手机查“乳腺增生”医院就来电话 机主信息咋保护

22.12.2015  09:58

   事件

  手机上查询乳腺增生 医院电话打过来

  因为朋友得了乳腺增生,西安市民陈女士12月1日下午用手机上网搜索了关键字“乳腺增生”,没过多久就接到一个年轻女子打来的电话,问陈女士是不是机主本人,并说自己是西安某医院的,因为陈女士关注了医院网站,才给她打电话过来。

  陈女士用的手机是安卓系统的小米3,上网查询时用的是一个专门的手机应用,而且她平时在网络安全方面也比较注意。因此她感到很疑惑:“医院是怎么知道我手机号的?

  手机上网可能导致哪些信息被泄露?该如何防护?本期好奇心,华商报和西安高新区一家网络安全技术公司合作,一起设计了一组实验进行探索。

   实验

  实验时间:12月9日

  实验地点:西安四叶草信息技术有限公司Clo-verSec实验室

  实验人员:四叶草安全公司技术总监赵培源、CloverSec实验室负责人袁伟、华商报记者

  实验顾问:国内知名网络安全专家、西安四叶草信息技术有限公司CEO马坤,西安电子科技大学网络与信息安全学院副教授、教育部信息安全团队骨干成员杨超

  实验1

  手机上网会暴露哪些信息?

  袁伟介绍,只要用手机上网就会产生设备和互联网之间的数据交换。那么这些数据究竟都包含哪些信息?

  袁伟打开笔记本电脑,使用一款软件对自己正在上网手机的实时数据进行了“抓包”。他说,这是通过拦截手机用来上网的WiFi从而得以实现的。

  从抓取的数据包来看,信息相当丰富,不仅有手机串码、序列号、内部型号、网络类型(即WiFi还是3G/4G)、操作系统版本等手机信息,还有手机号码等机主信息。此外,用手机进行网络登录时所填的动态验证码也赫然在列。

   实验总结

  马坤说,使用手机上网和使用电脑上网一样,都会产生数据交换,这是无法避免的。而手机和互联网间交换的数据中,就可能包含手机号码等重要机主信息、手机串码等重要设备信息、机主登录时的验证码等重要账户信息。从实验来看,不安全的WiFi就可能成为获取这些信息非常便捷的渠道。

  实验2

  哪些途径可能暴露机主信息?

  陈女士手机号码会被医院获知,赵培源分析,可能的途径有以下几个:一是通过手机应用获取到的;二是用户在一些网站的注册信息被泄密;三是医院通过运营商所留的接口获取了用户信息。尽管这三种情况都有可能,但第三种情况可能性相对较小,因为运营商通常不愿因此背负污名;网站注册数据泄密近些年时有发生,但也并非大概率事件;最大的嫌疑当属手机应用。

  为检验这种分析的可能性,袁伟用安卓手机下载了陈女士上网查询时所用的APP——一款和某搜索引擎同名的手机应用。安装后发现,这个应用索要的隐私权限非常多,包括拨打电话、发送短信、访问联系人、读取位置信息等共11项。且安装完成后即默认为信任软件,也就是说所有隐私权限都是默认为允许使用的。而且该应用还默认开机自启。即使在设置里把它关上,再次使用该应用后,开机自启功能会偷偷打开。

  袁伟说,尽管该应用并未直接申请“获取手机号”的隐私权限,但既然默认能拨打电话、发送短信、访问联系人,就完全可以获取用户手机号码。此外,还有一些应用会直接向用户申请“获取手机号”的权限。在手机中,像这样的应用很多,如果不注意对应用权限的设置,就很容易导致电话号码等隐私信息被泄露。

  手机应用获取了用户手机号,医院是怎么知道的?袁伟说,有的搜索引擎会采用竞价排名的方式,将个别网页链接放置在某类关键词搜索结果的最前列。这种商业运营模式究竟还有没有提供别的服务,比如提供合作对象想要知道的用户电话号码等信息,那就不太好说了。

   实验总结

  马坤说,手机用户都应当学会对隐私权限的设置,安卓手机用户尤其要注意。下载软件要从可信度高的应用商店下载,安装时要特别注意该应用所申请的隐私权限,并注意用安全防护软件扫描、清理。平时要注意过一段时间查看一下第三方应用权限设置,看一看有多少应用在向你索要隐私权限,不必要的直接禁止。

  实验3

  哪些上网行为可能导致隐私信息泄露?

  华商报记者在手机上用某搜索引擎,搜索关键字“乳腺增生”后,看到排在前面的大多是医院的相关网页链接。

  袁伟在电脑上用同一个搜索引擎搜索同样的关键字,出现的搜索结果和手机差不多,前面也都是医院信息。

  不论是用电脑还是用手机,如果点开排在前面的搜索结果,就可能直接进入医院的网络界面,并可以直接进入网络会话。在这样的界面上,除了网络会话框,还会有QQ交流按钮以及相关二维码。

  袁伟介绍,不论是用手机还是电脑,只要点了这样的网络界面上的QQ交流按钮,对方就可以在沟通的过程中获知用户的QQ号;若扫了相关二维码,由于不知道其指向是什么,有可能存在安全隐患。而在网页会话框交流中,客服人员还可能直接向用户询问相关隐私信息,如此一来,相关隐私信息就会被医院或商家掌握。

   实验总结

  马坤说,在网页会话中,要尽量避免提及自己的隐私信息;不要点击不明的QQ交谈按钮、扫描未知二维码,避免自己QQ号或其他信息被人掌握。

  提醒

  使用手机要学会应用权限管控

  那么到底该如何防止手机上网时个人隐私信息被泄露?袁伟和杨超老师提醒大家,一定要注意以下几点:

  1.手机操作系统要升级到最新版本。这不仅仅是功能的提升,通常也会弥补发现的漏洞。另外,最好不要对操作系统进行越狱或root。

  2.要学会权限管控。新装了软件,要对其索要的隐私权限进行审查;即便最近没有新装应用,过一段时间也要对手机所装的第三方应用敏感隐私权限进行检查,若发现有不经同意私自安装或下载的应用,一定要删除掉,并进行杀毒和安全检查。

  3.做好安全防护。要选择大品牌、信得过、不偷偷上传用户隐私的安全防护应用。

  4.注意上网行为,提高隐私保护意识。不可信的网站不要注册登录,对于在线沟通要谨慎,必要时可使用一些虚假信息。网页对话可以使用,但要注意尽量减少交互。对谈话中对方索要联系方式要特别注意,避免使用网页自带QQ进行沟通,或扫描其微信二维码进行关注。

  5.不要使用不可信的WiFi上网。自家的无线路由器安全设置要做好,不要使用默认用户名和默认密码。

  华商报记者 马虎振

编辑:王玮玮