聽風險遠高於 PC。
隱私風險——跨系統盜取密碼
有些手機為了提升安全性,採用了「雙系統」的設計。其中一個系統專門用來進行敏感操作,另一個系統進行日常操作。從表面上看,這有點類似俺多次提到的「虛擬機隔離」。但是手機的特點決定了它無法做到像虛擬機那麼徹底的隔離——比如這兩個系統共享了攝像頭、麥克風。如果A系統中了木馬,木馬可以利用攝像頭、麥克風、陀螺儀獲取信息,從而判斷出你在B系統中輸入的密碼。
說得更具體一點:如果是基於「物理鍵盤」輸入密碼,可以利用麥克風截獲按鍵音。如果是基於觸控螢幕輸入密碼,可以根據攝像頭或者陀螺儀,記錄手機的微小位移,從而判斷用戶按了哪個數字/字母。(在信息安全領域,這種攻擊手法稱為「邊信道攻擊」)
引申閱讀:
科學家警告稱:智慧型手機的攝像頭和麥克風有暴露PIN碼風險 @ 網易數碼http://digi.163.com/13/1111/10/9DD5A0OI00162OUT.html
既然可以做到跨系統盜取密碼,那麼跨系統偷窺你的其它按鍵(比如輸入了啥簡訊內容),當然也可以做到。
◇攝像頭
名詞解釋
這個俺就不用解釋了吧?
隱私風險——基於攝像頭監控
既然手機中的軟體可以操作攝像頭進行「拍照」和「錄像」。那麼手機中的木馬當然也可以幹同樣的事情。
很多人習慣把手機放在臥室裡,萬一放置的時候攝像頭的角度比較好,萬一你又中了木馬。說不定你的裸照就流傳出去了 :)
隱私風險——手機拍照,EXIF洩露的隱私
如今的智慧型手機和平板,基本上都內置攝像頭了。很多手機用戶經常會用手機拍照,然後分享到網上。
因為手機拍照後存儲的照片文件,通常包含有很詳細的 EXIF 信息,再次導致隱私洩露。所謂的 EXIF,通俗地說就是照片文件的元數據。有的手機拍的照片,照片文件中的 EXIF 非常詳細,包含了手機的型號、拍攝時間、GPS 信息、等信息。
(順便說一下:數位相機拍照後存儲的照片文件,同樣有 EXIF 信息)
引申閱讀:
美國國安局利用手機應用數據挖掘情報 @ 華爾街日報
(WSJ 的這篇報導提到了 NSA 對手機照片中 EXIF 的數據挖掘)
隱私風險——跨系統盜取密碼
此風險在前面介紹麥克風的時候,已經提及。此處不再羅嗦。
隱私風險——第一人稱攝像會暴露攝像者的身份。
類似 Google Glass 這類「頭戴式設備」可以拍下我們肉眼所見的一切,並保存為視頻文件(拍攝者不在視頻之內)。
那麼,別人有沒有可能根據這段視頻,判斷出誰是拍攝者捏?
現在已經有一項技術,僅僅根據拍攝者頭部的輕微晃動,來提取出某個獨一無二的指紋。具體參見如下引申閱讀。
第一人稱攝像頭可能暴露你的身份 @ 網易科技。http://tech.163.com/14/1216/11/ADJ7QGIO00094ODU.html
◇陀螺儀
名詞解釋
在行動裝置中,「三軸陀螺儀」已經很普遍了。這玩意兒可以實時獲取設備的運動狀態(比如:運動方向、加速度)。並且這些運動狀態的信息,是可以被設備中的軟體讀取的。
隱私風險——基於陀螺儀的竊聽
可能很多人覺得陀螺儀不會有啥隱私問題。其實你錯了。以目前的技術水平,陀螺儀可以實現【竊聽】。
這可不是俺聳人聽聞,請看大名鼎鼎的《Wired》的報導(連結https://www.wired.com/2014/08/gyroscope-listening-hack」)。看不懂洋文的同學,請看這裡的中文節譯http://tech2ipo.com/82818。此技術是幾年前(2014)新鮮出爐的,目前還不成熟。但今後就不好說了。
隱私風險——洩漏你的生活規律
除了前面提到的竊聽問題,還有其它一些隱私風險。
由於手機通常都是隨身攜帶的。如果某個軟體長時間收集你手機中的陀螺儀數據,就可以大致了解你的日常生活規律——
比如你是駕車上下班還是坐公交車/地鐵(私家車/公交車/地鐵,其加速度是不同的)
比如你周末是宅在家裡還是出門逛街。
比如你是否有跑步的習慣。
......
隱私風險——跨系統盜取密碼
此風險在前面介紹麥克風的時候,已經提及。此處不再羅嗦。
◇GPS
名詞解釋
GPS 是「全球定位系統」的縮寫。這玩意兒如今也比較普及了,大伙兒應該都聽說過。
隱私風險——洩露你的地理位置
GPS 的主要問題在於洩露了你的地理位置。在這個方面,GPS 暴露的信息遠遠高於陀螺儀。因為陀螺儀沒法準確定位到經緯度,而 GPS 可以。
因此,如果某個流氓軟體(或木馬)收集了你的 GPS 信息,就可以非常清楚你的行蹤。
隱私風險——洩漏你的生活規律
此風險在前面介紹陀螺儀的時候,已經提及。此處不再羅嗦。
◇其它硬體問題
還有其它一些硬體問題,放到後面的章節介紹。比如 wifi 網卡的問題,在「wifi無線網絡」中介紹。
★行動網路(2G、3G、4G)的隱私問題
為了打字省力,在本章節中,凡是提及「手機」一詞,均包含「帶有行動電話功能的平板」。
不具有行動電話功能的「平板/可穿戴設備」,不在本章節的討論之列。
◇手機的唯一標識(IMEI、IMSI、ICCID、MSISDN)
名詞解釋
大伙兒看到這幾個英文縮寫容易昏菜,大致解釋一下:
IMEI(International Mobile Equipment Identity)
俗稱「手機串號」,用來唯一標識某一部手機。共有15位數字。
IMSI(International Mobile Subscriber Identity)
在行動電話網中唯一標識某個用戶。共有15位數字。咱們日常用的手機號,沒法解決國際漫遊問題。IMSI 可以用來解決國際漫遊。
ICCID(ICC IDentity)
唯一標識某個 SIM 卡。相關維基詞條在「https://en.wikipedia.org/wiki/Subscriber_identity_module#ICCID」。
MSISDN(Mobile Subscriber ISDN)
這個就是咱們平常所說的手機號(對於大陸而言,就是「86」加上「11位數字」)。」
隱私風險——身份定位
理論上講,智慧型手機軟體可以通過各種 API 獲取到上述這些標識符。舉例:參見 Android 的這個 API。
隱私舉例
假如某個手機軟體收集了你的 IMEI 和 手機號碼。後來你換了一個手機號,但是手機沒換,那麼該軟體再次收集這兩個信息之後,就可以判斷出:(有很大可能)這兩個手機號碼其實是同一個人。
◇基站
名詞解釋
凡是能工作的行動電話,不外乎都要跟「移動基站」打交道。所謂的基站,是移動運營商架設的通訊設施。你的手機需要先跟基站建立無線連接,才能進入到運營商的無線行動網路中。
和基站相關的隱私問題,主要包括如下2方面:
1. 手機上的基站信息
手機跟基站建立通訊連接之後,手機上會存儲當前基站的信息。手機軟體可以讀取這些信息。如果某個手機同時連接的基站達到三個,就可以用幾何定位。
通過基站進行定位,精度通常不如 GPS 那麼高。但也已經能夠獲得某些隱私信息。
2. 基站上的手機信息
手機跟基站建立通訊連接之後,基站自然就獲得了手機的信息。通過這個信息,運營商就可以知道你這部手機處於哪個位置。
隱私風險——洩露你的地理位置
此風險在前面介紹 GPS 的時候,已經提及。此處不再羅嗦。
隱私風險——洩漏你的生活規律
此風險在前面介紹 GPS 的時候,已經提及。此處不再羅嗦。
◇偽基站
名詞解釋
某些圖謀不軌的人可以架設一個冒牌的基站,然後用來群發垃圾簡訊。這種就稱為「偽基站」。。
隱私風險——洩漏手機標識
如果你的手機跟「偽基站」建立連接,那麼「偽基站」就可以獲取你手機的手機號(MSISDN)以及手機串號(IMEI)。
◇政府對運營商的監控
名詞解釋
這個不用多解釋,大伙兒只需看看「稜鏡門醜聞」。 隱私風險——政府對移動運營商的監控
案例——美國的稜鏡門醜聞
稜鏡門醜聞,大伙兒應該都很熟悉了。從斯諾登曝光的材料看,美國的 NSA 可以監控其它國家(比如:巴哈馬、菲律賓、墨西哥)的行動網路。這些國家的運營商並不在美國政府的管轄範圍之下,NSA 是如何做到的捏?據說是 NSA 在這些運營商的網絡中設置了後門。
◇移動通訊協議的破解
名詞解釋
通俗地說,「移動通訊協議」就是行動網路中用來傳輸數據(語音、文本)的協議。你的語音通話、簡訊、彩信、移動上網,底層都是基於「移動通訊協議」來傳輸的。
一旦攻擊者能夠破解某種移動通訊協議,就意味著攻擊者可以拿到你的通訊內容(比如:語音通話、簡訊、移動上網數據)
隱私風險——對 2G 加密協議的破解
雖然移動通訊協議都是經過很多專家(當然也包括磚家)精心打造的,但是依然會有安全漏洞。尤其是 GSM 協議,誕生已經超過20年。當時設計的時候,並未考慮到如今這麼強的運算能力(暴力破解)。
隱私風險——對 3G 加密協議的破解
那麼,比 GSM 晚很多年誕生的 3G 協議是否很嚴密了呢?好像也未必。
★無線網絡(Wi-Fi)的隱私問題
聊完了行動網路,再來聊聊 wifi 網絡。
◇無線網卡的 MAC 地址
名詞解釋
所謂的「MAC 地址」,你可以通俗地理解為網卡的硬體唯一標識
隱私風險——洩漏你的行蹤
當你的手機了開啟 wifi 功能,手機會時不時地掃描周圍的 wifi 信號,看看是否有可用的 wifi 網絡連接。在掃描信號的過程中,手機會發出一些 wifi 信號。這些信號中包含了你的手機 wifi 網卡的 MAC 地址。因此,有心人就可以利用某些專門的設備,收集這些手機的網卡的 MAC 地址。由於 MAC 地址具有非常好的唯一性,因此也就具有很高的信息量,足以定位到唯一的個人。
下面這篇引申閱讀的文章,就提到了紐約的商家是如何利用這點,摸清顧客的行蹤及偏好(很詳細哦)。
◇公共場所的熱點
名詞解釋
顧名思義,就不解釋了。
隱私風險——你的網絡流量可能被監控(被嗅探)或篡改
很多同學喜歡使用公共場所的 wifi 熱點。這裡面有潛在的隱私風險。
首先,你並不知道架設這個熱點的人是不是一個攻擊者。比如你在星巴克裡面測試到的 wifi 熱點,既可能是星巴克提供的,也可能是某個攻擊者提供的(然後偽裝成星巴克的熱點)。
其次,至於那種來歷不明的熱點,就更可疑啦。
萬一你使用的熱點是某個攻擊者架設的,那麼這個攻擊者就可以嗅探到你(基於該熱點的)所有的上網流量。萬一你訪問的網站是走 HTTP 協議而不是 HTTPS 協議,那麼你就形同裸奔了(HTTP 是明文的,HTTPS 才是加密的)。
隱私舉例
假設你在公共場所用了某個來歷不明的熱點上網,並且訪問了某個國內郵箱(大部分國內郵箱,都【不是】全程 HTTPS 加密)。而這個熱點是一個攻擊者架設的。那麼攻擊者就可以拿到你郵箱中的所有內容。
更有甚者,攻擊者可以直接在郵箱的網頁上掛馬(因為 HTTP 是明文的,可以直接修改頁面內容,植入惡意腳本)。
◇基於 Wi-Fi 熱點的定位
名詞解釋
這種定位的原理,有點類似於」基站定位「。
如果行動裝置開啟了 wifi,設備上的軟體可以收集周邊 wifi 熱點的信號強度,然後上傳到該軟體的服務端。如果服務端已經存儲了大量的熱點信息,就可以通過算法比對,定位出該設備的位置。
隱私風險——洩露你的地理位置
此風險在前面介紹 GPS 的時候,已經提及。此處不再羅嗦。
隱私風險——洩漏你的生活規律
此風險在前面介紹 GPS 的時候,已經提及。此處不再羅嗦。
◇對 Wi-Fi 協議的破解
名詞解釋
wifi 因為是無線的,意味它沒有明確的物理邊界,這就讓攻擊者有機可乘。比如你在公司裡面架設的 wifi,如果 wifi 信號覆蓋到公司之外(這種情況很常見),那麼攻擊者無需進入公司,就可以進行破解。
隱私風險——你的網絡流量可能被監控(被嗅探)或篡改
此風險與「使用未知的公共熱點」類似,俺就不再浪費口水了。直接轉一篇帖子,給大伙兒瞧一瞧。
引申閱讀:
黑客講故事:攻下隔壁女生路由器後,我都做了些什麼 @ 知乎日報
★固件(Firmware)的隱私問題
名詞解釋
所謂的「固件」,港臺叫「韌體」,洋文叫做「Firmware」。你可以通俗地理解為「手機作業系統」。
隱私風險——上述的各種風險
既然是固件,自然可以訪問到手機的各種硬體(如前所述的:攝像頭、麥克風、陀螺儀、wifi網卡......)。所以,如果固件不靠譜,前面提到的【所有風險】,都會存在。
那麼,啥情況會導致「固件不靠譜」捏?大致有如下幾種情況:
1. 手機廠商默認安裝的固件就有問題——比如下面列舉的「小米醜聞」和「酷派醜聞」。
2. 你自己刷了第三方的固件,而這個固件本身就不靠譜——比如內置了後門。
案例——小米手機的醜聞
前幾年小米手機曝光了嚴重的隱私醜聞。經過海外的安全公司 F-Secure 進行專門的測試,小米手機不但會偷偷收集本機的「IMEI 和手機號」,更誇張的是——會收集每一個你撥打的號碼或發送簡訊的號碼。
引申閱讀:
《小米手機偷傳資料到北京? iThome找資安專家實測:有》
《小米手機竊取用戶隱私在臺灣已道歉 大陸用戶被無視了? @ TechWeb》
(如果你以為只有小米會這麼幹,那你就是「圖樣圖森破」,請看其它幾家公司的醜聞)
案例——其它國產手機的醜聞
酷派多款手機存後門——可自動安裝應用 @ 騰訊科技
酷派手機被曝存「後門」 @ 人民網
中興證實其一款在美銷售手機存後門漏洞 @ 網易科技
★應用軟體的隱私問題
行動裝置上的應用軟體,按照其運作機制可以分為兩類:
1. 該軟體的特性和行動裝置密切相關,因此只存在於行動裝置上(比如說「計步器」)。
2. 該軟體的特性和行動裝置關係不大,既存在於行動裝置,也存在於 PC 上(比如說「郵件客戶端」)。
至於第1類,其隱私風險與固件類似。也就是說,只用某個應用軟體不靠譜,前面提到的【所有風險】,都會存在。
比如微信,裝機量如此巨大,如果微信這個應用收集你的各種信息,然後加密發送到自己的伺服器上,你能察覺到嗎?
★和「物理安全」相關的隱私問題
◇失竊
手機/平板容易被偷,這應該是眾所周知的了。一旦失竊,那上面的數據(通通都跟隱私有關)就拱手讓人了。
相比而言,筆記本電腦的失竊率就遠遠小於「手機/平板」;至於臺式機,失竊率就更低了(哪怕遭遇入室盜竊,小偷都懶得去扛臺式機)。
從這個角度也可以看出,行動裝置【額外的】隱私風險。
◇不恰當的報廢處理
如今多數人至少都用過不止一個手機。淘汰下來的舊手機該咋辦捏?
有些人就當廢品賣了——愚蠢大大滴!舊手機能值幾個錢?但是你犧牲了自己的隱私。因為舊手機上存儲了很多跟你本人密切相關的信息。即使你把手機 reset(重置為出廠設置),這些數據也【不會】徹底消失。那麼如何徹底刪除呢,請看本系類的這篇文章http://baijiahao.baidu.com/builder/preview/s?id=1599873133111164180
★其它的隱私風險
◇閉源的問題
目前佔據主要市場份額的,是 Android(約3/4)和 iOS(約1/4)。iOS 不用說,肯定是閉源的。Android 表面上看是開源的,其實捏,不完全是。
Android 系統包括兩部分:AOSP(Android Open Source Project)和 GMS(Google Mobile Services)。GMS 是【不】開源的。而且自從 Android 佔據市場主導地位之後,Google 逐漸把 AOSP 中的模塊轉移到 GMS 中
關於「開源/閉源」導致的不同隱私風險,好在 Mozilla 也開始介入手機市場,推出了 Firefox OS(應該是全開源的)。Mozilla 作為非盈利組織,在隱私保護方面會好於 Google(商業公司)。所以 Firefox OS 會比 Android 保險一些。
可惜 Firefox OS 目前的市場份額還太小,也不曉得這個系統將來能否做大?
◇缺乏「作業系統虛擬機」
PC 上有很多成熟的「作業系統虛擬機」(比如 VirtualBox、VMware)。但是手機上沒有這麼好的(雖然有些智慧型手機可以用 QEMU,但整體功能不如桌面的虛擬化軟體)。
「作業系統虛擬機」可以幫你幹很多「隱私防範」的工作。缺了它,手機上的隱私保護就更難搞了。
◇缺乏「優秀的磁碟加密」
手機上確實有一些磁碟加密和文件加密的工具,但是和 PC 上的同類工具相比,成熟度差了一大截。
比如 PC 上的 TrueCrypt 同時支持「KeyFile 認證」和「Plausible Deniability」。手機上的加密工具,貌似沒有哪個同時支持這倆特性的。
★結尾
本文開頭俺說了——和行動裝置有關的隱私問題非常多,牽涉面很雜——因此,本文恐怕有遺漏之處。歡迎列位看官補充