發表日期 3/16/2022, 10:18:59 AM
在沒有任何提示的情況下,陌生應用程序被自動下載到測試員手機中 央視截圖
“免費WiFi”App暗藏陷阱,不僅根本連不上,還會導緻隱私大曝光;兒童手錶看似功能貼心,錶後藏著看不見的安全漏洞;瀏覽網頁就能泄露消費者手機號,騷擾電話背後藏著黑色産業。昨天,央視3・15晚會,多個曝光案例直指消費者個人信息安全。萬物互聯時代,各類信息收集、使用的當下,織密個人信息安全保護網刻不容緩。
免費WiFiApp暗藏陷阱
一不留神隱私曝光
央視3・15晚會上,安全實驗室環節曝齣免費WiFiApp陷阱。20餘款打著免費WiFi旗號的應用程序被測試,結果發現不但免費WiFi無法點開,而且用戶被誘導點擊確認按鈕後,會被莫名自動安裝廣告,更可怕的是,有些免費WiFi應用程序,一天之內對消費者手機位置信息的收集高達67899次。免費WiFiApp不能隨便點,一不留神隱私就會被曝光。
測試人員首先從應用市場下載並安裝瞭“WiFi破解精靈”,大排WiFi資源羅列得清清楚楚。可測試員點擊“免費連接”,係統顯示“正在破解WiFi獲取密碼”,卻失敗瞭。更換WiFi資源後,下方齣現“確認”和“連接”的字樣,點擊確認,結果還是連不上。測試人員點擊瞭所有羅列的WiFi資源,沒有一個能連上。
WiFi資源沒有連上,手機裏卻默默下載瞭兩個陌生應用程序,測試人員發現,陌生應用程序是通過隱藏在剛纔點擊過的“確認”或“打開”字樣的彈窗裏。這其實是僞裝的廣告鏈接,一旦用戶被誘導點擊,沒有任何提示,廣告鏈接中的應用程序就會自動安裝到手機裏。
工程師對20餘款打著免費WiFi旗號的應用程序進行測試,都是一直連一直失敗,同樣存在誘導用戶下載其他應用程序的行為。工程師進一步測試發現,這類免費WiFi的應用程序還在後台大量收集用戶信息。一款名叫雷達WiFi的應用程序一天之內收集這款測試手機的位置信息竟然高達67899次。“它可以把你的生活軌跡、行蹤全部串起來,完全可以掌握你的生活規律,知道你的喜好、你的職業。”工程師說。
手機裏多瞭這些莫名其妙的應用程序之後,會齣現大量彈窗廣告,嚴重影響手機正常使用。一款“越豹WiFi助手”的“自啓動”功能,可以隨時高頻次自動啓動。這意味著,即使用戶從後台關掉這款應用程序,它也可以通過“自啓動”功能重新在後台運行,不斷收集用戶信息,推送彈窗廣告。
兒童智能手錶藏著
看不見的安全漏洞
兒童智能手錶,硬件強大,功能貼心,實時定位、高清雙攝、人臉識彆、視頻通話。孩子們覺得方便好玩,傢長們可以隨時掌握孩子行蹤。央視記者發現,不少低配版的兒童智能手錶在各大電商平台暢銷熱賣。3・15信息安全實驗室對此展開瞭專門的測試。
測試人員購買瞭一款標記10萬+銷售記錄的兒童智能手錶,交給一位小朋友佩戴。測試人員將一個惡意程序的下載二維碼僞裝成抽奬遊戲,貼在瞭孩子傢門口。孩子被吸引後掃碼體驗,惡意程序輕鬆進駐到瞭孩子的智能手錶中。工程師在後台輕鬆實現瞭對這款手錶的遠程控製。孩子隻要每次抽奬,惡意程序就自動把手錶裏的重要信息,如位置、通訊錄、通話記錄等打包實時發送齣去。玩完抽奬遊戲,孩子下樓玩耍,工程師依然可以實時定位,不間斷收集孩子的移動軌跡,輕鬆圈定孩子的活動範圍。測試人員從後台可以通過多次采集孩子的位置信息來推斷,她的傢離她的學校其實很近,大概兩三百米,5分鍾就能走到。甚至迴傢後,孩子和姥姥聊天,通過調用手錶裏的麥剋風,身在異處的工程師對談話內容一清二楚。
深受孩子喜愛、傢長信任的兒童智能手錶為什麼會成為偷窺的眼睛,如影隨形?測試人員發現,根本原因在於低配版的兒童智能手錶操作係統過於老舊。試驗的手錶使用的是沒有任何權限管理要求的安卓4.4操作係統,距今已將近10年,而它的最新版本已經更新到瞭安卓12。也就是說,隻要App申請什麼樣的權限,安卓4.4操作係統就會給App什麼樣的權限。這種低版本的兒童手錶安裝各種App後,無需用戶授權就可以拿走定位、通訊錄、麥剋風、攝像頭等多種敏感權限。這也就意味著它們能輕易獲取孩子的位置、人臉圖像、錄音等隱私信息。這些廠傢選用低版本的操作係統是齣於壓低成本的考慮,但是它忽略瞭用戶使用的安全性,給消費者帶來瞭無窮的後患。
工程師錶示,當下人們非常重視手機App監管,從技術原理上來講,手機端的很多標準要求放到智能終端上完全適用。但關注度不夠,讓這一類智能終端在個人信息的保護上成為一個重災區。
騷擾電話背後
藏著“黑色産業”
不少消費者都經曆過隻用手機瀏覽瞭某些網站,並沒有留下電話,但是卻接到瞭相關行業推銷電話的事情。為什麼有人在撥打騷擾電話?他們又是怎麼精準地獲取瞭消費者的瀏覽行為呢?昨天的央視3・15晚會對此進行瞭曝光。
記者探訪瞭融營通信公司,這是一傢專門為一些電銷公司搭建外呼係統、提供外呼綫路的公司。馮經理錶示,有很多電銷公司在通過他們的係統撥打騷擾電話,他們的係統可以隱藏真正的主叫號碼,防止被投訴。而且運用話術進行僞裝,逃過法律法規中不能給客戶撥打騷擾電話的規定。所以一些消費者接到騷擾電話後會聽到“您好,我這邊是某某公司的。最近有跟你聯係過之前某某産品的溝通。你現在是怎麼打算的、怎麼考慮的?您這邊還想再瞭解一些嗎”類似的以迴訪形式開始的開場白。融營通信有瞭這樣的規避技術,其會嚮撥打騷擾電話的公司收取每分鍾0.1元左右的通話費。大量騷擾電話為融營通信帶來瞭豐厚的話費收入,純話費收入差不多將近一個億,客戶約兩萬多傢。
隨著調查的深入,記者發現,圍繞著騷擾電話這個黑色産業,除瞭這些專門提供外呼係統的公司,還有人在為騷擾電話提供大數據支撐。在杭州以漁信息技術有限公司,記者看到技術員登錄瞭一傢裝修公司,通過杭州以漁所開的外呼係統後台,上麵記錄瞭某裝修公司給用戶撥打營銷電話的錄音。
公司唐總經理介紹,這些用戶都是近期用手機瀏覽過一些傢具、裝修網站。雖然用戶沒有留下電話號碼,但通過他們的係統卻可以直接給用戶打電話。瀏覽網站的用戶並沒有留下手機號碼,這個係統怎麼就能撥通用戶電話呢?唐總經理介紹,每個人手機上對應一個MAC號(手機識彆碼),這個碼可以匹配到這個手機。隻要用戶瀏覽瞭網站,以漁公司就能通過係統把相應的推銷電話打給用戶。而撥打騷擾電話的公司使用這樣的數據,以漁公司收取每條3元的費用。當下,涉及用戶上網行為的精準大數據,成瞭騷擾電話這個黑色産業的香餑餑。記者調查發現,不少公司都在從事類似的業務。
記者還瞭解到,除瞭利用加密的號碼給用戶撥打騷擾電話,部分公司還能通過技術手段獲取用手機上網用戶的明碼手機號碼。乘移信息技術有限公司的業務經理就告訴記者,抓取他們廣告頁麵的用戶,後台可以看到客戶號碼。而鄭州綠牽網絡公司則號稱幾乎可以獲取登錄所有網站用戶的明碼手機號碼。
用戶上網行為等大數據就是這樣被濫用的,並帶來瞭嚴重影響消費者生活的騷擾電話。
文/本報記者 王薇
來源:北京青年報