南京北安門街便衣民警逮著了2個偷手機的小偷。(圖/CFP)
《財經(jīng)》新媒體 王瑋 高素英/文
正聽著音樂�,忽然就沒有了聲音,一摸口袋手機不見了蹤影��,回頭四望早已是茫茫人海���,根本就不知道誰偷走了手機……這樣的場景幾乎每天都在不同城市里上演。不到一個月的時間����,《財經(jīng)》新媒體記者身邊就有四位朋友有過類似的遭遇。然而手機被偷背后,不僅是財產(chǎn)的丟失��,更重要的是信息安全����,一旦泄露后果不堪設(shè)想。
一位辦案民警告訴《財經(jīng)》新媒體記者���,目前不法分子已經(jīng)形成嚴(yán)密的手機盜銷黑色產(chǎn)業(yè)鏈���,會通過撞庫、釣魚破解等方式獲得消費者的密碼及個人信息�。而記者調(diào)查發(fā)現(xiàn),在QQ群和某寶上���,幾十元至幾百元就可破解一部被鎖手機����,甚至蘋果外包客服都參與其中���。
隨著智能手機的普及�����,在線支付����、實時定位、網(wǎng)絡(luò)搜索等一系列便捷功能得到應(yīng)用的同時��,背后存在的安全問題卻日益嚴(yán)峻��。日前���,國家質(zhì)檢總局發(fā)布智能手機(信息安全)質(zhì)量安全風(fēng)險警示稱���,近半手機存質(zhì)量安全隱患,可被惡意控制�。
有關(guān)專家表示,手機黑客攻擊離我們并不遠��,它只是很靜默�����,我們發(fā)現(xiàn)不了���。從手機安全的角度來說分為四種威脅:通信網(wǎng)絡(luò)威脅、第三方APP應(yīng)用的威脅、操作系統(tǒng)層面的威脅��,以及數(shù)據(jù)設(shè)備方面的威脅�����。而手機一旦被偷可能面臨著的是通過芯片重組�,也就是硬解碼技術(shù),把手機恢復(fù)到出廠狀態(tài)��,甚至還能夠恢復(fù)以前的數(shù)據(jù)��,進而帶來因數(shù)據(jù)泄露而引發(fā)的系列風(fēng)險�����。
那么手機盜銷背后的產(chǎn)業(yè)鏈如何����?黑客又如何攻擊手機用戶,信息泄露會帶來哪些風(fēng)險��?用戶怎么保護手機信息安全�����?針對一系列問題,《財經(jīng)》新媒體記者進行了深度調(diào)查�。
揭密手機盜銷“黑產(chǎn)”利益鏈
在北京工作的王女士萬萬沒想到,一次出差竟讓她近距離接觸了手機盜銷黑產(chǎn)業(yè)鏈��。王女士對《財經(jīng)》新媒體記者表示�����,iPhone手機在異地被盜后��,她在第一時間報了警�����,并遠程鎖定了其手機����。警方表示,由于被盜地點監(jiān)控系統(tǒng)使用效果不理想�����,外加王女士未能看清小偷的面目特征�,使破案難度增加。
“相比價值7988元的256GiPhone7 Plus�,我更心疼的是手機里存儲的各種合同文件和各種數(shù)據(jù)�����!蓖跖勘硎��。更令她感到不安的是����,警方告訴她,目前�����,不法分子針對iPhone等高價值的智能機已形成嚴(yán)密的盜銷犯罪體系�,包括盜竊、收臟����、竊取用戶個人信息、批量解鎖���、銷贓等��。手機一旦被盜���,不法分子將通過“釣魚”等手段誘騙消費者輸入密碼����,個人數(shù)據(jù)信息���、指紋��、文件很可能被破解��、泄露�����。
然而令王女士沒有想到的是���,丟失手機后,來騙密碼的套路如此深���������!澳愫���,我是Apple客服,您的手機正在被解鎖�,如非本人操作請登錄以下鏈接�����!����,“您丟失的iPhone已找到��,請及時查看�。”手機丟失后的三天中�,王女士果然收到了多個來自于“Apple”的短信、郵件甚至電話�。
但細心的王女士注意到,這些郵件����、短信和電話雖然顯示的均為“Apple”,但發(fā)件郵箱和電話號碼均為私人郵件地址或私人手機號���,并非Apple官方客服電話及郵箱��。Apple客服也向王女士證實�����,Apple官方客服不會向消費者發(fā)送類似信息及郵件���,更不會撥打電話����。
對此��,手機安全專家表示���,這是不法分子正在通過釣魚解鎖的方式騙取消費者賬號和密碼����!安环ǚ肿右蕴O果公司的名義群發(fā)短信����,騙取蘋果手機失主的注冊ID密碼,破解并解除綁定后��,再由二手手機商銷售到社會��。失主丟失手機后都會急于找回���,從而放松警惕被騙�,嫌疑人騙取的成功率能達70%以上����。”
警方表示�,未解綁的蘋果手機���,只能賣到1000元以內(nèi)的價格���,多為拆分硬件進行翻新,如果解綁成功����,則能賣到3000元以上。而被破解的機主信息��、iCloud賬號則能分別被賣到50元到500元不等的價格。更加可怕的是���,一旦不法分子擁有iCloud賬號��,則可以遠程控制消費者其他綁定該賬號的Apple設(shè)備��,從而進行勒索���。
受理案件的派出所警察告訴《財經(jīng)》新媒體記者,蘋果手機盜竊案的破案難度大主因是跨地域作案�����、銷售��������!罢麄產(chǎn)業(yè)鏈可能遍布中國大江南北�,從盜竊到銷售�����,每個環(huán)節(jié)均由不同地區(qū)的不同人員負責(zé),很少由一人負責(zé)全部流程����������!睋(jù)他介紹����,以一臺iPhone7為例,小偷的第一手收入在400-800不等�,之后每一手的商家大概還有500以上的利潤空間,在最源頭進行洗白和翻新的商家收入更高���。
威客安全技術(shù)合伙人、互聯(lián)網(wǎng)安全專家安琪在接受《財經(jīng)》新媒體記者采訪時表示����,手機盜銷黑產(chǎn)一直都存在,而且比想象的更加嚴(yán)密和復(fù)雜�����!昂诋a(chǎn)分工十分明確����,基于不同機型破解難度也不一樣。有些手機由于安全性較高����,因此需要通過黑客的社工庫進行撞庫攻擊,或者通過釣魚網(wǎng)站騙取用戶的密碼��,而有些機型可以通過漏洞直接繞過ID鎖����。”
ID解鎖被公開叫賣 軟硬件均存被破解風(fēng)險
《財經(jīng)》新媒體記者調(diào)查發(fā)現(xiàn)�,王女士的經(jīng)歷并非個案。記者在搜索引擎查找關(guān)鍵字時發(fā)現(xiàn)��,與“盜銷”�����、“破解ID”相關(guān)的新聞高達67萬條����,不少消費者手機被盜后遭遇“釣魚”��,ID被解鎖�。事實上�,手機盜銷產(chǎn)業(yè)鏈離消費者并不遙遠,破解個人信息的難度對黑客來說似乎也并不高�����,記者發(fā)現(xiàn)�,在QQ群和淘寶上,幾十元至幾百元就可破解一部被鎖手機����,甚至蘋果外包客服都參與其中。
在淘寶上用“ID 解鎖”作為關(guān)鍵字共可搜索696件商品�����,記者瀏覽后發(fā)現(xiàn)��,這些商品大多以“解鎖�、刷機��、救磚�、抹除定位”為噱頭大打擦邊球��,隱藏賣家協(xié)助不法分子獲取他人個人信息或不義之財?shù)氖聦�����。除可以破解iPhone手機ID����、密碼����,將其還原成新機外,三星���、華為等安卓手機也可被破解密碼鎖���,并進行ROOT(即獲取最高的權(quán)限)或手機刷機。
在這些商品中�,銷量最高的一款月銷量2.3萬件,已有4220人收貨�����,累計評價達5895個��。
據(jù)賣家介紹,手機ID破解共有兩種方法��,分別是軟件破解和硬件破解����。軟件破解一般可以遠程操作,買家通過第三方軟件獲得iPhone設(shè)備串號和手機號碼后�����,告知賣家��,由賣家進行“破解”后方可使用�����。賣家表示���,軟件破解所需時間一般較長�,買家在賣家進行操作中也不能開機或操作�,拍下、付款等待賣家通知即可�����,正常情況下3—5天即可“破解”���。不過�,也有買家表示�,購買后未能成功“破解”,賣家已退款�����。
硬件破解則需要將手機郵寄給賣家�,由賣家進行拆機換件。一位進行硬件破解的賣家告訴《財經(jīng)》新媒體記者��,“軟件破解有失敗的風(fēng)險�����,而硬件破解成功率更高��。小店采用硬解ID��,就是打套件����,打磨掉換上沒有ID的套件��,套件包括硬盤跟基帶�����,硬解是百分百能解開的���,所以不必擔(dān)心寄過來解不開問題,也無需像軟解無限期等待��������!
不過�,安琪告訴《財經(jīng)》新媒體記者����,硬破解手機故障率高,并且隨著更新���,ios7以后的手機均無法進行硬解��,這種方式已經(jīng)被淘汰����。
而在QQ搜索關(guān)鍵字“ID、解鎖”可查找到204位個人用戶和近15個QQ群�����,QQ群中涉及的個人用戶則達到7913人�����。一個QQ群簡介顯示��,該群承接iPhone4-6s/plus的解鎖工作�����,66元每次��,另接普查深查��,并回收���、出售二手手機。
此類店鋪和QQ群已成為不法分子解鎖手機,進行二次使用甚至銷贓的去處�。在淘寶評論中,不少買家毫不避諱的在評價處表示手機是撿的或是買的二手貨��,也有的表示賣家解鎖的原理就是“釣魚”��。
對此��,有律師表示����,淘寶賣家和QQ用戶涉嫌以其他方法獲取公民個人信息,已觸犯法律�,“撿”手機的消費者,也以非法占有為目的構(gòu)成盜竊罪的條件�����。
此外�,安徽阜陽阜南縣公安局去年年底通報,部分犯罪嫌疑人與蘋果外包客服公司員工內(nèi)外勾結(jié)�,通過破解蘋果手機用戶ID的方式獲取用戶的個人信息,并將個人信息以2至10元的價格進行販賣���。
支付病毒直線上升 近半智能機存安全隱患
《財經(jīng)》新媒體記者在調(diào)查中了解到��,不少手機用戶認(rèn)為�,手機在丟失的狀態(tài)下才存在個人數(shù)據(jù)遭泄露的安全隱患,日常生活中�,正常使用的手機是不會“泄密”的。然而��,事實真的如此嗎�?
事實上,手機已成為個人信息泄露的一大安全隱患����,智能手機也超過電腦����,成為黑客最為“偏愛”的攻擊對象。近日��,針對智能手機可能存在的信息安全危害����,質(zhì)檢總局產(chǎn)品質(zhì)量監(jiān)督司近期組織開展了智能手機(信息安全)質(zhì)量安全風(fēng)險監(jiān)測。測試機型共40批次�����,包括了市場常見的高、中�����、低端手機�����,質(zhì)檢總局主要參考國內(nèi)外智能手機標(biāo)準(zhǔn)要求�,對用戶數(shù)據(jù)的操作、操作系統(tǒng)的更新����、預(yù)置應(yīng)用軟件安全、后端信息系統(tǒng)信息安全漏洞等項目進行了檢測���。
測試結(jié)果顯示�,40批次手機樣品中��,有18批次存在安全隱患�����,主要存在以下四種情況���。12批次樣品后端信息系統(tǒng)存在信息安全漏洞�,包括未限制用戶密碼復(fù)雜度、未限制非法登陸次數(shù)����、未限制短信驗證碼錯誤使用次數(shù)、重置密碼的短信驗證碼由本地生成��、未對數(shù)據(jù)包重要訪問控制參數(shù)進行校驗導(dǎo)致可被越權(quán)操作�����;9批次樣品中的預(yù)置應(yīng)用軟件未向用戶明示且未經(jīng)用戶同意��,擅自收集用戶數(shù)據(jù)��;1批次樣品未實現(xiàn)對用戶數(shù)據(jù)的操作權(quán)限控制功能�����;1批次樣品操作系統(tǒng)的更新未向用戶明示且未經(jīng)用戶同意����,擅自自動升級���。
也就是說�,目前市面上在售的手機中,近半數(shù)存在安全隱患����,存儲在手機中的個人數(shù)據(jù)將在消費者不知情的狀況下泄露給不法分子。業(yè)內(nèi)人士向《財經(jīng)》新媒體記者介紹�,用戶隱私數(shù)據(jù)被泄露后,可能造成智能手機被惡意控制��,會成為詐騙短信��、詐騙電話��、釣魚網(wǎng)站攻擊的目標(biāo)���。
而根據(jù)法新社近日發(fā)布的消息顯示���,載有銀行數(shù)據(jù)、信用卡信息和個人地址等數(shù)據(jù)的智能手機已成為新型網(wǎng)絡(luò)罪犯的首選攻擊目標(biāo)����。
根據(jù)騰訊去年發(fā)布的手機安全報告資料顯示,2016年上半年手機支付病毒以986.14%的增長率直線上升���,感染用戶數(shù)超1670萬����,成為增長速度最快、危害最嚴(yán)重的“黑暗勢力”�。然而,當(dāng)越來越多的用戶養(yǎng)成移動支付習(xí)慣時�,手機支付病毒便有機可乘。報告顯示����,2016年上半年Android新增手機支付病毒包高達32.33萬個,相較于2015年增長了986.14%���;感染用戶數(shù)達1670.33萬�,增長45.82%�����,而且在逐年大幅增長�。
專家表示��,網(wǎng)絡(luò)罪犯的手段已經(jīng)從用勒索軟件攻擊智能手機發(fā)展為利用竊取的手機銀行用戶登錄憑據(jù)的木馬病毒軟件���。他們利用盜竊得來的憑據(jù)就可以遠程登錄受害人的帳戶��,進行網(wǎng)絡(luò)轉(zhuǎn)賬��。
此前���,iPhone也遭遇信任危機����,大量消費者Apple ID被盜����,手機“變磚”,并被不法分子勒索錢財���。
安琪在接受《財經(jīng)》新媒體記者采訪時表示����,目前手機的主流操作系統(tǒng)就是google的安卓與蘋果的IOS系統(tǒng)���,對于操作系統(tǒng)而言���,兩家公司更多的是在底層提供可靠的安全保障措施���。對于中國手機制造商而言,更多是在應(yīng)用層面上提高手機的安全性�����。
專家支招:不要隨便越獄使用安全手機
有關(guān)專家表示�����,手機黑客攻擊離我們并不遠�����,它只是很靜默���,我們發(fā)現(xiàn)不了����。從手機安全的角度來說分為四種威脅:通信網(wǎng)絡(luò)威脅�����、第三方APP應(yīng)用的威脅��、操作系統(tǒng)層面的威脅���,以及數(shù)據(jù)設(shè)備方面的威脅��。
現(xiàn)在安卓或者以前蘋果都可以通過芯片的重組�����,把手機恢復(fù)到出廠的狀態(tài)����,甚至還能夠恢復(fù)以前的數(shù)據(jù)�,隨著手機的丟失數(shù)據(jù)也會一起丟失。目前市面上通過安全芯片對數(shù)據(jù)加密的手機并不多見���。對于指紋芯片加密的手機而言���,即使偷盜者把芯片進行破解,拿到的指紋數(shù)據(jù)也是不完整信息���,沒辦法再進行重組����,被盜的手機也就永遠變成磚,偷盜后也無法銷售�����。
金立集團有關(guān)人士對《財經(jīng)》新媒體記者表示��,除內(nèi)置安全加密芯片外����,金立M6S Plus還帶來指紋加密技術(shù)和活體指紋,保護用戶的指紋和信息安全��。尤其是針對用戶最擔(dān)心的支付風(fēng)險��,新手機有一定的防護措施�����,會識別什么是詐騙短信����,主動攔截。
除了安全的手機外���,如何應(yīng)對其他信息安全威協(xié)�����。安琪表示����,針對通信網(wǎng)絡(luò)���,可能會有一些惡意的詐騙短信�、釣魚鏈接等等����,這些風(fēng)險往往都是一些支付安全的入口,如果被黑客誘導(dǎo)�����,中了黑客釣魚的攻擊��,很可能支付安全會受到威脅��。在平時使用的過程中����,不要去連接一些免費WIFI��,在出門的時候���,盡可能關(guān)閉WIFI。
針對一些偷跑流量的APP�����,金立會應(yīng)用代碼的技術(shù)�����,對應(yīng)用的APP進行一些安全審核機制�����。日常生活中如果非安全手機�,建議盡量在一些比較知名的第三方應(yīng)用商店去下載,因為黑客經(jīng)常會把一些APP里面植入一些代碼���,包括很著名的漏洞�,就可以通過這種鏈接庫�����,加載APP的木馬進去,對手機數(shù)據(jù)進行竊取����。這是應(yīng)用安全和威脅應(yīng)該注意的地方����。
安琪表示,對操作系統(tǒng)來說���,要不斷修復(fù)內(nèi)核漏洞�。截止到目前為止����,無論安卓也好,IOS也好都引入了很多安全機制����,其實這種漏洞更多是越獄。目前整個安全行業(yè)里面來看�����,安卓和蘋果的越獄越來越難,證明系統(tǒng)在不斷的完善和不斷安全優(yōu)化之中�,所以建議用戶如果沒有特殊的需求,就不要對手機進行Root和越獄�,如果越獄了,實際上所有的安全保障幾乎都沒有了���。
來自于操作系統(tǒng)層面以及日常生活中����,尤其應(yīng)用像微信社交媒體����,社交互聯(lián)網(wǎng)的APP,消費者不要去發(fā)布一些過于隱私的數(shù)據(jù)��,比如像身份證���、火車票����、機票等個人信息��,里面可能有姓名��、身份證號等個人隱私數(shù)據(jù)。實際上���,當(dāng)黑客對發(fā)起攻擊的時候���,第一個就是信息采集,這個過程中會對信息進行收集�����,通過互聯(lián)網(wǎng)的作用�����,進行下一步攻擊實施����,就會埋下風(fēng)險���。
此外�����,針對數(shù)據(jù)和設(shè)備的安全威脅�,主要在于用戶存儲數(shù)據(jù)的信息,實際剛才之前的各種威脅��,通信網(wǎng)絡(luò)的威脅�����,第三方APP的威脅��,操作系統(tǒng)的威脅�����,它最終的目的都是為了造成數(shù)據(jù)的威脅���,所以數(shù)據(jù)永遠都是安全里的核心��,如何保證數(shù)據(jù)的安全�,實際上是整個移動安全領(lǐng)域的重中之重���。
安琪認(rèn)為����,保證數(shù)據(jù)安全,除了安全手機����,就是安全的防護機制。比如活體指紋的識別技術(shù)�,指紋加密芯片會對加密存儲、保護手機用戶所錄入的指紋����,形成了指紋的雙向驗證,即便存儲在trustzone中的指紋數(shù)據(jù)被破解���,不法分子拿到的也是不完整的指紋信息�。因此建議有經(jīng)濟條件或者對安全更加重視的消費者�,盡可能采用一些安全性比較高的手機。
關(guān)注樓主