■阿静

　　十年前，冯小刚和葛优合作了一部贺岁档电影《手机》。葛优饰演的严守一因为一次疏忽，深藏手机里的秘密被妻子意外发现，生活由此脱离轨道……

　　严守一感叹手机成“手雷”不免矫情，比起真实世界里的詹妮弗·劳伦斯，他真应该庆幸自己“早生十年”。在最新一轮“好莱坞艳照门”中，包括詹妮弗·劳伦斯在内的十多位女明星的裸照和私密自拍在互联网上疯狂传播。而在此前，好莱坞数位女星的私密照片，包括詹尼佛·洛佩兹、克里斯汀·邓斯特、超模凯特·阿普顿、歌手蕾哈娜等也不幸中招。海外媒体报道称，“好莱坞艳照门”的罪魁祸首，很有可能是当事人苹果手机的iCloud应用中一项功能存在漏洞，一众明星上传至iCloud服务器上的私密照片，被黑客乘虚而入席卷一空。在严守一生活的“诺基亚时代”，手机泄密，主要是因为用户自己不慎，手机落在别人手上。给他们带来麻烦的，无非是那些短信、通话记录而已。十年过去，“苹果三星时代”的智能手机一旦被攻破“防线”，被泄漏的就不是几个敏感通话记录，而是手机中的短信、微信、网页浏览历史、网购交易记录、私密照片视频、银行账号、股票账户……而把你的这些私人秘密窃为己有甚至公之于众的，是那些时刻在窥视着你一举一动的手机病毒、恶意App、系统后门、黑客……面对它们，普通用户根本没有招架之力。

　　手机安全形同虚设，已给人们的正常工作生活带来极大骚扰。正如一位安全专家所说的那样：“你的智能手机可能装在你的口袋里，但是你做不了它的主”——光滑的触摸屏背后究竟藏着些什么，可以随时掌握你我的一举一动？它们是如何做到的？且听专家的分析——

　　系统厂商留后门

　　9月中旬，苹果发布了iPhone 6和iPhone 6plus两款手机新品，但连续两轮，国内市场都未进入iPhone首发地区范围，这让众多果粉等得心焦，对一再延迟的原因也产生了诸多猜测。

　　终于在9月30日，工信部为iPhone 6和iPhone 6plus两款苹果手机新品发放了入网许可，它们终于被允许在国内市场开售。同时，苹果手机新品延迟进入国内市场的原因也被揭开，那就是“手机后门”。

　　在工信部发布的一份700余字的公告中，有600多字都是关于信息安全方面的内容。工信部方面称，经过检测，苹果iOS系统的三个后台服务程序存在被利用的可能性，iPhone6确实存在个人信息泄露的可能性，提醒用户使用各类智能手机时提高防范意识，保护好个人隐私。而在数月之前，苹果后门事件已经闹得沸沸扬扬。

　　其实，不仅是苹果的iOS系统留有后门，安卓系统也不例外。曾经在黑客大赛上攻破过iOS最新系统的安全专家陈良称，国外最新的一项研究表明，安卓系统中存在一个严重的安全漏洞，攻击者可以伪造ID，冒充可信任的App窃取用户信息，这意味着攻击者能够利用虚假App冒充谷歌钱包这类支付软件，窃取用户账号等财务数据，危险程度相当高。

　　黑客植入木马病毒

　　很多人看过港产大片《窃听风云》，“每个人的手机都是一部窃听器”的台词，手机轻而易举遭到监听的场景让很多人心惊肉跳。但大家要明白的是，这并不是虚幻，而是会切切实实发生在人们生活当中。有媒体日前报道称，北京的凌女士最近发现，系统提示自己的手机内存快满了，这让她有些奇怪，自己手机没有下载太多App，怎么内存就不够用呢？于是她仔细检查了手机中存储的内容，发现多了很多音频软件，删也删不掉。凌女士很奇怪，自己从来不用手机录音的，这些文件从何而来呢？

　　一位朋友正好是手机安全工程师，他帮凌女士检测了这些音频软件，发现竟然都是她平时和别人打电话的内容。而且，即使手机不在通话过程中，周围环境的声音也被录了下来。这让凌女士感到异常心惊。

　　凌女士发现自己手机被窃听，原因就是因为她的手机中了木马病毒。

　　木马伪装成“手机管家”后潜伏在手机中，会通过发送短信指令，窃取手机用户的地理位置信息、微信语音信息、短信，甚至还会偷录手机用户的通话，这些隐私信息，都会通过邮件发送给木马作者。

　　更为严重的是，监听行为非常隐蔽，其偷录的通话录音文件通过邮件发送给木马作者后，还会将录音文件从手机中删除，不经常查看SD卡存储内容的手机用户，极有可能被蒙骗，难以察觉手机异常。此外，木马还会判断手机的电量信息以及是否root，邮件通知木马作者，完全掌握“中招”手机运行状态。

　　二维码中藏陷阱

　　现在流行扫二维码，使用的确很方便，但是暗藏的风险也不小。

　　如果市民参加过去年11月举行的上海信息安全周活动，会对此有非常直观的了解。在当时的活动现场，上海碁震Keen安全研究团队负责人拿出一部全新的手机交给一位用户，这位用户先对着自己的名片拍了一张照片，然后又对着演示屏上的二维码扫了一下。就是这看似随意的一扫，马上有了出人意料的结果，刚刚拍摄的照片，已经被这位安全研究团队的负责人获取，并展现在了现场大屏幕上。不仅是拍摄的照片，用户输入的QQ账号和密码、支付账号和密码等等，也能被获取。

　　“手机存在漏洞，所以才会被侵入。”这位负责人表示，任何手机都不可能完全避免漏洞，使用时也不能掉以轻心。

　　正规App手伸过界

　　相比前文中提到的几种手机泄密方式，还有一种更加值得关注，那就是正规App也在过度收集机主的信息。之前央视对此有过集中报道，被曝光以及点名涉嫌“窃取用户隐私”的App中，不乏高德地图等拥有千万级用户的公司。

　　被曝光的App中，被质疑的窃取隐私行为包括读取用户手机号、位置信息、读取以及上传通讯录、读取及修改甚至发送短信等权限……其实，除了被曝光的应用，用户最常使用的很多App也会涉及到这些信息，比如微信就包含读取、修改通讯录、获取位置信息、读取短信等功能。

　　在这些App安装之前，软件开发商一定会告诉用户需要获取读取通讯录等权限。用户可以选择不同意，但是这些App也就安装不了。所以很多用户最终都“屈服”了，同意了这些条款。

　　智能手机窃取私人信息，只是近年来个人信息保护违法侵权现状的冰山一角。中国社科院曾经在北京、成都、青岛、西安四城市调研发现，我国个人信息泄露、滥用的情况可谓触目惊心。具体形式大致可以分为四种——

　　过度收集个人信息擅自披露个人信息擅自提供个人信息非法买卖个人信息

　　手机泄密的现象越来越泛滥，寄托于厂商自律、用户谨慎去防范风险并不现实，解决之道是建立完善的法律和监管体系。在这其中，有几个问题需要明晰，何为“个人隐私”？App使用哪些用户个人信息是合规的、哪些是不合规的？违规违法者该承担何种法律责任？

　　明确App分级标准

　　央视曝光部分互联网企业涉嫌侵犯用户个人隐私后，涉事企业大喊“冤枉”。例如有订餐服务企业认为，只有使用GPS定位才能使用查找附近美食功能；社交App则表示，如果没有开启通讯录访问权限，无法使用文字、语音聊天功能。

　　企业鸣冤叫屈并非全无道理。这些App依据地理位置信息，给人们的生活提供了极大方便，比如就近查找美食、预约打车、查找公交线路等等。所以，如果禁止App使用这些用户个人信息，不仅厂商不同意，也得不到用户的支持。

　　但是，并非所有的App需要的用户信息都是一样的。以位置交友为主要目的的App应用，需要获得用户的GPS权限，这是合情合理的。但如果是一款手电筒之类的简单应用，就没有必要去取得用户的GPS位置权限。很多App在软件本身被开发设计的时候，已经考虑到App自身更新的需求，这样开发者会将软件自动提示升级的功能加入到软件内，因此需要获得用户手机的互联网访问权限。但是，像是一些电子书App也要获取用户的互联网访问权限，那就毫无必要，其真实意图令人怀疑。

　　有专家因此建议，现在有必要建立手机端隐私数据分级、应用程序收集和使用隐私数据应有标准。哪些用户信息是属于等级较高的，哪些是等级较低的？App也应分等级，要使用用户通讯录、通话记录、短信内容的App，应该被归入风险等级较高的App，在审核和监管上“重点关照”。

　　完善法规建立追惩机制

　　事实上，比起互联网和移动互联网的发展速度，司法的更新节奏并不尽如人意。

　　工信部2002年曾出台《互联网信息服务管理办法》，对互联网信息服务活动进行规范，但其中未包括个人信息保护。直到2011年，工信部发布《互联网信息服务管理规定(征求意见稿)》，才对互联网个人信息有了明确限定。管理规定除法律、法规规定外，未经用户同意，互联网信息服务提供者不得收集与用户相关、能够单独或者与其他信息结合识别用户身份的信息。互联网信息服务提供者只能收集其提供服务所必需的用户个人信息。

　　规定还要求，应该明确告知用户收集个人信息的方式、内容和用途，并且不能超出上述用途。互联网服务提供商也不能将信息提供给第三方。对于违反规定的，管理部门可处以一万元以上、三万元以下的罚款。

　　但这只是部门规定，在法律层面上，我国目前并没有专门针对个人隐私保护的法律。我国《刑法》强调“非法”使用“窃听、窃照专用器材”采集个人信息才是违法，那么，利用App窃取用户的隐私的行为是否是违法呢？

　　而且，从目前情况来看，管理部门对违规者处以一万元以上、三万元以下的罚款的惩罚力度有些弱，对很多互联网企业来说几乎无关痛痒，所以必须要加大惩罚力度，这样才能遏制手机上个人隐私泄露的现象。

　　相关链接在眼皮底下偷走你的信息

　　■张斌

　　知名技术网站Business I nsi der(BI )不久前刊登文章，对近期热炒的“小米手机将用户个人信息发送回公司服务器”一事进行评论时指出：这一事件让人们开始关注我们的智能手机和外部世界之间的联系。只要你的智能手机处于开机状态，它就会与至少三个不同的主人进行通讯——手机生产公司、无线运营商和你手机中安装或预装的第三方应用程序开发者。

　　文章称，从你手机中抓取数据的公司绝非小米一家。互联网安全专家表示，无线运营商可能会从你的手机中收集收据，手机制造商也可能会收集各种信息，包括你的地理位置信息。他们这样做可能没有征得用户的同意，或者根本就没有让用户知道。

　　“这不是哪个手机制造商或电信公司的问题，而是整个行业的问题。”这位专家指出：“各家公司都会以各种理由来收集数据，这样做可能合法，但却会带来隐私方面的问题。”例如，很多无线运营商在其服务条款中就包含了收集有关手机、电脑和网络活动（包括用户访问的网站）等个人数据的权力。惠普和法国互联网安全公司Qosmos所做的一项案例研究发现，无线运营商能够跟踪个人设备，查看用户发送了多少条脸书信息。他们这样做的目的是，利用这些数据来向用户投放更有针对性的广告。有调查显示，三分之一的安卓手机应用程序会在“用户不知情的情况下”上传个人信息给“第三方公司”，但“用户并不能够轻易地知道哪些信息或功能被访问，哪些数据被传回到开发者的服务器上、以及这些被传到服务器上的数据是怎么被处理的。”

　　BI在这篇报道中指出，问题不在于手机制造商、应用程序开发者和无线运营商是否会从你的手机中收集数据，而在于它们会收集什么样的数据、何时收集，以及用来做什么。“在不知道背景信息的情况下，人们根本无从判断发送这些数据是否合理。”