由中国企业开发的TikTok以及其他手机应用程序被指控窃取用户个人信息,而这些信息与App的实际功能无关,没有合理的收集理由。
IT安全专家斯特罗贝尔(Stefan Strobel)表示:"TikTok和其他夹带恶意插件的App并不无辜,这也不是恶意中伤,因为这些App的开发者从一开始就在他们的应用软件里加装后门、间谍功能以及其他东西,而且还努力不使人注意到。"
斯特罗贝尔是IT安全顾问公司CIROSEC的创始者兼总裁,为德国中小企业提供IT安全咨询服务,部分客户在中国有业务活动。因此,斯特罗贝尔对于中国开发的App也有颇为深入的了解。他认为,用户群庞大的TikTok以及微信只是冰山一角。
微信是个通用的应用软件,除了收发信息和支付功能外,还与其他社交媒体应用程序结合。微信在中国被广泛使用,IT专家们毫不怀疑地认为,所有流经微信的信息几乎都被中国政府记录下来。
我的App里隐藏了什么?
此外,还有数千个多数为免费的APP,甚至商业应用程序也有此类问题。斯特罗贝尔指出:"我们越来越常注意到,出于某些原因,开发商投入了许多资源,让分析App变得更困难。如果努力尝试破解里头的保护功能并探究其编程方式,会发现各种信息都被收集并送往中国。而这些信息其实没有收集的必要。"
许多应用程序乍看之下不起眼而且无害。起初它只是安装一个小小的后门,以利黑客日后使用。"就算你现在看这些App,看上去一切无害,但中国开发商通常能在使用期间延展它的功能。你不需要再次在App商店中下载这个软件,它就能突然增加其他的操作。"
无所谓的心态要不得
斯特罗贝尔表示,这与西方软件开发商定期提供的App实时更新不同。中国间谍App的"运行中更新"不能与微软Office系统的更新相提并论。"作为客户端,我可以同意微软Office进行更新。中国的应用软件则是在用户毫不知情的情况下更新,甚至可能是在用户正在使用App的当下。"
TikTok就是一个非常巧妙的例子。最初它伪装成有趣且无害的软件,但它对用户信息的渴求却随着时间以及软件的成功与日俱增。直到大量用户使用这个软件后,就会出现牵引效应。斯特罗贝尔分析此类软件的策略称:"当这个App占据了引领潮流的地位并且大受欢迎时,人们会说:'嘿,我也要用这个!'接着开发商会逐渐延伸其权限,而已经安装软件的用户就必须同意更多条款。"
开发商以此类方式扩大使用者赋予App的权限。许多用户根本不清楚App要求了什么样的权限。当App跳出一个对话框时,他们只是下意识点选同意。如此,App便能取得用户实时位置,随时得知他们身处何地,甚至可能取得手机联络人或是行事历信息。想要使用App,就必须接受这些条件。
系统预装的恶意软件
不仅是用户主动在App商店中下载的应用软件有此类情况。在购买智能手机时,里头经常已经预先安装了恶意软件。美国网络安全公司Kryptowire首席执行官斯塔夫鲁(Angelos Stavrou)表示:"许多智能手机运营商使用第三方开发软件,却不知道它的来源以及编程者为何人。恶意软件成了制造链的一部分,很快就能使其受到侵蚀。"
该公司去年在26家制造商的安卓手机预装应用软件中发现了146个安全风险,这些软件可能是来自电信公司、电子产品商店等。斯塔夫鲁在2020年IT防御大会期间向德国之声透露,目前又增加了上百个安全漏洞。
Kryptowire的研究总监约翰逊(Ryan Johnson)举了用于更改字体的小程序"Lovelyfonts"和"LovelyHighFonts"为例。这两个程序号称是单纯的字体程序,能使手机屏幕上显示的字体更生动有趣。
事实上,这些程序会在用户不知情的情况下对手机发动攻击,打包手机中的加密数据,并在手机闲置时将数据发送给位于上海的一个服务器。
约翰逊表示:"我们发现的部分程序拥有系统特权,是操作系统的一部分。使用者无法将其关闭。如果此类应用程序有缺陷,用户无法做出任何应对。"
软件开发藏风险
与苹果的IOS系统相比,安卓更容易受到恶意软件的危害。原因在于,苹果一手掌握了其手机开发及App商店,在发现恶意软件时可以更快速地应对并将其移除。
安卓系统则需要更多反应时间。安卓的一个开源项目(ASOP)提供软件开发者所需的信息和源代码。开发商若想要推出新智能手机,可以在代码库中寻找客户可能会喜欢的软件搭配组合。约翰逊警告:"所有ASOP中的安全漏洞都由此转移给手机供应商。"
IT安全专家斯特罗贝尔也认为,混乱的制造、开发和经销结构形成了安全风险。"里头有许多参与方,对应一个分散的市场。由于有许多硬件制造商对操作系统作出修改并贴上自己的标记,导致一切变得不够安全。"
恶意软件藏在程序工具中
苹果并非完全幸免于此类攻击,2015年源自中国的XcodeGhost风波便是一例。这个恶意代码潜伏在苹果的程序开发工具Xcode中,而程序设计者需要Xcode来编写MacOS或IOS系统的应用软件。
斯特罗贝尔指出:"如果下载的是苹果官方Xcode并用其开发App便不会出现状况。但如果通过无需付费的灰色渠道取得Xcode,恶意代码会被自动植入App中,这就会出现问题。"
当时约有4000个应用程序在开发者不知情的情况下被注入恶意代码。看上去是个庞大的数字,但与目前苹果App商店中近200万个应用程序相比,这个数字只是九牛一毛。但IT专家斯特罗贝尔也必须承认,XCodeGhost确实是非常专业的黑客手法:"从黑客的角度来评价,通过开发环境,在App开发期间就植入恶意代码,手段极为高明。
手机比电脑安全
使用者能做些什么来确保手机的安全?令人惊讶的好消息是:智能手机的安全性比想象中更高。
斯特罗贝尔表示:"无论是安卓或IOS,智能手机操作系统的基本概念是,App会在沙盒中运行,只具备非常有限的权限。"
如果操作系统没有开放的安全漏洞,恶意软件也无法访问用户在其他App中执行的操作,甚至是攻击操作系统。斯特罗贝尔指出,智能手机通常比一般电脑更安全。"例如IOS比一般的Windows10系统电脑安全。这是因为即便作为使用者,我在IOS手机中也没有管理权限,但在我的电脑上却拥有这些权限。"
取决于使用者
重要的是随时保持警惕。不要将所有看似有意思的东西安装在自己的手机上。对于应用程序拥有哪些权限,使用者不仅应心里有数,也不要随意批准所有权限。
在各种有关中国间谍软件的警告以及制造商缺乏透明度的情况下,是否还要使用中国制造商推出的智能手机,最终取决于个人。
企业可以通过中央设备管理(即所谓的MDM功能),保护发放的业务用手机安全性。通过上述管理系统,企业能决定手机上只能安装特定App,或使用者可与哪些网络连线。虽然这样的限制会减少手机使用的乐趣,但至少能确保数据都完好地保存在手机里。
