新形勢下個人隱私安全——智能手機風險的研究與分析

◆杭肖 高瑞

新形勢下個人隱私安全——智能手機風險的研究與分析

◆杭肖 高瑞

（陜西省網絡與信息安全測評中心（西安） 陜西 710065）

在新形勢下個人隱私保護變得越來越重要，本文概述了個人隱私的安全隱患和保護方法，智能手機豐富了我們每個人的生活，與此同時帶來的是個人隱私安全風險。個人隱私安全更多的是需要用戶自身增強防范意識，做好自我防護，這樣才能有效保護好個人信息。

信息安全；個人隱私保護；智能手機

1 如何保護好個人隱私安全

隨著信息技術的進步和發展，新應用和新技術的快速普及和應用，網絡安全和數據安全問題也變得越來越重要，大數據的海量積累和AI標簽識別的技術應用，個人隱私安全面臨極大的沖擊。從事中國相關金融行業的投資專家就個人隱私保護問題曾經發表過這樣的一些言論，他們都認為在國內，大家對你的個人隱私并不是很重視，很多投資人還是愿意用你的個人信息安全來換取其在大數據技術時代的用戶生活性和便利性。互聯網信息時代給我們的工作生活方式帶來了高效的工作便捷性，同時也給我們自身帶來了個人隱私信息泄露的巨大風險。

在我們的生活中，我們的每一個行為都赤裸裸地暴露在互聯網的另一端。在大多數時候我們并不知道，我們的隱私被別人竊取和轉賣了，其中隱私泄露帶來的危害，很多人還不是很清楚。而目前使用智能手機已經逐漸成為現代人們進入日常生活的一件必備品，所以智能手機安全和APP安全就顯得尤為重要，大多數人使用智能手機上網的頻率比電腦上網來說要高得多，但是你的智能手機和正在使用的APP真的安全嗎？

2 智能手機安全

智能手機信息安全包含硬件安全和軟件安全，在本文中重點闡述軟件安全，對硬件安全不做分析。

智能手機應用軟件中的信息安全主要要求包括軟件機密性、完整性和軟件可用性三個大部分。機密性安全是否意指智能手機系統中的這些數據安全不會在任何用戶未得到授權的任何情況下被第三方獲取得到，因為目前智能手機系統中的這些數據大部分都可能是關于用戶的一些私有個人信息，必須注意保證每個用戶的這些私有個人信息安全不會被對方泄露。完整性認證是在泛指使用智能手機的操作系統和軟件智能手機軟件中的所有數據都必須是完整的，系統未被惡意破壞，數據沒有被惡意篡改或者是被刪除。可用性好就是意指你的智能手機能夠時刻保持處于一個可持續使用的工作狀態，保證智能手機通訊的順暢。

對于人的個人隱私而言，我們主要比較關注的是手機操作系統的隱私安全性，目前我國智能手機的兩大主要操作系統分別是這個android和這個ios，這兩個智能手機操作系統都自稱是美國的一家公司自主開發的，ios操作系統本身完全是非法的開源操作系統，我們根本看不到操作系統本身底層的開放源碼，系統底層是否在使用后臺保護智能手機我們的這些個人信息我們不得而知，而這個android操作系統本身是一種基于一個linuxu的內核（不僅僅包含了lgnu內核組件）的自由及完全開放的無源代碼的智能手機操作系統，但是國內很多廠商會基于標準版進行深度定制，在很多論壇上也有基于組織或者個人的定制版系統發布，這就給定制操作系統帶來了一定的風險，有沒有在定制版系統里面隱藏惡意程序，對于我們普通用戶來說是不容易察覺到的。

3 惡意程序

自2015年中旬以來，還陸續不斷出現了大量的優酷游戲刷機鎖屏鎖幕刷機外掛勒索軟件應用偽裝軟件，這類刷機勒索軟件應用多次被用戶偽裝成優酷音樂游戲鎖屏刷機勒索外掛、QQ優酷游戲鎖屏刷機外掛挖金幣鉆石等勒索應用軟件等。病毒再次啟動后，就很有可能會再次出現系統強制自動關閉鎖屏，即使智能手機用戶再次手動重啟新的智能手機也無濟于事。病毒軟件惡意制造者用戶可能會故意將自己的真實手機號及聯系方式等信息保留在其他電腦或者鎖屏后的用戶界面，等其他用戶無法取得聯系時對其用戶進行惡意攻擊恐嚇，詐騙其他用戶個人錢財。同時我們經常出現的一種情況就是還有大量的各種類似色情淫穢等等類型的勒索手機病毒軟件，通過它們具有高度誘惑性地直接點擊這些應用程序軟件上的圖標，或者你只是點擊應用程序軟件名稱上的提示按鈕，來直接刺激你注冊手機用戶群并進行免費下載，幾個月的疫情暴發一段時間就已經完全可以成功感染上百萬多的注冊手機用戶。這類型的惡意網絡病毒通常認為具有惡意直接攻擊扣取用戶話費、竊取其他用戶個人隱私、強制阻止用戶主動推送并惡意自動安裝其他惡意網絡病毒惡意程序等網絡病毒傳播行為，由于此類型的惡意網絡病毒傳播行為往往能夠直接誘導使任何人從中獲益，備受國內社會各界不法分子廣泛攻擊青睞，用戶因此也必須隨時隨刻提高警惕。

還有很多惡意程序被人誤稱為“有潛在危害的程序”（potentially harmful apps），因為很難明確界定它們本身是不是帶有惡意的。如果一個手機視頻文件播放管理軟件能夠要求用戶能同時訪問很多與它的主要應用功能無關的用戶信息，比如一個用戶的手機通訊錄、位置查詢信息、短信、攝像頭、通話記錄信息等，那么這就很不合理。我國在這兩個方面的相關行業法律規范和市場監管還不是很完善，不少企業應用程序，包括一些著名軟件廠商在其開發的應用程序里，常常可能會出現有一些涉嫌侵犯個人用戶商業隱私個人信息的廣告內容。把一些我國軟件廠商自己開發的惡意程序代碼拿到一個防毒的惡意程序病毒掃描軟件引擎，例如一個集成了56個惡意防毒掃描引擎的程序virustotal里面上去進行掃描，大概有一半以上都是有問題的。很多此類應用程序可能都會把你在手機中能明確界定一個用戶真實身份的個人信息直接拿走。但我們不清楚他們為什么會需要我們獲取這些個人信息，是什么要他們做好事還是要做壞事。

那么，如何才能避免你在下載時遇到包含惡意程序或有潛在安全危害的應用程序？雖然目前專業檢測機構已經可以對應用程序本身進行直接檢測，但對一般手機用戶來說，很難通過直接判斷某個應用程序本身是否可能含有任何惡意代碼，比較現實的解決辦法就是通過分析應用程序市場和軟件廠商的商業聲譽關系來間接進行判斷。正規的軟件市場（應用商店）一般都會對這些應用程序本身進行一些某種程度的安全監管。

對于蘋果公司的操作系統（ios），從安全的這個角度來說，最好不要用它去進行越獄。iosot越獄（iosjailbreaking）功能使得蘋果用戶不僅可以從所有蘋果應用商店外下載安裝其他非官方的越獄應用程序，甚至可以獲取一個root越獄權限。root系統權限操作是系統運行權限的一種，獲得一個root系統權限就是系統擁有了整個系統的最高運行權限，可以對系統文件中的任何一個文件（其中包括系統文件）實時執行所有增、刪、改、查的權限操作。所以，很多系統黑客在每次入侵系統的這個時候，都一定要把系統權限等級提升至達到一個rootr的權限。理論上，iphoneg在越獄后的其安全性能將會大幅降低。在尚未越獄的手機應用程序市場中，程序的安全問題很多。如果手機用戶粗心地在手機安裝了某個手機惡意程序，它就不僅可以隨意自動讀取、修改或在系統上任意備份文件，獲取手機社交、網絡移動支付等各種應用的海量數據，甚至還可以隨意刪除系統文件、導致系統異常崩潰等等。

而對于安卓操作系統，則盡量不要從過去那些小的軟件市場中直接下載應用程序。目前由于我國的第三方安卓軟件應用程序市場沒有統一的代碼管理執法尺度和嚴格規范管理標準，小的應用市場對安卓程序的代碼審查往往不太嚴格，甚至還可能會出現存在向安卓程序里用戶加入大量惡意代碼的違法現象。有些網站開發者將自己的下載程序直接放在一個網頁中，讓很多用戶無法去直接點擊進行下載，很多時候用戶也不會覺得自己官網上的下載程序最可靠。其實，官網未必安全，因為那些操作程序沒有經過任何嚴格審查。有時，同樣一個手機應用，在一個聲譽較好的應用市場中下載的應用程序可能是完全沒有什么問題的，但其他在官網上下載的程序卻可能有很多問題。總的來說，蘋果或安卓系統官方版是應用程序市場中那些國際知名度比較高的軟件廠商自己開發的應用程序，相對來說更安全。

不過，手機的安全防護機制也在不斷進步。以前，安卓系統中在安裝一個手機應用程序的文件時，會自動彈出它安裝需要的所有權限要求列表，用戶如果還需要重新安裝這個應用程序，只能選擇同意所有權限要求，無法進行選擇。而現在對于蘋果安卓系統和安卓6以上的安卓系統，則都已經是普遍采用這樣的詢問方式：用戶安裝時不再自動詢問，但是當這個應用程序第一次要用到某個程序權限的用戶時，會自動詢問系統是否已經允許用戶使用這個程序權限。如果一個用戶每次選擇“否”，那么以后就都會按這個規則決定開始執行。這樣您就有效率地防止潛在的個人信息安全泄露。

智能手機豐富了我們每個人的生活，與其同時帶來的是個人隱私帶來的風險。在疫情風控期間，各地防控APP和小程序收集了大量的個人信息，如身份證號碼、電話、行動軌跡等，為了避免個人隱私泄露，我們應當強化對個人信息的安全使用，同時加強各行各業的自律性，避免灰色產業鏈的非法交易。個人隱私安全更多的是需要用戶自身增強防范意識，做好自我防護，這樣才能有效保護好個人信息。