电影《窃听风云》中,一张微不足道的手机卡就能偷听别人手机的所有内容。其实在现实生活中,无需手机卡,一个隐蔽软件就能成功窃听。
“指定号码,只要一个软件,距离多远都能知道他的手机跟谁说什么,跟谁发什么,知道他在哪儿。”一组来自国家计算机网络应急技术处理协调中心的数据显示,每天仅因“×卧底”造成的窃密事件已达6600次以上。这究竟是一款怎样的软件?是什么人在买、什么人在卖?背后又隐藏着怎样的利益链?
它的术
小小软件十分强大
有人士向记者透露,网上有人销售窃听软件,其中一家名叫“蒙知晓”的网站比较有名。
记者在网上找到了这家“蒙知晓手机监控软件”网站,根据网站提供的QQ号码675141530与卖家取得了联系,这个号码的QQ名是“蒙知晓”,但QQ签名却显示“007手机监控防盗软件”。
卖家介绍了该软件的“强大”功能:“该软件适合所用智能手机,主要用途包括查看对方电话本,对所有通话内容录音,短信内容查看等,还能随时定位跟踪。”
对方还说:“提供免费试用,试用满意后才决定是否购买!” 卖家表示,针对iPhone的软件,价格为3500元一年,以后续费只需1300元一年。一次性购买后并无其他任何费用,可以随意更换手机安装使用。塞班系统的监听软件一年需要3300元,安卓手机系统分为一年3300元和3500元两个档次。
记者要求试用该软件,并表示手机为iPhone4。卖家告诉记者只有8小时的试用时间,随后发来了一份《新苹果安装指南》的软件安装说明书。
按照上述说明,记者用手机登录某网站,该网站类似苹果公司的在线App商店,但里面都是一些补丁和不知名软件。这款窃听软件名为hxzpp,只有700K大小,显示软件类型为补丁软件。
按照卖家提示,记者要先设置一个目标手机(1363132××××),即被监听的手机,并用目标手机链接上述网址,下载监听软件并安装到手机中。安装后,重启手机,接着告诉卖家目标
手机号码,由卖家激活该软件,整个激活过程不到一分钟。软件激活之后,目标手机没有提示。但记者指定的邮箱立刻收到了一封包含目标手机通讯录的邮件,这证明该软件已被激活,目标手机被成功监听。
随后,卖家告诉记者需设置另一部手机为主控手机(1361012××××),卖家也向记者要了主控
手机号码,同样由他来激活,但具体的激活过程卖家并未透露,激活成功之后也无提示。用主控号码给目标手机打电话就是环境监听功能,可以清楚地听到目标手机周围环境的声音。同时卖家还要求记者提供一个邮箱账号,用来接收目标手机的通话以及短信内容。
该软件一安装到目标手机上,记者就立即在指定的163邮箱中收到了目标手机里的通讯录,包括人名、电话、职位等。
它的恶
窃听黑链规模上亿
“这个产业链一年收入可以高达上亿元”。瑞星安全专家唐威告诉记者,如今最受青睐的是用户在网上购物时的电商信息,“因为这里包括了用户的地址、电话、银行账号、消费信息等等最能变现的资料。” 《中国手机恶意软件分析报告》称,手机间谍软件产业链每年催生10亿元灰色收入。据记者了解,这个产业链分成了几个群体,共同支撑起这个“黑色帝国”。
首先是卖方,有些是技术人员和销售人员,有些是工具制造者,他们比较容易近距离接触到用户的信息,但不会直接兜售。唐威介绍说,卖方拿到数据之后并不会细分挖掘,而是直接抛给下游。
接手的就是中间商,他们的工作是倒买倒卖。“他们会将信息归类筛选,QQ号会归为一类,电商信息会归为一类,银行账号是更高级别的,有些派发给房地产中介,有些给广告公司。”业内人士透露,一级中间商的“产品”多数并非直接卖给买方,一般经过至少三个中间商再倒手,以逃避法律风险。
最后接盘的是买方,有些买方还会专门定制用户信息,比如哪个区域的白领,哪个区域的女性用户,哪些区域是房地产需求相对集中的。“甚至有电商企业接手了这些被窃取的信息。”唐威透露。
安全领域人士透露,一旦被监控,用户资料就会流入黑客手中,这些数据在黑客圈中所谓的“黑市”里销售,“按照文件大小销售,打包的文件大部分上百兆有上千条信息,一般是几万元。但若是电商用户信息,甚至会按条数来卖,这个最值钱。”一个打包“产品”甚至可以叫价上百万元,有人会利用信息诈骗,有人会买断竞争对手的用户资源,有人会给用户发广告或垃圾信息牟利。
它的监管
法律监管仍是空白
艾媒咨询集团CEO张毅表示,任何移动互联网服务都潜在信息泄露危险,除了国家明确立法和严格的保护措施以外,斩断利益链,厂商的自律非常重要;对于用户而言,要选择最安全的渠道使用软件并定期更换密码,是最妥善的保护。
IT法律专家赵占领表示,政府有关部门应提供相应的安全性审查检测工具和服务,规定应用商城承担平台管理和用户数据安全保障的连带责任,要对应用商城上架的所有应用程序进行安全核查及进行开发者验证。今年初工信部直属的中国软件测评中心透露,《信息安全技术、公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)已正式通过评审,正报批国家标准。
至于黑客的入侵行为,赵占领则表示这种行为已经构成犯罪,属非法入侵计算机信息系统罪。根据《刑法》285条的规定,黑客的行为轻则处三年以下有期徒刑或者拘役,情节严重可处三年以上七年以下有期徒刑,并处罚金。
它的防御
用户如何自我保护?
通过正规渠道下载软件:在下载安装应用程序时,提高警惕,尽量选择知名度高、口碑好的应用商城或者官方网站,确保信息来源的可靠性。
避免安装不健康软件:大量恶意软件往往通过伪装吸引用户下载,不要轻易点击短信、E-mail或社交网络中有风险的链接。
严控系统权限的授予:尽量避免将访问个人隐私数据的权限和访问网络的权限同时授予可疑程序。
有条件者工作、娱乐各备一部手机:用户可对手机数据进行物理隔绝,将工作和个人通讯的手机和上网娱乐的手机分开,避免将账号密码、卡号密码、身份信息等明文存储于手机。
作者:林曦 卢启文 王婷 来源:羊城晚报
