苹果安全漏洞频发!为何我们的隐私始终“赤裸”?

小微 科技苹果安全漏洞频发!为何我们的隐私始终“赤裸”?已关闭评论124字数 3572阅读模式
摘要经历销量下跌,大幅降价,禁售等风波的苹果,正在尽可能把手上握着的牌打好一点。但打脸又来得如此之快先是FaceTime:加入了群聊功能后,只要加入

还是要拿苹果开一个头。没办法,它最近确实事儿多。

经历销量下跌,大幅降价,禁售等风波的苹果,正在尽可能把手上握着的牌打好一点。文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

比如隐私安全。文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

“What on your ,stays on your .”(在你上发生的,就让它留在上)文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

年初的CES(全球消费电子展 ),苹果在会场对面的大楼上打出巨幅海报,以这段口号刷着存在感。文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

高冷如苹果,在自己每年都缺席的CES上打出如此大阵仗,可见其对自己保护用户隐私安全能力的自信。文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

但打脸又来得如此之快文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

先是:加入了群聊功能后,只要加入群聊,即使对方没接入,也能听到其麦克风传来的声音。文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

然后是APP应用:据有名的信息技术媒体的消息,一些不良开发者,钻了苹果的漏洞,其上线的应用会在后台对用户的使用行为进行悄悄录屏,为企业提供用户的画像。文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

苹果很心累,用户很崩溃,“说好的要做彼此的守护天使呢?!”文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

不存在的,当你走入线上世界的那一刻,还有多少东西是你自己的呢?文章源自微观生活(93wg.com)微观生活-https://93wg.com/2053.html

天下有贼

那一年冯小刚的电影中,傻根在火车站高呼普天之下没有小偷,但火车上一堆“狼”正在盯着他。

从杀熟到黑灰产,用电脑和手机来完成一系列生活行为的我们,就像走入火车车厢的傻根,只是没有人暗中相助。

本次苹果录屏事件,被钻的空子可能来自iOS系统的两个设备标识:IDFA、IDFV。前者供广告商标记追踪用户,用户也能在设置中关闭与重置;后者供开发商分析用户在应用内的行为,卸载APP会重置。

信息的泄露,设备标识是起点。

它们中的几个代表,是:IMEI,即国际移动设备识别码,也就是常说的手机序列号,通过这个可以定位唯一的这台设备;mac地址,即局域网地址,包含了wifi 和蓝牙的地址,用它可以获取你的位置。无论安卓还是iOS,都少不了以上几位。

除此之外,iOS系统还有UDID和,相当于手机的唯一认证标志,以及第三方应用对手机用户的标识。都有着身份证的意义。

为了避免标识对隐私泄露,两个系统都采取了措施。

安卓是从6.0版本开始,加入对应的权限管理系统;而iOS则是直接禁止这些标识的获取权,并安排了前文提到的两种标识作为对企业的折中方案。

但我们也看到了,问题并没有完全得到解决,而且以下隐患也同时存在:

安卓——权限不注意,隐私两行泪

权限,是安卓用户“最熟悉的陌生人”。

首先每次安装一个应用,就会在要求开启的一系列权限:

然后,很多人又因为“权限又多又乱,看不懂的谁管啊,急着装了用呢!”就匆匆点了允许。

于是,在你忽视的某个权限中,可能就埋下了泄密隐私的套——

读取手机状态和身份:泄露手机号和手机后台ID;

录音:泄露电话或语音聊天信息;

大致位置:泄露个人所在地

……

更令人头痛的是,有的权限如果不允许,应用又无法运行,这就让每次使用应用时都有种“脑袋别在裤腰带”上的感觉。

iOS——成也,败也

2015年,有一个被称为“橘子哥”的男人比较火。

这位来自中国广东的哥们,买了一台二手,并用它拍摄了一系列照片,包括数张自己和橘子树的合影。

接着,高能来了。

远在大洋彼岸,这台的原主人(失主)马特,发现自己新买的相册中莫名出现了一堆来自东方的神秘男性照片……

当然我们不去探讨这场“偶遇”后来如何结成了一段跨国友谊,而是来看看它暴露的问题。

其实,不仅橘子哥的照片可以被马特看到,马特的一些特定信息也能与橘子哥的手机同步。

这背后,就是苹果手机的所蕴含的风险。

从系统上来说,iOS闭源、原生并且只对应苹果设备,而且只可在唯一的App Store上下载应用。虽然这种封闭性让其与开源的安卓相比,限制了开发者的自由度,但另一面遏制了流氓软件,更好地保护了用户的使用安全。

而且,隐私保护一直是的对外宣传的卖点之一,在iOS的迭代升级中,IMEI、mac地址、UDID、这些可能泄露用户信息的标识都被逐一禁止。

但圣人千虑必有一失,危险反而出现在为了提升用户体验而开发的中。

对于初次使用苹果设备(非二手)的用户,都会要求注册一个Apple ID,这个账号可以让你登录苹果官网、App Store、等,并使用下载应用、音乐、视频等服务。同时与这个账号一起生成的,是你的。

其实就是你的专属苹果云盘,可以自动同步你的照片、备忘录、联系人等。当你更换或iPad后,在有网络的情况下就无需数据线和电脑即可完成原设备数据的同步导入。

看到这里,很多人应该发现为什么有问题了:

如果我的手机掉了/被偷了,如果我的账号没注销,那我新老手机上的照片、联系人等有一点变化,那个谁不都是可以看到吗?

如果我的账号被盗了我又不知道,那我不就一直被人给监视了吗?

虽然现在苹果已经增加了安全密保,远程解绑设备以及注销、格式化等多种补救措施,但已经有部分人(比如我)出于保险心理关闭了的自动同步功能。让其显得鸡肋无比。

除了以上安卓和iOS自身的一些问题,现在的很多为了“便利”而设计的功能一样潜伏着暗坑——

绑定登录——泄一发动全身

很多人想下载新的APP,但是因为怕麻烦又不愿注册新账号,于是开发商贴心地推出了绑定登录,即使用微信或者QQ号即可登录。

但如果这样操作,同时需要允许一些权限——

一般是获得用户的公开信息,但有趣的是,这个公开信息到底“公开”到程度?虽然备注有昵称和头像,但其它还包括哪些呢?

因此,由于不同APP的性质和安保措施不同,也让我们绑定的微信和QQ的账号隐私受到不良分子反向窃取的威胁。

自动登录&免密支付——手机被偷就头大

为了免去每次都输入账号和密码进行登录和支付的行为,支付宝、滴滴等APP都加入了自动登录和免密支付功能。

虽然使用的过程中十分方便,但如果手机被盗,本来小偷破解密码还需要时间,这下好了,便利的功能瞬间变成了“自己为别人开了保险柜”。

那不被偷呢?抱歉,也很容易被下套了,不良分子可以通过伪造二维码代替原来一些设备上的原支付码,就是瞄准了使用免密支付的用户,因为他们扫码后直接跳过了原流程的确认信息环节,然后钱就会哗啦啦往外流入对方的腰包。

最后,当一切无可挽回,我们这些泄漏的信息,又被拿去怎么使用了呢?

信息黑市

其实,能被交易的,不止是金钱和商品,个人信息也是稀罕的“珍品”。

举个例子,很多人拿完快递后会随手把快递单和包装一扔,但也许在后面就会被人有目的地拾起来,并在一些平台上贩卖。

从快递单上,他们知道了你的:地址、电话、购买商品信息、昵称或真名。

同样,在国内网安部门的巡查行动中,也发现通过软件、聊天群等形式形成的非法市场。其中,征信、资金账户等公民个人信息被明码标价出售。

为什么个人信息如此值钱?因为它们能扒光个体,让一个人完全处于被支配的状态。

从危害较低的方面说,大家知道吗?

你在网上搜了一些东西后,是不是经常就会有弹窗和推荐向你展示更多与你搜索记录相关的信息?

因为某些网站为了辨别用户身份、进行跟踪而储存在用户本地终端上的数据,这些数据可以用来分析用户画像,这就是(“小甜饼”),体量小却风险大。

你泄露的个人信息,也是一个个。都可以被归入流行的“大数据”概念并被加以应用,企业、商家、内容提供者可以更好地摸清你的生活习惯,然后看人下菜碟。

而接下来对你隐私的处理方式,依据个人防范意识的程度不同,陆续会有人沦为案板上的肉。

比如,诈骗和骚扰电话、短信,随着对你个人信息的熟悉,内容越能以假乱真。我曾收到一个短信,对方伪装成我办理过业务的银行,说要冻结我账户,如果不是我对自己的账户记录十分清楚,并去官方网站查询,估计就上套了。

还有一些难以想象的,比如一直被传的十分惊悚的“暗网”(关于它的详细介绍网上很多),你的隐私被拿去上面拍卖,莫名其妙地,也许你本人就成了地下世界一群疯子的的所有物了。

于是,隐私信息成为我们的分身,科技的发展没有让我们更加安全,反而让我们更加步步惊心。

裹紧铠甲

怎么办?还是那句老套但有用的话“多长点心”。

新下载了APP时

花一点时间,阅读一下权限声明。自己不想开的权限不要勾选,强制允许的权限斟酌一下利弊。安装后要记得在设置中哪地方可以进行权限管理。

买了新的苹果手机时

注册账号后,去看一下开启了哪些功能,不想用的关掉它。如果是换了新的设备,记得把老机子的账号退出并格式化。

开启自动登录和免密支付后

为你的手机再加几个开机保护吧,密码解锁、指纹解锁、手势解锁、刷脸解锁……手机被盗后也能给小偷制造点阻碍,给你充足的时间解绑和改密码。

另外扫码支付时,观察一下二维码,摸一摸,看看是不是被替换过。

设备被盗时

平时记得梳理清楚自己在设备上的要害应用和信息的情况,被盗后第一时间按顺序进行账号冻结、密码修改、银行卡解绑、注销、云盘格式化等操作。切记,此时不要在新设备上直接安装新APP后就登录使用。

行走在科技飞速发展时代的幽谷时,我们能做的只是尽可能抓住保护我们个人信息的有限衣物。

毕竟距离我们的隐私可以安睡,尚且需要一段时日。

话题:

为了保护隐私,你会放弃自动登录、免密支付等便利且风险其实也不特别高的功能吗?

继续阅读
 
小微
  • 版权声明: 本文部分文字与图片资源来自于网络,转载此文是出于传递更多信息之目的,若有来源标注错误或侵犯了您的合法权益,请立即通知我们(管理员邮箱:81118366@qq.com),情况属实,我们会第一时间予以删除,并同时向您表示歉意,谢谢!
  • 转载请务必保留本文链接:https://93wg.com/2053.html