手机查“乳腺增生”医院就来电话 机主信息咋保护
事件
手机上查询乳腺增生 医院电话打过来
因为朋友得了乳腺增生,西安市民陈女士12月1日下午用手机上网搜索了关键字“乳腺增生”,没过多久就接到一个年轻女子打来的电话,问陈女士是不是机主本人,并说自己是西安某医院的,因为陈女士关注了医院网站,才给她打电话过来。
陈女士用的手机是安卓系统的小米3,上网查询时用的是一个专门的手机应用,而且她平时在网络安全方面也比较注意。因此她感到很疑惑:“医院是怎么知道我手机号的?”
手机上网可能导致哪些信息被泄露?该如何防护?本期好奇心,华商报和西安高新区一家网络安全技术公司合作,一起设计了一组实验进行探索。
实验
实验时间:12月9日
实验地点:西安四叶草信息技术有限公司Clo-verSec实验室
实验人员:四叶草安全公司技术总监赵培源、CloverSec实验室负责人袁伟、华商报记者
实验顾问:国内知名网络安全专家、西安四叶草信息技术有限公司CEO马坤,西安电子科技大学网络与信息安全学院副教授、教育部信息安全团队骨干成员杨超
实验1
手机上网会暴露哪些信息?
袁伟介绍,只要用手机上网就会产生设备和互联网之间的数据交换。那么这些数据究竟都包含哪些信息?
袁伟打开笔记本电脑,使用一款软件对自己正在上网手机的实时数据进行了“抓包”。他说,这是通过拦截手机用来上网的WiFi从而得以实现的。
从抓取的数据包来看,信息相当丰富,不仅有手机串码、序列号、内部型号、网络类型(即WiFi还是3G/4G)、操作系统版本等手机信息,还有手机号码等机主信息。此外,用手机进行网络登录时所填的动态验证码也赫然在列。
实验总结
马坤说,使用手机上网和使用电脑上网一样,都会产生数据交换,这是无法避免的。而手机和互联网间交换的数据中,就可能包含手机号码等重要机主信息、手机串码等重要设备信息、机主登录时的验证码等重要账户信息。从实验来看,不安全的WiFi就可能成为获取这些信息非常便捷的渠道。
实验2
哪些途径可能暴露机主信息?
陈女士手机号码会被医院获知,赵培源分析,可能的途径有以下几个:一是通过手机应用获取到的;二是用户在一些网站的注册信息被泄密;三是医院通过运营商所留的接口获取了用户信息。尽管这三种情况都有可能,但第三种情况可能性相对较小,因为运营商通常不愿因此背负污名;网站注册数据泄密近些年时有发生,但也并非大概率事件;最大的嫌疑当属手机应用。
为检验这种分析的可能性,袁伟用安卓手机下载了陈女士上网查询时所用的APP——一款和某搜索引擎同名的手机应用。安装后发现,这个应用索要的隐私权限非常多,包括拨打电话、发送短信、访问联系人、读取位置信息等共11项。且安装完成后即默认为信任软件,也就是说所有隐私权限都是默认为允许使用的。而且该应用还默认开机自启。即使在设置里把它关上,再次使用该应用后,开机自启功能会偷偷打开。
袁伟说,尽管该应用并未直接申请“获取手机号”的隐私权限,但既然默认能拨打电话、发送短信、访问联系人,就完全可以获取用户手机号码。此外,还有一些应用会直接向用户申请“获取手机号”的权限。在手机中,像这样的应用很多,如果不注意对应用权限的设置,就很容易导致电话号码等隐私信息被泄露。
手机应用获取了用户手机号,医院是怎么知道的?袁伟说,有的搜索引擎会采用竞价排名的方式,将个别网页链接放置在某类关键词搜索结果的最前列。这种商业运营模式究竟还有没有提供别的服务,比如提供合作对象想要知道的用户电话号码等信息,那就不太好说了。
实验总结
马坤说,手机用户都应当学会对隐私权限的设置,安卓手机用户尤其要注意。下载软件要从可信度高的应用商店下载,安装时要特别注意该应用所申请的隐私权限,并注意用安全防护软件扫描、清理。平时要注意过一段时间查看一下第三方应用权限设置,看一看有多少应用在向你索要隐私权限,不必要的直接禁止。
实验3
哪些上网行为可能导致隐私信息泄露?
华商报记者在手机上用某搜索引擎,搜索关键字“乳腺增生”后,看到排在前面的大多是医院的相关网页链接。
袁伟在电脑上用同一个搜索引擎搜索同样的关键字,出现的搜索结果和手机差不多,前面也都是医院信息。
不论是用电脑还是用手机,如果点开排在前面的搜索结果,就可能直接进入医院的网络界面,并可以直接进入网络会话。在这样的界面上,除了网络会话框,还会有QQ交流按钮以及相关二维码。
袁伟介绍,不论是用手机还是电脑,只要点了这样的网络界面上的QQ交流按钮,对方就可以在沟通的过程中获知用户的QQ号;若扫了相关二维码,由于不知道其指向是什么,有可能存在安全隐患。而在网页会话框交流中,客服人员还可能直接向用户询问相关隐私信息,如此一来,相关隐私信息就会被医院或商家掌握。
实验总结
马坤说,在网页会话中,要尽量避免提及自己的隐私信息;不要点击不明的QQ交谈按钮、扫描未知二维码,避免自己QQ号或其他信息被人掌握。
提醒
使用手机要学会应用权限管控
那么到底该如何防止手机上网时个人隐私信息被泄露?袁伟和杨超老师提醒大家,一定要注意以下几点:
1.手机操作系统要升级到最新版本。这不仅仅是功能的提升,通常也会弥补发现的漏洞。另外,最好不要对操作系统进行越狱或root。
2.要学会权限管控。新装了软件,要对其索要的隐私权限进行审查;即便最近没有新装应用,过一段时间也要对手机所装的第三方应用敏感隐私权限进行检查,若发现有不经同意私自安装或下载的应用,一定要删除掉,并进行杀毒和安全检查。
3.做好安全防护。要选择大品牌、信得过、不偷偷上传用户隐私的安全防护应用。
4.注意上网行为,提高隐私保护意识。不可信的网站不要注册登录,对于在线沟通要谨慎,必要时可使用一些虚假信息。网页对话可以使用,但要注意尽量减少交互。对谈话中对方索要联系方式要特别注意,避免使用网页自带QQ进行沟通,或扫描其微信二维码进行关注。
5.不要使用不可信的WiFi上网。自家的无线路由器安全设置要做好,不要使用默认用户名和默认密码。
华商报记者 马虎振
编辑:王玮玮