公共场所连接免费未知Wi-Fi需警惕小心手机沦为远程窃听器
一端是手机静静摆在桌面上,显示锁屏状态,另一端是50米开外的电脑上“麦克风权限”被摁下,手机周围的说话内容被悄无声息地录下,存成录音文档……这一“窃听风云”式的电影场景,日前却在北京网络安全大会上真实上演。笔者了解到,手机远程窃听攻击已成为近来生活中频发的真实黑客攻击案例。
锁屏状态下摄像头也能被遥控
输入13位手机号,摁下“麦克风权限”,并在设置框里将录音时长调整为10秒钟,点击开始后,对应手机周围的所有对话内容都被完整录下,并自动存档。毫无计算机背景的市民张先生在安全专家的指导下,轻易地完成了一次“窃听攻击”,不禁目瞪口呆:“这也太可怕了,要是开个涉密会或者有个私人谈话,岂不是完全暴露?”事实上,笔者了解到,被获取麦克风权限的手机,由于话筒功能被开启,黑客不但能对周围环境音录音,还能延伸到电话场景,监听手机的双方通话内容。
手机在待机状态下,黑客还能调用手机前置摄像头对周围进行偷拍。笔者拿起一个锁屏手机放在桌面上,在手机没有任何异动表现的情况下,被远程拍了一张“自拍照”。值得注意的是,现场工作人员对笔者表示,被黑客偷拍的 “自拍照”并不会存储在手机相册里,而是直接被存储到了黑客电脑上。“通过这种方式,黑客便能轻易知晓攻击对象的性别、年龄、大致特征,甚至周围的工作、生活环境。”
此外,黑客还能调取手机的短信权限、通讯录权限和地理位置权限等。
恶意Wi-Fi给攻击提供通道
通过电脑上的一个攻击软件,就可以肆意远程调取操纵一部手机的基本权限?这并非实验室才有的场景。笔者了解到,这类入侵并不局限于某一型号或系统的手机,无论是Windows系统、安卓系统还是苹果系统都难以幸免。
笔者了解到,用户在不知情的情况下连上恶意Wi-Fi,是黑客发动此类网络攻击的关键。奇安信代码卫士专家柳本金向笔者解释称,黑客往往会在机场、咖啡厅、火车站、餐馆等公共场合搭建一个恶意Wi-Fi热点或者在公共场合选择一个免费的公共Wi-Fi,攻击获取该Wi-Fi的路由器控制权限,以此来实现这类远程窃听控制手机。
“用户在这些公共场所想要访问网络时,会连接公共Wi-Fi,可能就会连接到黑客所搭建的Wi-Fi热点。黑客劫持流量后,会模拟真实服务器向APP返回数据,促使APP弹出更新界面,提示升级。用户看到更新提示框后,会很自然地和平常一样点击更新。这个更新安装过程实际上是黑客给用户推送木马安装并执行的过程。当木马被执行后,黑客就可以远程控制用户手机的各类权限。”柳本金解释道。
APP偷听今年被监管治理
和朋友刚聊完想买某个东西,或点个某类外卖,点开手机就收到有关的自动推送……近来越来越多的消费者开始质疑手机里的APP是否偷听自己的日常对话。事实上,近期,苹果、Facebook、亚马逊、微软四家纷纷曝出“窃听门”。
“APP偷听用户对话,在技术层面上是可以实现的。”在安全大会现场,一名专家告诉笔者,APP运营方只要远程获取手机的麦克风权限,完全能够听到用户的对话以及环境音,再利用语音识别以及语音分析等软件,提取关键词后再推送相应的关键词给用户。
不过,笔者了解到,公众无需过分担心现实中热门APP存在偷听行为。中央网信办、工信部、公安部、市场监管总局等4部门联合成立的APP专项治理工作组,从今年1月份开始多次就对存在问题的APP进行整改通报。“通过语音窃听是一种成本最高、效率最低的方法,但当APP通过社会关系、喜好习惯、Wi-Fi场景等各种方式进行定向推送,就会给民众‘遭到窃听’的错觉”。APP专项治理工作组成员何延哲表示,APP精确推送广告往往通过社会关系、喜好习惯、Wi-Fi场景等方式进行。“除非处在一个完全独立的环境中,才能给出企业‘窃听’的实锤,但这个环境极难达成。”
家里的路由器也要定期改密码
普通用户如何避免时刻陪伴自己的手机沦为黑客的远程窃听器?对此,安全专家表示,在公共场所需谨慎连接免费Wi-Fi,特别是不要连接安全性未知的Wi-Fi热点。“普通市民很难去分辨一个安全性未知的公共Wi-Fi是否真正公共,还是由黑客伪装。比如用手机搜索到一个名为 ‘地铁免费Wi-Fi’的界面,其实很可能是私人的,一旦连接,黑客完全可以调取你手机访问了什么页面,手机的设备型号是什么,获取一系列概要信息。”
柳本金表示,普通用户的家庭路由器要定期更新路由器的设备固件程序,定期修改Wi-Fi密码和管理员密码,尽量不要使用可能泄露Wi-Fi密码的软件。此外,用户要尽量从官方网站或应用商店等安全渠道下载手机APP。“如果从其他网站下载APP再安装,很容易被黑客中途替换为恶意软件,类似情况很多用户都在五花八门的下载站遇到过。”
“很多窃听应用通常是用户不小心主动安装到自己手机上的,安卓手机的开放性导致应用申请大量的权限,用户安装应用时很多都是不看应用申请的权限直接进行安装并对访问语音、摄像头等放开权限。就这个角度讲,普通用户不妨安装一些安全隐私保护的APP软件,并养成定时清查的习惯。” 柳本金认为,想要防止被窃听,根本上还要从源头上截断。袁 璐
