移动端监控是最普遍的窃密方式之一。手机上的各种App在安装时会请求大量的权限,包括麦克风、摄像头、位置信息、通讯录和相册。普通用户往往不会仔细看这些权限申请的合理性,直接点击同意。而这些App在获取权限后可以在后台偷偷收集用户的各类敏感信息,上传到服务器进行分析和利用。更可怕的是很多App收集数据的行为是完全隐蔽的,用户根本不知道自己成了被监控的对象。即使你注意到了权限申请,很多App也会用各种方式诱导你同意,或者在你拒绝后改用别的技术手段来获取类似的信息。
故事:某知名天气应用被曝光在后台收集用户的位置信息、设备标识符和WiFi列表,将这些数据发送给第三方数据分析公司。用户以为这个App只是为了显示天气才要位置权限,但实际上它把用户的位置、WiFi网络信息和设备信息打包出售给了广告商和数据经纪商。更让人不安的是有些App在用户拒绝权限后仍然可以通过指纹识别和WiFi扫描推断出用户的精确位置。还有一些输入法App会收集用户输入的所有文字内容,包括聊天记录、密码和银行卡号,这些数据几乎没有任何防护地被存储在云端。还有一些手电筒App竟然要求读取通讯录和短信权限,这种明显不合理的权限申请其实是在为后台收集数据打开大门。
泄密链路分析:App在安装或首次使用时请求大量权限,用户为了使用方便往往全部同意。App在后台利用这些权限持续收集用户数据,包括通过麦克风收集环境声音关键字推断用户的兴趣爱好和购物意向,通过摄像头不定时拍摄周围环境的照片,通过GPS和WiFi定位追踪用户一天的活动轨迹,通过通讯录获取用户的完整社交关系链,通过相册读取用户的照片和视频中的隐藏信息。收集到的数据被加密上传到云端服务器进行大数据分析和用户画像构建,分析结果被用于精准广告投放和市场研究,甚至被用于保险定价和信用评估。
警示:安装App时要仔细审查权限申请,对于不合理的权限请求要坚决拒绝。在手机设置中可以随时查看和管理每个App的权限使用情况,定期清理不再使用的App权限。建议使用手机系统自带的安全检查功能扫描App的异常行为。对于企业来说应要求安装在员工手机上的办公类App进行安全审查,确保这些App不会过度收集员工个人信息。移动设备已经成为每个人随身携带的监控器,保护好自己的手机权限就是保护好自己的数字隐私。记住如果一个免费App不直接向你收费,那很可能你的数据就是它赚取收入的产品,你在使用这个App的同时也在被这个App监控着。权限管理是移动安全的第一步,也是最容易被忽视的一步。
