E安全2月27日文 俗話說,道高一尺,魔高一丈。如今智慧型手機可謂炙手可熱,人手一部。智能設備確實給我們的生活帶來不計其數的好處,但同時,我們也面臨被窺探、監視的風險。當今社會,只要花上點錢,你就能窺探他人的簡訊、通話記錄、照片和位置信息。近期,央視記者在網上發現一些信息販子在網絡上公然叫賣個人隱私信息,聲稱只要提供一個人的手機號碼,就能查到其所有私密的個人信息,名下有什麼車,你現在什麼位置,花幾十塊錢就能知道,而且範圍覆蓋全國!
而在國外也是一樣,柏林一個破舊不堪的嘈雜酒吧裡,兩個人正在進行私人對話,但在相距6400公裡外的紐約,竟然有人在窺聽他們的談話內容。
僅憑一條簡訊息,間諜就能遠程激活麥克風監視被窺探一方的智慧型手機,將智慧型手機變成一個便捷式隱秘竊聽設備。這種技術已不再是絕密性政府計劃,或只有通過昂貴的監聽設備才能實現。只要花上170美元(今日匯率約1168.92人民幣元),甚至更少,任何都能執行竊聽計劃。
不受監管的消費間諜軟體行業正為嫉妒心重的戀人、商業競爭者和不正當的警察提供強大的計算機和移動手機惡意軟體。
Cyber Diligence總裁Yalkin Demirkaya同時也是一名取證調查人員,他研究過現成惡意軟體的案例。他指出,「這些間諜軟體的平均水平取決於你購買的包,有的軟體十分有效。」 他表示,他聽說有一家律師事務被指控使用間諜軟體竊取另一公司的敏感信息,他處理了大約24個計算機和移動消費間諜軟體的案件。
為了更形象地理解這類惡意軟體的強大之處,國外專門有人從波蘭一家公司購買了一款感染Android設備的軟體—— SpyPhone Android Rec Pro。該公司向偵探推銷自己,但看來,任何人都有可能從該網站購買技術。公司網站還在宣傳規避移動手機密碼的手機破解硬體。
SpyPhone Android Rec Pro可以複製受感染設備發送或接手的所有簡訊息,保存設備的通話記錄,盜取該手機拍攝的照片,並找到設備使用GPS在5米內的定位。之後,該惡意軟體將所有收集的信息發送給提供的電子郵箱,發送頻率為每天一次或每小時一次。這款惡意軟體,顧名思義還攔截了所有來電和和去電,並能遠程激活設備的麥克風。然而,激活簡訊對目標設備可見,可能會被受害者發現。
下單後,這家波蘭間諜公司發送了一份電子郵件,其中包含惡意軟體的下載連結、發票和用戶手冊。
該公司在郵件中寫到,「考慮到Google不斷變著法檢測應用程式,請直接通過手機瀏覽器點擊連結下載」。文件格式為.APK,是一款Android應用程式,價格只要140多英鎊,或170美元。
測試人員花了幾分鐘時間下載了這款惡意軟體,關掉Android安全設置,繼續安裝,輸入註冊密鑰,並開始準備收集數據。如果該用戶向快速完成,也就是說,如果目標將手機放在吧檯上,那麼幾秒鐘就能搞定。(注意,安裝惡意軟體需要對設備進行物理訪問)。
默認情況下,該惡意軟體的用戶界面在手機的主屏上,就跟其它應用程式一樣,但通過特殊的設置也可以將其隱藏。之後,攻擊者只需要在手機上輸入註冊碼(Subscription Code),並會再次彈出。除了能用使用特殊簡訊打開麥克風,簡訊還能遠程修改惡意軟體的設置,或停用該間諜技術。
測試者用SpyPhone Android Rec Pro拍攝的照片
測試者攜帶這款裝載著惡意軟體的手機在柏林的旅遊景點逛了一天:穿過亞歷山大廣場,來到博物館島,再到弗裡德裡希斯海因的一家咖啡館小憩,然後穿過城市到了酒吧。這時,遠在紐約的同事激活了設備的麥克風。手機每隔五分鐘就會記錄測試者的GPS位置,惡意軟體秘密竊取用手機拍攝的照片。
同時,惡意軟體自動生成報告,其內容包含手機的經緯度,Google地圖定位的連結,手機的通話記錄還帶有通話的音頻文件,甚至在電話掉電時給有提醒。(設備關機便無法收集數據)
該惡意軟體記錄了顯示GPS位置的地圖。(惡意軟體開發人員創建了地圖,但惡意軟體報告還包含連結,鏈到每個GPS記錄自動生成的Google地圖。)
SpyPhone Android Rec Pro不是唯一的消費間諜軟體。市面上開發並轉售這種技術的公司數不勝數。TheTruthSpy聲稱提供類似的功能,並監控WhatsApp的信息、Facebook的聊天記錄和網際網路的瀏覽歷史。XNSpy許諾在設備斷網的情況下,仍能繼續收集目標數據。Highster Mobile聲稱可以遠程開啟收集的攝像頭。(還有許多公司在銷售針對iPhone的惡意軟體,但通常需要越獄設備)。
顯然,這是一款非常強大的惡意軟體。事實上,福布斯和安全研究人員Morgan Marquis-Boire發現,政府的惡意軟體部分抄襲了其中一些間諜軟體,並使用大量相同的代碼。但消費間諜軟體並未面向政府銷售。相反,許多這類公司毫不隱晦地將產品銷售給嫉妒心重的戀人——尤其男性——他們想要監控配偶。
間諜網絡銷售公司FlexiSpy在網站上寫道,許多配偶互相欺騙,他們都在使用手機,手機會告訴任何事,而對方對有些事會守口如瓶。
結束家庭暴力的國家網絡(National Network to End Domestic Violence,NNEDV)執行副總裁Cindy Southworth提到幾個例子,包括HelloSpy網站的一個間諜軟體。
Southworth表示,「網站展示,一名女性被扔下床,作為配置追蹤廣告的部分內容。 HelloSpy網站還有另外一圖片,一名女性臉上滿是傷口和淤青。這令人反感、歧視女性,令人噁心」。
用來監控夫妻或助長家庭暴力的間諜軟體已存在近20年之久,多數案件都涉及手機和計算機黑客。
千禧年之交時,窺探者使用程序監視使用Windows設備的用戶。2001年,Steven Paul Brown聲稱在前妻的電腦上安裝了eBlaster軟體,該軟體可以監視所有瀏覽數據和發送給Brown的電子郵件。2006年,英國一名28歲的計算機學生因用刀殺害了自己的妻子而被判終身監禁。他使用一款複雜的軟體監控妻子的計算機。
一年之後,一名警官面臨兩大重罪。據稱,這名警官稱用Real Tech Spyware的一款軟體監控前女友。他通過惡意的電子郵件附件將軟體傳送至目標。這款軟體能記錄擊鍵,這名警官藉助此軟體訪問前女友的電子郵箱帳號。據當時的媒體報導,該男子之前承認使用軟體追蹤女性。同一年,一名來自德克薩斯州奧斯汀的男性因在分居妻子的電腦上安裝SpyRecon而被判4年監禁。SpyRecon可以監控用戶訪問過的網站,並讀取信息。
智慧型手機開闢了一條全新的監控大道。間諜軟體現在可以攔截通話,追蹤設備的GPS位置,並提取應用程式可能收集的大量信息。2014年,Cid Torrez被指控通過間諜軟體監控妻子的工作手機。(幾年前,Torrez被指控殺害自己的妻子。)第二年,據稱,一名男性在離婚訴訟期間使用監控軟體監視前妻的電話。
當然,並非每起案件都是刑事指控,更不用說定罪。2014年NPR調查發現,70個接受調查的家庭暴力收容所中,75%的受害者被隱藏應用軟體監聽。
一些間諜軟體公司在官網列出了條款和條件,可能是設法讓自己避開這類案件。
mSpy在網站發布免責聲明,「軟體僅用作法律用途。在移動手機或其它設備上安裝監控軟體(例如許可軟體)違反美國聯邦和/或州法律和地區管轄法,你無權監控。」
銷售消費間諜軟體的公司,尤其在市場大張旗鼓向戀人銷售監控產品的公司,已被官員指控並起訴。
2005年,聯邦當局宣布對Carlos Enrique Perez Melara(據稱,開發了「Lovespy」軟體,售價89美元)提出35項指控。這款惡意軟體表面上看無害,一旦點擊,就會安裝在目標設備上。FBI當時表示,全球有一千人購買該產品,並提取2000多臺計算機的信息。兩名男性和兩名女性還被指控。但是,Perez Melara數年來一直在逃。2013年,FBI將他列為頭號通緝犯之一。
檢察官在StealthGenie間諜產品公司執行長Hammad Akbar的案件中取得進展。Akbar承認2014年銷售攔截設備,並宣傳一款已知的攔截軟體,最終被處以50萬美元的罰款。
據取證調查員Demirkaya表示,繼這起案件之後,美國某些間諜軟體公司降低了從產品攔截通話的能力。但檢方似乎未在易於訪問的間諜軟體市場上加大力度。YouTube有則視頻宣傳一款類似SpyPhone Android Rec Pro的間諜軟體,其中有人評論到,「我想跟蹤妻子。」
再次將話題轉回酒吧,測試者的手機應該在三分鐘後停止記錄,但測試者看著黑色的屏幕,總認為間諜軟體在運行。
這類監控的潛在受害者如何查看自己是否被監視?又有哪些有效應對措施呢?
電子前沿基金會(Electronic Frontier Foundation)網絡安全總監Eva Galperin表示,「應對這種威脅模式非常複雜,因為你不知道受害者真正擁有的私人空間有多大。」
一些受害者可能沒有將私人空間隱藏在第二部電話中;其它人也許已經被迫或強迫放棄設置手機密碼,並不是所有人都負擔得起兩部手機和相應的成本。
結束家庭暴力的國家網絡(National Network to End Domestic Violence,NNEDV)的執行副總裁Cindy Southworth表示,「家庭暴力和潛在跟蹤行為不僅僅是監控,而是通過監控獲取信息,從而引起恐懼。」
以下為防止這類監視的建議:
Southworth表示,「我給受害者的第一個建議是相信你的直覺。如果直覺告訴你,你的前夫/前妻或現任丈夫/妻子對你了解過多,很可能是他們在監視你的一舉一動。」
對於iPhone用戶,窺探者通常必須先將設備越獄,進而安裝監視惡意軟體。查驗的方法是,在手機中搜索「Cydia」應用程式——越獄設備有時會帶有這樣一個應用商店。通常,更新到最新版的iPhone比較難越獄,因此,安裝更新版本很重要。如果有人給你一個手機作為禮物,那可能要當心啦。
Southworth指出,將設備恢復到出廠設置是相對安全的做法。但是,有些Android惡意軟體有保護功能,因此移除相對困難一些。
除此之外,如果自己有把握被自己正被監視,可以向專家徵求意見。切記,通過未受感染的手機聯繫。
E安全註:本文系E安全獨家編譯報導,轉載請聯繫授權,並保留出處與連結,不得刪減內容。聯繫方式:① 微信號zhu-geliang ②郵箱eapp@easyaq.com
@E安全,最專業的前沿網絡安全媒體和產業服務平臺,每日提供優質全球網絡安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。