視覺中國供圖
如果不是南京警方抓到了犯罪嫌疑人,陳慶(化名)可能到現在不清楚「自己是如何被找到的」。
2018年1月20日,在南京做生意的陳慶在一家飯店吃夜宵時,被幾名討債人團團圍住,於是報警。民警到現場之後了解到,陳慶平時喜歡用一款知名手機聊天工具,討債人就去網上購買了一款針對該聊天工具的定位軟體,實時定位了陳慶的聊天帳號位置。
果然,民警在討債人的手機裡發現這款名叫「App神探」的定位軟體,能對多款主流聊天工具進行實時定位。該案件引起南京警方網安部門重視,立刻對其開發者、銷售者、使用者等展開偵查。隨後,警方將開發「App神探」定位軟體的吳強(化名),以及用該軟體非法定位的其他9人抓獲。
據悉,這是國內破獲的首例非法侵入手機App獲取用戶位置信息,為調查公司、討債公司乃至涉黑涉惡團夥提供人員追蹤、技術定位的侵犯公民個人信息刑事案件。
「定位軟體」精確位置只相差20~50米
2018年3月26日,南京警方派員趕往青海省海東市,在當地警方支持下,從一處工棚裡抓獲了「App神探」開發銷售者吳強,現場繳獲電腦、銀行卡等作案工具。此外,還有9人因頻繁使用該軟體非法定位他人位置,也被南京警方抓獲。
鼓樓分局網安大隊副大隊長楊桂年說,從初步調查看,這款App軟體是針對手機即時通訊工具開發的,通過破解聊天應用程式的安全防護系統,侵入並從中非法獲取了被定位對象的經緯度信息,從而非法獲知某個人的具體位置,已經涉嫌侵犯公民個人信息犯罪。
30歲的吳強是江西上饒人,計算機專業畢業後成為一名技術員。因為喜歡黑客技術,偶然機會,他在網上看到有人賣手機聊天工具定位軟體,但使用功能很一般,於是他就想自己開發定位精度更高的軟體。
沒多久,他破解了一款手機聊天程序的位置信息防護系統,搗鼓出一款新的定位軟體,並命名為「App神探」,通過QQ群、微信群、聊天室等網上渠道銷售。
「用戶要先在App軟體上註冊成為會員,充值後才能使用定位功能。如果對方在線,定位一次只要1元;如果對方不在線,定位一次要10元。他後來還開發出針對多款主流聊天工具的定位功能,定位一次100元。」楊桂年介紹。
據警方多次偵查實驗發現:精確位置只相差20~50米。案發時,定位軟體在兩年間吸引了4000多名註冊用戶,其中充值金額在1000元以上的有近200人,涉案金額40餘萬元。
定位軟體被多個涉黑涉惡團夥使用
讓人驚訝的是,這款定位軟體不光被個人非法使用,還成為國內80餘家調查公司、討債公司實施不法行為的幫兇,幫其對目標人物實時定位。
更讓人震驚的是,國內多個涉黑、涉惡團夥也在用這款定位軟體,定位這些團夥要下手的目標人物位置信息,進而實施非法拘禁、故意傷害等違法犯罪行為。
南京鼓樓警方梳理了4000多名註冊使用者,成功串併到另一起在南京使用這款定位軟體的案件。這是一家涉惡性質的討債公司,目前已被南京警方搗毀。
「這款手機App定位軟體的出現,給眾多手機App軟體服務商帶來巨大風險。」楊桂年說,當前手機上的App應用軟體多數開發原理是基於使用者的地理位置而提供的增值服務。這款定位軟體使用的定位技術原理,可以在很多App應用軟體上使用,風險極大。
目前,吳強因涉嫌提供侵入計算機信息系統、程序工具罪被移送審查起訴;另有兩人因頻繁非法使用該軟體定位他人位置信息,被以涉嫌侵犯公民個人信息罪被移送審查起訴。使用該軟體非法定位並找到陳慶的3名「討債人」,也被依法給予批評教育。
江蘇警方表示,作為一種新型犯罪案件,該案的出現對如何有效防範黑客攻擊,如何有效保護每個App用戶合法權益,既敲響了警鐘,又提出全新挑戰,應該引起監管部門、App服務商和手機用戶的高度重視。
信息洩露的源頭在哪裡
現實中經常面臨這樣的問題,安裝App時未經用戶選擇,會自動獲取個人信息,比如精確定位、通訊錄、發送短消息等。這種App過度收集的個人信息,易被「黑客」找到漏洞開發定位軟體,這也是信息洩露的真正來源。
2018年8月23日,江蘇省消費者協會發布「關於手機應用程式侵犯消費者個人信息安全」的發布會。現場軟體檢測顯示,手機下載了100多個手機應用,其中79個應用可獲取定位權限。「簡訊和彩信」這一項,有23個應用可直接向通訊錄上聯繫人發送簡訊,有96個應用可直接發送彩信。點開「電話與聯繫人」一項,有14個應用可以監聽電話和掛斷電話。
值得一提的是,所有獲取的個人信息中,「位置信息」和「讀取通訊錄和簡訊」最容易被讀取。
「現在大多數App都有獲取位置的權限,而且是精確定位,GPS定位可精確到10米。各個開發企業給予的理由是,需要進行一系列社交模塊的功能。」江蘇致邦律師事務所律師陶若晨介紹,比如,一款閱讀軟體解釋,定位後可看到周圍人在讀什麼書,「但我們認為,想要實現這個功能,獲取大致位置權限就可,不需要GPS精確定位。」
對於「讀取通訊錄和軟體」信息,陶若晨介紹,大部分公司解釋,需要驗證碼,避免用戶重複註冊,同時可以對軟體推薦使用,「但這種情況,用戶通訊錄和簡訊,在軟體公司面前是完全透明的,建議消費者不要以這樣的權限獲取。」
「其實我們能看到的權限設置並不是全部,還有很多消費者完全看不到手機的權限設置,軟體就已自動安裝完畢。」江蘇省消協法援部工作人員傅錚說。
江蘇省消協投訴部主任張昊舒認為,絕大多數手機App在安裝前後,沒有明確告知消費者會獲取哪些權限,以及獲取權限後收集、使用個人信息的目的、方式、範圍和風險。同時,軟體獲取權限時,也沒有給消費者選擇的機會,存在默認選擇的現象,這些都侵犯了消費者的選擇權。
定位軟體背後滋生犯罪
中國青年報·中青在線記者在中國裁判文書網以「虛擬定位」為關鍵詞進行檢索,發現共有90條結果,包括詐騙、組織賣淫、敲詐勒索等各類案件。其中2015年1個案件,2016年16個案件,2017年25個案件,2018年47個案件,2019年1個案件。
中國裁判文書網顯示,2016年7月,湖北恩施土家族苗族自治州的90後苗濤在網上認識李某後建立「戀愛」關係。交往期間謊稱是北京人,長期生活在美國,並通過「虛擬定位」軟體與李某共享地理位置。取得信任後,編造在美國出車禍、為李某購買電腦和手機等物、為其奶奶及自己治病等理由,多次向李某借錢超過34萬元。法院判決顯示,苗濤犯詐騙罪,判處有期徒刑八年十一個月,並處罰金人民幣3萬元。
還有一個案例發生在廣東佛山市。判決書顯示,從2017年4月到7月,出生於1994年的齊某夥同多人,以網絡招嫖方式介紹賣淫。其中,他們利用「天下遊」軟體虛擬定位到上述酒店附近,並通過微信中「附近的人」功能讓嫖客添加其為微信好友,通過微信向嫖客發布招嫖信息、與嫖客商談嫖資等事項,介紹賣淫人員進行性交易。截至抓獲,齊某等人共介紹賣淫人員性交易900餘次,共同獲利人民幣18萬餘元。
記者梳理發現,犯罪人員犯罪多是利用「虛擬定位」軟體招攬陌生人或得到陌生人的信任,從而實施詐騙、敲詐勒索、組織賣淫等犯罪行為。犯罪嫌疑人多為無業游民,也有大學生,年齡不等,獲利金額從幾千元到幾十萬元不等。
江蘇張家港市人民檢察院檢察官楊揚琴指出,由於「虛擬定位」功能技術含量較低,使得網絡上相關軟體泛濫,很容易成為犯罪人員實施各類犯罪行為的「工具」。
她建議,公安機關應加大對「虛擬定位」軟體的監管力度。對於各類程序提供者而言,應提高對自身權益的保護意識,「不能等到有實質性的損失才引起重視,此時已產生許多較大社會危害。」