新形勢(shì)下個(gè)人隱私安全——智能手機(jī)風(fēng)險(xiǎn)的研究與分析

◆杭肖 高瑞

新形勢(shì)下個(gè)人隱私安全——智能手機(jī)風(fēng)險(xiǎn)的研究與分析

◆杭肖 高瑞

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心（西安） 陜西 710065）

在新形勢(shì)下個(gè)人隱私保護(hù)變得越來越重要，本文概述了個(gè)人隱私的安全隱患和保護(hù)方法，智能手機(jī)豐富了我們每個(gè)人的生活，與此同時(shí)帶來的是個(gè)人隱私安全風(fēng)險(xiǎn)。個(gè)人隱私安全更多的是需要用戶自身增強(qiáng)防范意識(shí)，做好自我防護(hù)，這樣才能有效保護(hù)好個(gè)人信息。

信息安全；個(gè)人隱私保護(hù)；智能手機(jī)

1 如何保護(hù)好個(gè)人隱私安全

隨著信息技術(shù)的進(jìn)步和發(fā)展，新應(yīng)用和新技術(shù)的快速普及和應(yīng)用，網(wǎng)絡(luò)安全和數(shù)據(jù)安全問題也變得越來越重要，大數(shù)據(jù)的海量積累和AI標(biāo)簽識(shí)別的技術(shù)應(yīng)用，個(gè)人隱私安全面臨極大的沖擊。從事中國相關(guān)金融行業(yè)的投資專家就個(gè)人隱私保護(hù)問題曾經(jīng)發(fā)表過這樣的一些言論，他們都認(rèn)為在國內(nèi)，大家對(duì)你的個(gè)人隱私并不是很重視，很多投資人還是愿意用你的個(gè)人信息安全來換取其在大數(shù)據(jù)技術(shù)時(shí)代的用戶生活性和便利性?；ヂ?lián)網(wǎng)信息時(shí)代給我們的工作生活方式帶來了高效的工作便捷性，同時(shí)也給我們自身帶來了個(gè)人隱私信息泄露的巨大風(fēng)險(xiǎn)。

在我們的生活中，我們的每一個(gè)行為都赤裸裸地暴露在互聯(lián)網(wǎng)的另一端。在大多數(shù)時(shí)候我們并不知道，我們的隱私被別人竊取和轉(zhuǎn)賣了，其中隱私泄露帶來的危害，很多人還不是很清楚。而目前使用智能手機(jī)已經(jīng)逐漸成為現(xiàn)代人們進(jìn)入日常生活的一件必備品，所以智能手機(jī)安全和APP安全就顯得尤為重要，大多數(shù)人使用智能手機(jī)上網(wǎng)的頻率比電腦上網(wǎng)來說要高得多，但是你的智能手機(jī)和正在使用的APP真的安全嗎？

2 智能手機(jī)安全

智能手機(jī)信息安全包含硬件安全和軟件安全，在本文中重點(diǎn)闡述軟件安全，對(duì)硬件安全不做分析。

智能手機(jī)應(yīng)用軟件中的信息安全主要要求包括軟件機(jī)密性、完整性和軟件可用性三個(gè)大部分。機(jī)密性安全是否意指智能手機(jī)系統(tǒng)中的這些數(shù)據(jù)安全不會(huì)在任何用戶未得到授權(quán)的任何情況下被第三方獲取得到，因?yàn)槟壳爸悄苁謾C(jī)系統(tǒng)中的這些數(shù)據(jù)大部分都可能是關(guān)于用戶的一些私有個(gè)人信息，必須注意保證每個(gè)用戶的這些私有個(gè)人信息安全不會(huì)被對(duì)方泄露。完整性認(rèn)證是在泛指使用智能手機(jī)的操作系統(tǒng)和軟件智能手機(jī)軟件中的所有數(shù)據(jù)都必須是完整的，系統(tǒng)未被惡意破壞，數(shù)據(jù)沒有被惡意篡改或者是被刪除。可用性好就是意指你的智能手機(jī)能夠時(shí)刻保持處于一個(gè)可持續(xù)使用的工作狀態(tài)，保證智能手機(jī)通訊的順暢。

對(duì)于人的個(gè)人隱私而言，我們主要比較關(guān)注的是手機(jī)操作系統(tǒng)的隱私安全性，目前我國智能手機(jī)的兩大主要操作系統(tǒng)分別是這個(gè)android和這個(gè)ios，這兩個(gè)智能手機(jī)操作系統(tǒng)都自稱是美國的一家公司自主開發(fā)的，ios操作系統(tǒng)本身完全是非法的開源操作系統(tǒng)，我們根本看不到操作系統(tǒng)本身底層的開放源碼，系統(tǒng)底層是否在使用后臺(tái)保護(hù)智能手機(jī)我們的這些個(gè)人信息我們不得而知，而這個(gè)android操作系統(tǒng)本身是一種基于一個(gè)linuxu的內(nèi)核（不僅僅包含了lgnu內(nèi)核組件）的自由及完全開放的無源代碼的智能手機(jī)操作系統(tǒng)，但是國內(nèi)很多廠商會(huì)基于標(biāo)準(zhǔn)版進(jìn)行深度定制，在很多論壇上也有基于組織或者個(gè)人的定制版系統(tǒng)發(fā)布，這就給定制操作系統(tǒng)帶來了一定的風(fēng)險(xiǎn)，有沒有在定制版系統(tǒng)里面隱藏惡意程序，對(duì)于我們普通用戶來說是不容易察覺到的。

3 惡意程序

自2015年中旬以來，還陸續(xù)不斷出現(xiàn)了大量的優(yōu)酷游戲刷機(jī)鎖屏鎖幕刷機(jī)外掛勒索軟件應(yīng)用偽裝軟件，這類刷機(jī)勒索軟件應(yīng)用多次被用戶偽裝成優(yōu)酷音樂游戲鎖屏刷機(jī)勒索外掛、QQ優(yōu)酷游戲鎖屏刷機(jī)外掛挖金幣鉆石等勒索應(yīng)用軟件等。病毒再次啟動(dòng)后，就很有可能會(huì)再次出現(xiàn)系統(tǒng)強(qiáng)制自動(dòng)關(guān)閉鎖屏，即使智能手機(jī)用戶再次手動(dòng)重啟新的智能手機(jī)也無濟(jì)于事。病毒軟件惡意制造者用戶可能會(huì)故意將自己的真實(shí)手機(jī)號(hào)及聯(lián)系方式等信息保留在其他電腦或者鎖屏后的用戶界面，等其他用戶無法取得聯(lián)系時(shí)對(duì)其用戶進(jìn)行惡意攻擊恐嚇，詐騙其他用戶個(gè)人錢財(cái)。同時(shí)我們經(jīng)常出現(xiàn)的一種情況就是還有大量的各種類似色情淫穢等等類型的勒索手機(jī)病毒軟件，通過它們具有高度誘惑性地直接點(diǎn)擊這些應(yīng)用程序軟件上的圖標(biāo)，或者你只是點(diǎn)擊應(yīng)用程序軟件名稱上的提示按鈕，來直接刺激你注冊(cè)手機(jī)用戶群并進(jìn)行免費(fèi)下載，幾個(gè)月的疫情暴發(fā)一段時(shí)間就已經(jīng)完全可以成功感染上百萬多的注冊(cè)手機(jī)用戶。這類型的惡意網(wǎng)絡(luò)病毒通常認(rèn)為具有惡意直接攻擊扣取用戶話費(fèi)、竊取其他用戶個(gè)人隱私、強(qiáng)制阻止用戶主動(dòng)推送并惡意自動(dòng)安裝其他惡意網(wǎng)絡(luò)病毒惡意程序等網(wǎng)絡(luò)病毒傳播行為，由于此類型的惡意網(wǎng)絡(luò)病毒傳播行為往往能夠直接誘導(dǎo)使任何人從中獲益，備受國內(nèi)社會(huì)各界不法分子廣泛攻擊青睞，用戶因此也必須隨時(shí)隨刻提高警惕。

還有很多惡意程序被人誤稱為“有潛在危害的程序”（potentially harmful apps），因?yàn)楹茈y明確界定它們本身是不是帶有惡意的。如果一個(gè)手機(jī)視頻文件播放管理軟件能夠要求用戶能同時(shí)訪問很多與它的主要應(yīng)用功能無關(guān)的用戶信息，比如一個(gè)用戶的手機(jī)通訊錄、位置查詢信息、短信、攝像頭、通話記錄信息等，那么這就很不合理。我國在這兩個(gè)方面的相關(guān)行業(yè)法律規(guī)范和市場(chǎng)監(jiān)管還不是很完善，不少企業(yè)應(yīng)用程序，包括一些著名軟件廠商在其開發(fā)的應(yīng)用程序里，常?？赡軙?huì)出現(xiàn)有一些涉嫌侵犯?jìng)€(gè)人用戶商業(yè)隱私個(gè)人信息的廣告內(nèi)容。把一些我國軟件廠商自己開發(fā)的惡意程序代碼拿到一個(gè)防毒的惡意程序病毒掃描軟件引擎，例如一個(gè)集成了56個(gè)惡意防毒掃描引擎的程序virustotal里面上去進(jìn)行掃描，大概有一半以上都是有問題的。很多此類應(yīng)用程序可能都會(huì)把你在手機(jī)中能明確界定一個(gè)用戶真實(shí)身份的個(gè)人信息直接拿走。但我們不清楚他們?yōu)槭裁磿?huì)需要我們獲取這些個(gè)人信息，是什么要他們做好事還是要做壞事。

那么，如何才能避免你在下載時(shí)遇到包含惡意程序或有潛在安全危害的應(yīng)用程序？雖然目前專業(yè)檢測(cè)機(jī)構(gòu)已經(jīng)可以對(duì)應(yīng)用程序本身進(jìn)行直接檢測(cè)，但對(duì)一般手機(jī)用戶來說，很難通過直接判斷某個(gè)應(yīng)用程序本身是否可能含有任何惡意代碼，比較現(xiàn)實(shí)的解決辦法就是通過分析應(yīng)用程序市場(chǎng)和軟件廠商的商業(yè)聲譽(yù)關(guān)系來間接進(jìn)行判斷。正規(guī)的軟件市場(chǎng)（應(yīng)用商店）一般都會(huì)對(duì)這些應(yīng)用程序本身進(jìn)行一些某種程度的安全監(jiān)管。

對(duì)于蘋果公司的操作系統(tǒng)（ios），從安全的這個(gè)角度來說，最好不要用它去進(jìn)行越獄。iosot越獄（iosjailbreaking）功能使得蘋果用戶不僅可以從所有蘋果應(yīng)用商店外下載安裝其他非官方的越獄應(yīng)用程序，甚至可以獲取一個(gè)root越獄權(quán)限。root系統(tǒng)權(quán)限操作是系統(tǒng)運(yùn)行權(quán)限的一種，獲得一個(gè)root系統(tǒng)權(quán)限就是系統(tǒng)擁有了整個(gè)系統(tǒng)的最高運(yùn)行權(quán)限，可以對(duì)系統(tǒng)文件中的任何一個(gè)文件（其中包括系統(tǒng)文件）實(shí)時(shí)執(zhí)行所有增、刪、改、查的權(quán)限操作。所以，很多系統(tǒng)黑客在每次入侵系統(tǒng)的這個(gè)時(shí)候，都一定要把系統(tǒng)權(quán)限等級(jí)提升至達(dá)到一個(gè)rootr的權(quán)限。理論上，iphoneg在越獄后的其安全性能將會(huì)大幅降低。在尚未越獄的手機(jī)應(yīng)用程序市場(chǎng)中，程序的安全問題很多。如果手機(jī)用戶粗心地在手機(jī)安裝了某個(gè)手機(jī)惡意程序，它就不僅可以隨意自動(dòng)讀取、修改或在系統(tǒng)上任意備份文件，獲取手機(jī)社交、網(wǎng)絡(luò)移動(dòng)支付等各種應(yīng)用的海量數(shù)據(jù)，甚至還可以隨意刪除系統(tǒng)文件、導(dǎo)致系統(tǒng)異常崩潰等等。

而對(duì)于安卓操作系統(tǒng)，則盡量不要從過去那些小的軟件市場(chǎng)中直接下載應(yīng)用程序。目前由于我國的第三方安卓軟件應(yīng)用程序市場(chǎng)沒有統(tǒng)一的代碼管理執(zhí)法尺度和嚴(yán)格規(guī)范管理標(biāo)準(zhǔn)，小的應(yīng)用市場(chǎng)對(duì)安卓程序的代碼審查往往不太嚴(yán)格，甚至還可能會(huì)出現(xiàn)存在向安卓程序里用戶加入大量惡意代碼的違法現(xiàn)象。有些網(wǎng)站開發(fā)者將自己的下載程序直接放在一個(gè)網(wǎng)頁中，讓很多用戶無法去直接點(diǎn)擊進(jìn)行下載，很多時(shí)候用戶也不會(huì)覺得自己官網(wǎng)上的下載程序最可靠。其實(shí)，官網(wǎng)未必安全，因?yàn)槟切┎僮鞒绦驔]有經(jīng)過任何嚴(yán)格審查。有時(shí)，同樣一個(gè)手機(jī)應(yīng)用，在一個(gè)聲譽(yù)較好的應(yīng)用市場(chǎng)中下載的應(yīng)用程序可能是完全沒有什么問題的，但其他在官網(wǎng)上下載的程序卻可能有很多問題。總的來說，蘋果或安卓系統(tǒng)官方版是應(yīng)用程序市場(chǎng)中那些國際知名度比較高的軟件廠商自己開發(fā)的應(yīng)用程序，相對(duì)來說更安全。

不過，手機(jī)的安全防護(hù)機(jī)制也在不斷進(jìn)步。以前，安卓系統(tǒng)中在安裝一個(gè)手機(jī)應(yīng)用程序的文件時(shí)，會(huì)自動(dòng)彈出它安裝需要的所有權(quán)限要求列表，用戶如果還需要重新安裝這個(gè)應(yīng)用程序，只能選擇同意所有權(quán)限要求，無法進(jìn)行選擇。而現(xiàn)在對(duì)于蘋果安卓系統(tǒng)和安卓6以上的安卓系統(tǒng)，則都已經(jīng)是普遍采用這樣的詢問方式：用戶安裝時(shí)不再自動(dòng)詢問，但是當(dāng)這個(gè)應(yīng)用程序第一次要用到某個(gè)程序權(quán)限的用戶時(shí)，會(huì)自動(dòng)詢問系統(tǒng)是否已經(jīng)允許用戶使用這個(gè)程序權(quán)限。如果一個(gè)用戶每次選擇“否”，那么以后就都會(huì)按這個(gè)規(guī)則決定開始執(zhí)行。這樣您就有效率地防止?jié)撛诘膫€(gè)人信息安全泄露。

智能手機(jī)豐富了我們每個(gè)人的生活，與其同時(shí)帶來的是個(gè)人隱私帶來的風(fēng)險(xiǎn)。在疫情風(fēng)控期間，各地防控APP和小程序收集了大量的個(gè)人信息，如身份證號(hào)碼、電話、行動(dòng)軌跡等，為了避免個(gè)人隱私泄露，我們應(yīng)當(dāng)強(qiáng)化對(duì)個(gè)人信息的安全使用，同時(shí)加強(qiáng)各行各業(yè)的自律性，避免灰色產(chǎn)業(yè)鏈的非法交易。個(gè)人隱私安全更多的是需要用戶自身增強(qiáng)防范意識(shí)，做好自我防護(hù)，這樣才能有效保護(hù)好個(gè)人信息。