中国间谍软件如何在手机里窃取信息？

由中国企业开发的TikTok以及其他手机应用程序被指控窃取用户个人信息，而这些信息与App的实际功能无关，没有合理的收集理由。

IT安全专家斯特罗贝尔（Stefan Strobel）表示："TikTok和其他夹带恶意插件的App并不无辜，这也不是恶意中伤，因为这些App的开发者从一开始就在他们的应用软件里加装后门、间谍功能以及其他东西，而且还努力不使人注意到。"

斯特罗贝尔是IT安全顾问公司CIROSEC的创始者兼总裁，为德国中小企业提供IT安全咨询服务，部分客户在中国有业务活动。因此，斯特罗贝尔对于中国开发的App也有颇为深入的了解。他认为，用户群庞大的TikTok以及微信只是冰山一角。

微信是个通用的应用软件，除了收发信息和支付功能外，还与其他社交媒体应用程序结合。微信在中国被广泛使用，IT专家们毫不怀疑地认为，所有流经微信的信息几乎都被中国政府记录下来。

我的App里隐藏了什么？

此外，还有数千个多数为免费的APP，甚至商业应用程序也有此类问题。斯特罗贝尔指出："我们越来越常注意到，出于某些原因，开发商投入了许多资源，让分析App变得更困难。如果努力尝试破解里头的保护功能并探究其编程方式，会发现各种信息都被收集并送往中国。而这些信息其实没有收集的必要。"

许多应用程序乍看之下不起眼而且无害。起初它只是安装一个小小的后门，以利黑客日后使用。"就算你现在看这些App, 看上去一切无害，但中国开发商通常能在使用期间延展它的功能。你不需要再次在App商店中下载这个软件，它就能突然增加其他的操作。"

无所谓的心态要不得

斯特罗贝尔表示，这与西方软件开发商定期提供的App实时更新不同。中国间谍App的"运行中更新"不能与微软Office系统的更新相提并论。"作为客户端，我可以同意微软Office进行更新。中国的应用软件则是在用户毫不知情的情况下更新，甚至可能是在用户正在使用App的当下。"

TikTok就是一个非常巧妙的例子。最初它伪装成有趣且无害的软件，但它对用户信息的渴求却随着时间以及软件的成功与日俱增。直到大量用户使用这个软件后，就会出现牵引效应。斯特罗贝尔分析此类软件的策略称："当这个App占据了引领潮流的地位并且大受欢迎时，人们会说：'嘿，我也要用这个！'接着开发商会逐渐延伸其权限，而已经安装软件的用户就必须同意更多条款。"

开发商以此类方式扩大使用者赋予App的权限。许多用户根本不清楚App要求了什么样的权限。当App跳出一个对话框时，他们只是下意识点选同意。如此，App便能取得用户实时位置，随时得知他们身处何地，甚至可能取得手机联络人或是行事历信息。想要使用App，就必须接受这些条件。

系统预装的恶意软件

不仅是用户主动在App商店中下载的应用软件有此类情况。在购买智能手机时，里头经常已经预先安装了恶意软件。美国网络安全公司Kryptowire首席执行官斯塔夫鲁（Angelos Stavrou）表示："许多智能手机运营商使用第三方开发软件，却不知道它的来源以及编程者为何人。恶意软件成了制造链的一部分，很快就能使其受到侵蚀。"

该公司去年在26家制造商的安卓手机预装应用软件中发现了146个安全风险，这些软件可能是来自电信公司、电子产品商店等。斯塔夫鲁在2020年IT防御大会期间向德国之声透露，目前又增加了上百个安全漏洞。

Kryptowire的研究总监约翰逊（Ryan Johnson）举了用于更改字体的小程序"Lovelyfonts"和"LovelyHighFonts"为例。这两个程序号称是单纯的字体程序，能使手机屏幕上显示的字体更生动有趣。

事实上，这些程序会在用户不知情的情况下对手机发动攻击，打包手机中的加密数据，并在手机闲置时将数据发送给位于上海的一个服务器。

约翰逊表示："我们发现的部分程序拥有系统特权，是操作系统的一部分。使用者无法将其关闭。如果此类应用程序有缺陷，用户无法做出任何应对。"

软件开发藏风险

与苹果的IOS系统相比，安卓更容易受到恶意软件的危害。原因在于，苹果一手掌握了其手机开发及App商店，在发现恶意软件时可以更快速地应对并将其移除。

安卓系统则需要更多反应时间。安卓的一个开源项目（ASOP）提供软件开发者所需的信息和源代码。开发商若想要推出新智能手机，可以在代码库中寻找客户可能会喜欢的软件搭配组合。约翰逊警告："所有ASOP中的安全漏洞都由此转移给手机供应商。"

IT安全专家斯特罗贝尔也认为，混乱的制造、开发和经销结构形成了安全风险。"里头有许多参与方，对应一个分散的市场。由于有许多硬件制造商对操作系统作出修改并贴上自己的标记，导致一切变得不够安全。"

恶意软件藏在程序工具中

苹果并非完全幸免于此类攻击，2015年源自中国的XcodeGhost风波便是一例。这个恶意代码潜伏在苹果的程序开发工具Xcode中，而程序设计者需要Xcode 来编写MacOS或IOS系统的应用软件。

斯特罗贝尔指出："如果下载的是苹果官方Xcode并用其开发App便不会出现状况。但如果通过无需付费的灰色渠道取得Xcode, 恶意代码会被自动植入App中，这就会出现问题。"

当时约有4000个应用程序在开发者不知情的情况下被注入恶意代码。看上去是个庞大的数字，但与目前苹果App商店中近200万个应用程序相比，这个数字只是九牛一毛。但IT专家斯特罗贝尔也必须承认，XCodeGhost确实是非常专业的黑客手法："从黑客的角度来评价，通过开发环境，在App开发期间就植入恶意代码，手段极为高明。

手机比电脑安全

使用者能做些什么来确保手机的安全？令人惊讶的好消息是：智能手机的安全性比想象中更高。

斯特罗贝尔表示："无论是安卓或IOS，智能手机操作系统的基本概念是，App会在沙盒中运行，只具备非常有限的权限。"

如果操作系统没有开放的安全漏洞，恶意软件也无法访问用户在其他App中执行的操作，甚至是攻击操作系统。斯特罗贝尔指出，智能手机通常比一般电脑更安全。"例如IOS比一般的Windows 10系统电脑安全。这是因为即便作为使用者，我在IOS手机中也没有管理权限，但在我的电脑上却拥有这些权限。"

取决于使用者

重要的是随时保持警惕。不要将所有看似有意思的东西安装在自己的手机上。对于应用程序拥有哪些权限，使用者不仅应心里有数，也不要随意批准所有权限。

在各种有关中国间谍软件的警告以及制造商缺乏透明度的情况下，是否还要使用中国制造商推出的智能手机，最终取决于个人。

企业可以通过中央设备管理（即所谓的MDM功能），保护发放的业务用手机安全性。通过上述管理系统，企业能决定手机上只能安装特定App，或使用者可与哪些网络连线。虽然这样的限制会减少手机使用的乐趣，但至少能确保数据都完好地保存在手机里。