手机泄密有多严重 不当下载或遭木马监听

制图：蔡华伟

4月9日本报“求证”栏目刊登《复制手机卡偷听通话是骗局》，引发读者对手机个人信息安全的关注。

随着移动互联网搜索、游戏、阅读、音乐、互动社区、手机支付等业务的开发使用，移动互联网已融入普通百姓的生活。中国互联网络信息中心2012年1月发布的有关报告显示，截至2011年底，我国手机网民数量超过3.5亿。

移动互联网的快速发展给人们带来便利，也给个人信息安全带来严峻挑战。这种挑战不仅来自病毒、恶意软件对用户手机进行的非法自启动、私自联网、私自发短信、恶意扣费等威胁，同时，手机用户的通话记录、通讯录、账号、个人私密文件都面临着被窥视与窃取的风险。

疑问一：手机可能泄露哪些信息？

【回应】通讯录、密码、短信、通话、照片都可能被窃取

手机上的个人信息包括位置信息、通讯信息、账号密码信息以及存储文件信息等四大类。其中，通讯信息包括通讯录、通话记录、短信等，手机内存储文件信息包括机主的照片、录音、视频等文件。此外，手机的一些硬件信息，比如IMEI号（手机串号）、无线网卡的Mac地址、硬件配置信息也都属于个人信息的范畴。

业内专家提醒说，并不是只有盗取用户通讯录、短信、照片才是“侵犯手机个人信息安全”，目前一些应用软件暗中搜集用户的位置信息（比如，常去的商场、日常的路线）、手机上网记录（浏览的网页、购物偏好）等信息，看似不起眼，但其实通过这些信息进行的用户习惯分析数据极具商业价值，也都可能成为被侵犯的目标，而且这种侵犯行为较隐蔽，不易被发觉。

疑问二：手机泄密渠道有哪些？

【回应】手机木马与恶意软件最危险；隐私窃取木马会监听并上传通话录音；一些看似普通的软件可能读取私人短信

据互联网安全公司360副总裁李涛介绍，目前侵犯手机个人信息的主要方式，除了通过线下购买手机用户信息、通过诈骗电话套取个人信息等之外，主要是通过手机木马与恶意软件直接窃取，后者正在成为不法分子获取手机个人信息的重要方式。

除恶意扣费外，窃取用户隐私已经成为手机木马的主要危害之一。据安全工程师介绍，DDL“隐私大盗”和“X卧底”都是有代表性的隐私窃取木马。DDL“隐私大盗”木马专偷短信、IMEI、Google账号等隐私信息，窥探、监控用户的举动，并将相关信息卖给有关商家。

“X卧底”是一款窃听软件，被暗中安装后不会启动任何图标，也不会给用户任何提示，一切监听行为都在后台自动完成：当用户通话时，木马会自动监听并录音保存，同时读取用户的通话记录、短信内容等；通话完毕后，木马启动上传程序，将通话录音等上传至不法分子搭建的服务器上。

据360安全中心发布的《2011中国手机安全状况报告》显示，2011年新增手机恶意软件及木马8714个，被感染的智能手机用户超过2753万人次。以安卓（Android）平台为例，2010年发现12个木马，2011年暴增至4722个。其中，13%的木马专门窃取手机个人信息。

在今年“3·15”消费者权益日，中国电子信息产业发展研究院、中国软件评测中心发布了《2012年Android手机软件个人信息安全报告》。据负责该报告的中国软件测评中心副主任刘法旺介绍，该中心通过抽样的方式从中国移动、联通、电信、安卓在线等8家手机应用软件市场上测试了不同类型的软件870款，结果显示，所有电子市场均发现部分软件存在个人信息泄露行为。在泄露的个人信息类型中，以IMEI号泄露最为严重，其次为手机号码、地理位置和SIM卡序列号。IMEI是每只手机在组装完成后被赋予的全球唯一号码，获得IEMI码后，可以通过手机供应商进行手机锁定，中止手机通话功能，获知手机方位。

该中心智能移动终端测试实验室主任王晓芹列举了一款名为“寸芒v1.0.1”的电子书软件，在阅读“第1集雪夜”时，点击“第一章星罗”后，会发现该软件向某IP地址同时发送了“手机号码”、“SIM卡序列号”和“IMEI号”三种个人信息，而在用户的手机页面中未出现任何与此相关的提示信息。

手机移动安全顾问认为，手机软件平台的开放性使得软件开发者越来越多，由于软件上线审核不是非常严格，很多开发者对于权限并不重视，会无意或有意地加入一些“功能”。比如一个日历软件会读取私人短信，这就是典型的滥用权限行为，对用户来说就是安全隐患；再比如软件长时间驻留后台，无法关闭，也给用户带来不便。

安全专家提醒手机用户：从大型可信站点、商店下载手机软件，避免到论坛下载；安装软件时注意观察软件权限，出现敏感权限要特别警惕；安装手机安全软件特别是具有隐私保护功能的安全软件，将个人照片、视频等隐私数据加密保存；开启安全软件中的手机防盗功能，方便找回手机，或者在无法找回时发送指令远程取回数据并销毁数据；在使用中随时留意手机运行状况，及时处理异常行为。