万维读者网 > 数码科技 > 正文  

中国间谍软件如何在手机里窃取信息?

www.creaders.net | 2020-08-30 14:45:24  德国之声 | 0条评论 | 查看/发表评论

由中国企业开发的TikTok以及其他手机应用程序被指控窃取用户个人信息,而这些信息与App的实际功能无关,没有合理的收集理由。

IT安全专家斯特罗贝尔(Stefan Strobel)表示:"TikTok和其他夹带恶意插件的App并不无辜,这也不是恶意中伤,因为这些App的开发者从一开始就在他们的应用软件里加装后门、间谍功能以及其他东西,而且还努力不使人注意到。"

斯特罗贝尔是IT安全顾问公司CIROSEC的创始者兼总裁,为德国中小企业提供IT安全咨询服务,部分客户在中国有业务活动。因此,斯特罗贝尔对于中国开发的App也有颇为深入的了解。他认为,用户群庞大的TikTok以及微信只是冰山一角。

微信是个通用的应用软件,除了收发信息和支付功能外,还与其他社交媒体应用程序结合。微信在中国被广泛使用,IT专家们毫不怀疑地认为,所有流经微信的信息几乎都被中国政府记录下来。

我的App里隐藏了什么?

此外,还有数千个多数为免费的APP,甚至商业应用程序也有此类问题。斯特罗贝尔指出:"我们越来越常注意到,出于某些原因,开发商投入了许多资源,让分析App变得更困难。如果努力尝试破解里头的保护功能并探究其编程方式,会发现各种信息都被收集并送往中国。而这些信息其实没有收集的必要。"

许多应用程序乍看之下不起眼而且无害。起初它只是安装一个小小的后门,以利黑客日后使用。"就算你现在看这些App, 看上去一切无害,但中国开发商通常能在使用期间延展它的功能。你不需要再次在App商店中下载这个软件,它就能突然增加其他的操作。"

无所谓的心态要不得

斯特罗贝尔表示,这与西方软件开发商定期提供的App实时更新不同。中国间谍App的"运行中更新"不能与微软Office系统的更新相提并论。"作为客户端,我可以同意微软Office进行更新。中国的应用软件则是在用户毫不知情的情况下更新,甚至可能是在用户正在使用App的当下。"

TikTok就是一个非常巧妙的例子。最初它伪装成有趣且无害的软件,但它对用户信息的渴求却随着时间以及软件的成功与日俱增。直到大量用户使用这个软件后,就会出现牵引效应。斯特罗贝尔分析此类软件的策略称:"当这个App占据了引领潮流的地位并且大受欢迎时,人们会说:'嘿,我也要用这个!'接着开发商会逐渐延伸其权限,而已经安装软件的用户就必须同意更多条款。"

开发商以此类方式扩大使用者赋予App的权限。许多用户根本不清楚App要求了什么样的权限。当App跳出一个对话框时,他们只是下意识点选同意。如此,App便能取得用户实时位置,随时得知他们身处何地,甚至可能取得手机联络人或是行事历信息。想要使用App,就必须接受这些条件。

系统预装的恶意软件

不仅是用户主动在App商店中下载的应用软件有此类情况。在购买智能手机时,里头经常已经预先安装了恶意软件。美国网络安全公司Kryptowire首席执行官斯塔夫鲁(Angelos Stavrou)表示:"许多智能手机运营商使用第三方开发软件,却不知道它的来源以及编程者为何人。恶意软件成了制造链的一部分,很快就能使其受到侵蚀。"

该公司去年在26家制造商的安卓手机预装应用软件中发现了146个安全风险,这些软件可能是来自电信公司、电子产品商店等。斯塔夫鲁在2020年IT防御大会期间向德国之声透露,目前又增加了上百个安全漏洞。

Kryptowire的研究总监约翰逊(Ryan Johnson)举了用于更改字体的小程序"Lovelyfonts"和"LovelyHighFonts"为例。这两个程序号称是单纯的字体程序,能使手机屏幕上显示的字体更生动有趣。

事实上,这些程序会在用户不知情的情况下对手机发动攻击,打包手机中的加密数据,并在手机闲置时将数据发送给位于上海的一个服务器。

约翰逊表示:"我们发现的部分程序拥有系统特权,是操作系统的一部分。使用者无法将其关闭。如果此类应用程序有缺陷,用户无法做出任何应对。"

软件开发藏风险

与苹果的IOS系统相比,安卓更容易受到恶意软件的危害。原因在于,苹果一手掌握了其手机开发及App商店,在发现恶意软件时可以更快速地应对并将其移除。

安卓系统则需要更多反应时间。安卓的一个开源项目(ASOP)提供软件开发者所需的信息和源代码。开发商若想要推出新智能手机,可以在代码库中寻找客户可能会喜欢的软件搭配组合。约翰逊警告:"所有ASOP中的安全漏洞都由此转移给手机供应商。"

IT安全专家斯特罗贝尔也认为,混乱的制造、开发和经销结构形成了安全风险。"里头有许多参与方,对应一个分散的市场。由于有许多硬件制造商对操作系统作出修改并贴上自己的标记,导致一切变得不够安全。"

恶意软件藏在程序工具中

苹果并非完全幸免于此类攻击,2015年源自中国的XcodeGhost风波便是一例。这个恶意代码潜伏在苹果的程序开发工具Xcode中,而程序设计者需要Xcode 来编写MacOS或IOS系统的应用软件。

斯特罗贝尔指出:"如果下载的是苹果官方Xcode并用其开发App便不会出现状况。但如果通过无需付费的灰色渠道取得Xcode, 恶意代码会被自动植入App中,这就会出现问题。"

当时约有4000个应用程序在开发者不知情的情况下被注入恶意代码。看上去是个庞大的数字,但与目前苹果App商店中近200万个应用程序相比,这个数字只是九牛一毛。但IT专家斯特罗贝尔也必须承认,XCodeGhost确实是非常专业的黑客手法:"从黑客的角度来评价,通过开发环境,在App开发期间就植入恶意代码,手段极为高明。

手机比电脑安全

使用者能做些什么来确保手机的安全?令人惊讶的好消息是:智能手机的安全性比想象中更高。

斯特罗贝尔表示:"无论是安卓或IOS,智能手机操作系统的基本概念是,App会在沙盒中运行,只具备非常有限的权限。"

如果操作系统没有开放的安全漏洞,恶意软件也无法访问用户在其他App中执行的操作,甚至是攻击操作系统。斯特罗贝尔指出,智能手机通常比一般电脑更安全。"例如IOS比一般的Windows 10系统电脑安全。这是因为即便作为使用者,我在IOS手机中也没有管理权限,但在我的电脑上却拥有这些权限。"

取决于使用者

重要的是随时保持警惕。不要将所有看似有意思的东西安装在自己的手机上。对于应用程序拥有哪些权限,使用者不仅应心里有数,也不要随意批准所有权限。

在各种有关中国间谍软件的警告以及制造商缺乏透明度的情况下,是否还要使用中国制造商推出的智能手机,最终取决于个人。

企业可以通过中央设备管理(即所谓的MDM功能),保护发放的业务用手机安全性。通过上述管理系统,企业能决定手机上只能安装特定App,或使用者可与哪些网络连线。虽然这样的限制会减少手机使用的乐趣,但至少能确保数据都完好地保存在手机里。

   0


24小时新闻排行榜 更多>>
1 当街开枪!习当局要大开杀戒
2 大势已去 普京准备玩命
3 “大战”开打!中国突然闪击波兰
4 “胡”姓爸给儿取名 老师再也不点他名了
5 中国高铁 正在沦为巨大的陷阱
热门专题
1
美国大选
6
巴黎奥运
11
中国爆雷
2
中美冷战
7
三中全会
12
李尚福出事
3
乌克兰战争
8
中共两会
13
秦刚失踪
4
以哈战争
9
台湾大选
14
火箭军悬案
5
万维专栏
10
李克强
15
台海风云
关于本站 | 广告服务 | 联系我们 | 招聘信息 | 网站导航 | 隐私保护
Copyright (C) 1998-2024. Creaders.NET. All Rights Reserved.