◆杭肖 高瑞

新形勢下個人隱私安全——智能手機風險的研究與分析

◆杭肖 高瑞

（陜西省網(wǎng)絡與信息安全測評中心（西安） 陜西 710065）

在新形勢下個人隱私保護變得越來越重要，本文概述了個人隱私的安全隱患和保護方法，智能手機豐富了我們每個人的生活，與此同時帶來的是個人隱私安全風險。個人隱私安全更多的是需要用戶自身增強防范意識，做好自我防護，這樣才能有效保護好個人信息。

信息安全；個人隱私保護；智能手機

1 如何保護好個人隱私安全

隨著信息技術的進步和發(fā)展，新應用和新技術的快速普及和應用，網(wǎng)絡安全和數(shù)據(jù)安全問題也變得越來越重要，大數(shù)據(jù)的海量積累和AI標簽識別的技術應用，個人隱私安全面臨極大的沖擊。從事中國相關金融行業(yè)的投資專家就個人隱私保護問題曾經(jīng)發(fā)表過這樣的一些言論，他們都認為在國內(nèi)，大家對你的個人隱私并不是很重視，很多投資人還是愿意用你的個人信息安全來換取其在大數(shù)據(jù)技術時代的用戶生活性和便利性?；ヂ?lián)網(wǎng)信息時代給我們的工作生活方式帶來了高效的工作便捷性，同時也給我們自身帶來了個人隱私信息泄露的巨大風險。

在我們的生活中，我們的每一個行為都赤裸裸地暴露在互聯(lián)網(wǎng)的另一端。在大多數(shù)時候我們并不知道，我們的隱私被別人竊取和轉(zhuǎn)賣了，其中隱私泄露帶來的危害，很多人還不是很清楚。而目前使用智能手機已經(jīng)逐漸成為現(xiàn)代人們進入日常生活的一件必備品，所以智能手機安全和APP安全就顯得尤為重要，大多數(shù)人使用智能手機上網(wǎng)的頻率比電腦上網(wǎng)來說要高得多，但是你的智能手機和正在使用的APP真的安全嗎？

2 智能手機安全

智能手機信息安全包含硬件安全和軟件安全，在本文中重點闡述軟件安全，對硬件安全不做分析。

智能手機應用軟件中的信息安全主要要求包括軟件機密性、完整性和軟件可用性三個大部分。機密性安全是否意指智能手機系統(tǒng)中的這些數(shù)據(jù)安全不會在任何用戶未得到授權的任何情況下被第三方獲取得到，因為目前智能手機系統(tǒng)中的這些數(shù)據(jù)大部分都可能是關于用戶的一些私有個人信息，必須注意保證每個用戶的這些私有個人信息安全不會被對方泄露。完整性認證是在泛指使用智能手機的操作系統(tǒng)和軟件智能手機軟件中的所有數(shù)據(jù)都必須是完整的，系統(tǒng)未被惡意破壞，數(shù)據(jù)沒有被惡意篡改或者是被刪除?？捎眯院镁褪且庵改愕闹悄苁謾C能夠時刻保持處于一個可持續(xù)使用的工作狀態(tài)，保證智能手機通訊的順暢。

對于人的個人隱私而言，我們主要比較關注的是手機操作系統(tǒng)的隱私安全性，目前我國智能手機的兩大主要操作系統(tǒng)分別是這個android和這個ios，這兩個智能手機操作系統(tǒng)都自稱是美國的一家公司自主開發(fā)的，ios操作系統(tǒng)本身完全是非法的開源操作系統(tǒng)，我們根本看不到操作系統(tǒng)本身底層的開放源碼，系統(tǒng)底層是否在使用后臺保護智能手機我們的這些個人信息我們不得而知，而這個android操作系統(tǒng)本身是一種基于一個linuxu的內(nèi)核（不僅僅包含了lgnu內(nèi)核組件）的自由及完全開放的無源代碼的智能手機操作系統(tǒng)，但是國內(nèi)很多廠商會基于標準版進行深度定制，在很多論壇上也有基于組織或者個人的定制版系統(tǒng)發(fā)布，這就給定制操作系統(tǒng)帶來了一定的風險，有沒有在定制版系統(tǒng)里面隱藏惡意程序，對于我們普通用戶來說是不容易察覺到的。

3 惡意程序

自2015年中旬以來，還陸續(xù)不斷出現(xiàn)了大量的優(yōu)酷游戲刷機鎖屏鎖幕刷機外掛勒索軟件應用偽裝軟件，這類刷機勒索軟件應用多次被用戶偽裝成優(yōu)酷音樂游戲鎖屏刷機勒索外掛、QQ優(yōu)酷游戲鎖屏刷機外掛挖金幣鉆石等勒索應用軟件等。病毒再次啟動后，就很有可能會再次出現(xiàn)系統(tǒng)強制自動關閉鎖屏，即使智能手機用戶再次手動重啟新的智能手機也無濟于事。病毒軟件惡意制造者用戶可能會故意將自己的真實手機號及聯(lián)系方式等信息保留在其他電腦或者鎖屏后的用戶界面，等其他用戶無法取得聯(lián)系時對其用戶進行惡意攻擊恐嚇，詐騙其他用戶個人錢財。同時我們經(jīng)常出現(xiàn)的一種情況就是還有大量的各種類似色情淫穢等等類型的勒索手機病毒軟件，通過它們具有高度誘惑性地直接點擊這些應用程序軟件上的圖標，或者你只是點擊應用程序軟件名稱上的提示按鈕，來直接刺激你注冊手機用戶群并進行免費下載，幾個月的疫情暴發(fā)一段時間就已經(jīng)完全可以成功感染上百萬多的注冊手機用戶。這類型的惡意網(wǎng)絡病毒通常認為具有惡意直接攻擊扣取用戶話費、竊取其他用戶個人隱私、強制阻止用戶主動推送并惡意自動安裝其他惡意網(wǎng)絡病毒惡意程序等網(wǎng)絡病毒傳播行為，由于此類型的惡意網(wǎng)絡病毒傳播行為往往能夠直接誘導使任何人從中獲益，備受國內(nèi)社會各界不法分子廣泛攻擊青睞，用戶因此也必須隨時隨刻提高警惕。

還有很多惡意程序被人誤稱為“有潛在危害的程序”（potentially harmful apps），因為很難明確界定它們本身是不是帶有惡意的。如果一個手機視頻文件播放管理軟件能夠要求用戶能同時訪問很多與它的主要應用功能無關的用戶信息，比如一個用戶的手機通訊錄、位置查詢信息、短信、攝像頭、通話記錄信息等，那么這就很不合理。我國在這兩個方面的相關行業(yè)法律規(guī)范和市場監(jiān)管還不是很完善，不少企業(yè)應用程序，包括一些著名軟件廠商在其開發(fā)的應用程序里，常?？赡軙霈F(xiàn)有一些涉嫌侵犯個人用戶商業(yè)隱私個人信息的廣告內(nèi)容。把一些我國軟件廠商自己開發(fā)的惡意程序代碼拿到一個防毒的惡意程序病毒掃描軟件引擎，例如一個集成了56個惡意防毒掃描引擎的程序virustotal里面上去進行掃描，大概有一半以上都是有問題的。很多此類應用程序可能都會把你在手機中能明確界定一個用戶真實身份的個人信息直接拿走。但我們不清楚他們?yōu)槭裁磿枰覀儷@取這些個人信息，是什么要他們做好事還是要做壞事。

那么，如何才能避免你在下載時遇到包含惡意程序或有潛在安全危害的應用程序？雖然目前專業(yè)檢測機構已經(jīng)可以對應用程序本身進行直接檢測，但對一般手機用戶來說，很難通過直接判斷某個應用程序本身是否可能含有任何惡意代碼，比較現(xiàn)實的解決辦法就是通過分析應用程序市場和軟件廠商的商業(yè)聲譽關系來間接進行判斷。正規(guī)的軟件市場（應用商店）一般都會對這些應用程序本身進行一些某種程度的安全監(jiān)管。

對于蘋果公司的操作系統(tǒng)（ios），從安全的這個角度來說，最好不要用它去進行越獄。iosot越獄（iosjailbreaking）功能使得蘋果用戶不僅可以從所有蘋果應用商店外下載安裝其他非官方的越獄應用程序，甚至可以獲取一個root越獄權限。root系統(tǒng)權限操作是系統(tǒng)運行權限的一種，獲得一個root系統(tǒng)權限就是系統(tǒng)擁有了整個系統(tǒng)的最高運行權限，可以對系統(tǒng)文件中的任何一個文件（其中包括系統(tǒng)文件）實時執(zhí)行所有增、刪、改、查的權限操作。所以，很多系統(tǒng)黑客在每次入侵系統(tǒng)的這個時候，都一定要把系統(tǒng)權限等級提升至達到一個rootr的權限。理論上，iphoneg在越獄后的其安全性能將會大幅降低。在尚未越獄的手機應用程序市場中，程序的安全問題很多。如果手機用戶粗心地在手機安裝了某個手機惡意程序，它就不僅可以隨意自動讀取、修改或在系統(tǒng)上任意備份文件，獲取手機社交、網(wǎng)絡移動支付等各種應用的海量數(shù)據(jù)，甚至還可以隨意刪除系統(tǒng)文件、導致系統(tǒng)異常崩潰等等。

而對于安卓操作系統(tǒng)，則盡量不要從過去那些小的軟件市場中直接下載應用程序。目前由于我國的第三方安卓軟件應用程序市場沒有統(tǒng)一的代碼管理執(zhí)法尺度和嚴格規(guī)范管理標準，小的應用市場對安卓程序的代碼審查往往不太嚴格，甚至還可能會出現(xiàn)存在向安卓程序里用戶加入大量惡意代碼的違法現(xiàn)象。有些網(wǎng)站開發(fā)者將自己的下載程序直接放在一個網(wǎng)頁中，讓很多用戶無法去直接點擊進行下載，很多時候用戶也不會覺得自己官網(wǎng)上的下載程序最可靠。其實，官網(wǎng)未必安全，因為那些操作程序沒有經(jīng)過任何嚴格審查。有時，同樣一個手機應用，在一個聲譽較好的應用市場中下載的應用程序可能是完全沒有什么問題的，但其他在官網(wǎng)上下載的程序卻可能有很多問題?？偟膩碚f，蘋果或安卓系統(tǒng)官方版是應用程序市場中那些國際知名度比較高的軟件廠商自己開發(fā)的應用程序，相對來說更安全。

不過，手機的安全防護機制也在不斷進步。以前，安卓系統(tǒng)中在安裝一個手機應用程序的文件時，會自動彈出它安裝需要的所有權限要求列表，用戶如果還需要重新安裝這個應用程序，只能選擇同意所有權限要求，無法進行選擇。而現(xiàn)在對于蘋果安卓系統(tǒng)和安卓6以上的安卓系統(tǒng)，則都已經(jīng)是普遍采用這樣的詢問方式：用戶安裝時不再自動詢問，但是當這個應用程序第一次要用到某個程序權限的用戶時，會自動詢問系統(tǒng)是否已經(jīng)允許用戶使用這個程序權限。如果一個用戶每次選擇“否”，那么以后就都會按這個規(guī)則決定開始執(zhí)行。這樣您就有效率地防止?jié)撛诘膫€人信息安全泄露。

智能手機豐富了我們每個人的生活，與其同時帶來的是個人隱私帶來的風險。在疫情風控期間，各地防控APP和小程序收集了大量的個人信息，如身份證號碼、電話、行動軌跡等，為了避免個人隱私泄露，我們應當強化對個人信息的安全使用，同時加強各行各業(yè)的自律性，避免灰色產(chǎn)業(yè)鏈的非法交易。個人隱私安全更多的是需要用戶自身增強防范意識，做好自我防護，這樣才能有效保護好個人信息。