未發(fā)現(xiàn)遠(yuǎn)程復(fù)制成功的案例,但智能手機應(yīng)防范病毒及惡意軟件盜取信息
本報記者 徐 丹 謝建偉
近期,有讀者反映,手機經(jīng)常收到類似短信,聲稱“只要告訴我對方的手機號,我們就能復(fù)制出一張手機智能芯片,可偷聽對方所有通話,接收對方短信,定位對方位置”。讀者對此說法感到擔(dān)憂。
那么,知道手機號就可復(fù)制手機卡偷聽通話、接收短信、定位嗎?記者進行了調(diào)查。
疑問一:知道手機號就可復(fù)制手機卡嗎?
【調(diào)查】 記者調(diào)查戳穿騙局;警方表示已辦案件中均未成功復(fù)制,實為騙錢
記者按照廣告短信上的號碼,與一位自稱是楊經(jīng)理的男子進行了聯(lián)系。楊經(jīng)理說,安裝他們的特殊軟件可以監(jiān)聽對方通話、接收對方短信、位置定位等,他們提供兩種套餐,監(jiān)聽通話和接收短信的套餐價格為1688元,外加定位的需要1888元。記者表示需要位置定位功能,最終商定價格為1600元。楊經(jīng)理記下了記者需要監(jiān)聽的手機號碼,并稱第二天會有技術(shù)員為記者送貨并安裝。
第二天,一位男士與記者聯(lián)系,約好一小時后在某商場西門見面。一個多小時后,對方打來電話說已經(jīng)到了,但表示先不見面,說“由于自己干的是偏行,要先驗貨付款,然后見面拿貨”,并囑咐記者,待會他會用復(fù)制好的手機卡給記者打電話,讓記者試試通話是否清晰。不久記者手機果然接到電話,來電號碼顯示為記者需要監(jiān)聽的手機號碼,接通后,對方正是那位技術(shù)員。他告訴記者用這個復(fù)制卡可以同步接聽對方來電,并且不會被對方察覺。緊接著,技術(shù)員要求記者給他銀行賬戶上打錢。
由于記者之前了解到,有一款“號碼隨意顯”的電腦軟件可以更改手機來電顯示,為了驗證復(fù)制手機卡的真?zhèn),記者要求技術(shù)員說出被監(jiān)聽號碼的機主現(xiàn)在所處的地理位置,技術(shù)員反復(fù)表示要記者先把錢打到指定銀行賬戶。記者堅持要驗證了定位正確后才能付錢。經(jīng)過反復(fù)溝通,技術(shù)員不情愿地說去進行手機定位。
過了一會兒,記者接到同事打來的電話。該同事持需被監(jiān)聽的手機卡正在北京東部的某商場內(nèi),告訴記者一分鐘前有電話打到這個卡上,稱有贈送禮品要快遞給機主,需提供地址,按照記者和同事事先的約定,同事告訴對方自己位于北京西部某銀行。隨后,記者接到了技術(shù)員的電話,他表示已經(jīng)幫記者定位成功了,“我們的軟件顯示,他就在××銀行附近,誤差不會超過500米”。而該地址正是記者同事告知“快遞員”的地址,并不是該同事實際所在的地址。
記者當(dāng)即指出手機定位有誤,質(zhì)疑監(jiān)聽電話和接收短信的功能是否是真的,該男子支支吾吾,之后掛了電話。
顯然,這是個騙局。那么,這類短信都是騙局嗎?僅憑手機號碼能不能復(fù)制出手機卡?
據(jù)廣西南寧市公安局“打擊電信網(wǎng)絡(luò)詐騙犯罪專業(yè)隊”負(fù)責(zé)人曹韓文介紹,“僅2011年上半年,南寧警方就抓獲此類犯罪嫌疑人130多名。案件中無一例是復(fù)制成功的,都是為了騙錢!辈茼n文說,在這類詐騙案中,騙子的作案手法和特點都很簡單,但受害者被騙后往往因為數(shù)額不太大,且本身目的并不光明磊落,怕人笑話,所以報案較少。
疑問二:技術(shù)上有無可能遠(yuǎn)程復(fù)制?
【調(diào)查】 SIM卡有獨立操作系統(tǒng)及密鑰,不可能遠(yuǎn)程復(fù)制
工業(yè)和信息化部電信研究院通信標(biāo)準(zhǔn)研究所無線與移動部副主任劉東明告訴記者,手機卡上存儲的與用戶安全最密切相關(guān)的參數(shù)是密鑰,用來識別一個用戶是否為他所歸屬的移動網(wǎng)絡(luò)的合法用戶,如果知道了這個參數(shù),同時再知道其他的一些必要參數(shù)如國際移動用戶識別碼,就可以復(fù)制一張新卡。但密鑰存儲在卡的保密區(qū),按照標(biāo)準(zhǔn)的規(guī)定是只能寫入不能讀出的,因此通過讀出卡上的密鑰進行復(fù)制基本不可能。不過,在理論上存在通過鑒權(quán)算法反推出密鑰的可能,也確有不法分子利用智能卡中鑒權(quán)算法的脆弱性復(fù)制智能卡,但前提是要拿到被復(fù)制的卡,所以無卡復(fù)制手機卡無法實現(xiàn)。
中國移動通信研究院副院長楊志強也印證了劉東明的觀點。據(jù)他介紹,手機SIM卡即客戶識別模塊,也稱為CPU智能卡、用戶身份識別卡,存儲了手機客戶的信息、加密的密鑰等內(nèi)容,供移動通信網(wǎng)絡(luò)對客戶身份進行鑒別,并對客戶通話時的語音信息進行加密。SIM卡擁有自己獨立的操作系統(tǒng),與網(wǎng)絡(luò)的鑒權(quán)通過高安全等級國際算法來實現(xiàn)。在卡片里存有一組密鑰以保障安全性。在SIM卡與網(wǎng)絡(luò)之間串接專業(yè)工具截取數(shù)據(jù)流,無法得到密鑰。而運營商網(wǎng)絡(luò)是獨立在因特網(wǎng)之外的網(wǎng)絡(luò),可杜絕來自因特網(wǎng)黑客的攻擊;谝陨显,SIM卡的遠(yuǎn)程復(fù)制不可能辦到。
“手機卡內(nèi)的安全處理模塊均基于國際通用標(biāo)準(zhǔn),2009年底以后中國移動的手機卡還增加了‘增強安全型’模塊,可以主動監(jiān)測非法復(fù)制行為,保證現(xiàn)有的攻擊方法無法實現(xiàn)對SIM卡的復(fù)制!敝袊苿油ㄐ叛芯吭喉椖拷(jīng)理羅紅表示。
同時,中國電信的專家也表示,從技術(shù)上講,中國電信天翼手機卡(CDMA UIM卡)和小靈通SIM卡不可能無卡遠(yuǎn)程復(fù)制。
疑問三:手機信息會在不被發(fā)現(xiàn)的情況下泄露嗎?
【調(diào)查】 手機病毒及惡意軟件可盜取用戶多種信息
雖然從技術(shù)上講,無卡復(fù)制手機卡無法實現(xiàn),但有讀者提出疑慮認(rèn)為:平時手機卡丟了可以補辦,說明運營商是可以做到復(fù)制SIM卡的,那么會不會出現(xiàn)“內(nèi)外勾結(jié)”的情況?
對此,羅紅表示,運營商給用戶補辦卡是為用戶重新發(fā)放一張新的手機卡,在運營商系統(tǒng)內(nèi)將為用戶重新分配新的用戶數(shù)據(jù),原有卡內(nèi)的用戶數(shù)據(jù)同時廢止,補辦的新卡數(shù)據(jù)與原有手機卡數(shù)據(jù)并不一樣,所以說補辦卡不是在復(fù)制用戶的SIM卡。同時,中國移動對于用戶SIM卡中密鑰有著嚴(yán)格的管理要求:網(wǎng)絡(luò)系統(tǒng)內(nèi)存儲的用戶關(guān)鍵數(shù)據(jù)均為加密形式,嚴(yán)格控制對關(guān)鍵數(shù)據(jù)的讀取權(quán)限,即使運營商內(nèi)部的普通工作人員也無法獲得用戶手機卡的關(guān)鍵數(shù)據(jù)。
此外,還有一些所謂“偵探公司”、“調(diào)查公司”宣稱,能拿到被調(diào)查者的“通話記錄、短信清單、手機定位等信息”,“我們在機主不知情的情況下向系統(tǒng)發(fā)送打印通話清單申請,然后直接攔截系統(tǒng)發(fā)回的驗證信息,被調(diào)查者根本不會發(fā)現(xiàn)。”實際情況能這樣嗎?
針對這種說法,楊志強表示,中國移動對查詢客戶詳單(包括語音通話記錄、短彩信發(fā)送記錄、無線上網(wǎng)記錄等)、位置信息等涉及用戶隱私信息的業(yè)務(wù)均設(shè)置了嚴(yán)格的認(rèn)證和提醒流程,不可能在“被調(diào)查者根本不會發(fā)現(xiàn)”的情況下獲取用戶通話記錄的情況。
據(jù)介紹,目前,查詢上述業(yè)務(wù)信息的方式有:通過客服密碼和動態(tài)密碼在網(wǎng)上營業(yè)廳和營業(yè)廳查詢,部分單位客戶可憑有效證件在營業(yè)廳查詢,查詢后均會下發(fā)提醒短信。
楊志強表示,為防止“通話記錄、短信詳單”等信息泄露,中國移動發(fā)布了“五條禁令”、《客戶信息安全保護管理規(guī)定》等,并在技術(shù)層面采取了多種防范手段;同時客戶可通過10086熱線舉報信息安全問題,一經(jīng)核實將對公司內(nèi)部責(zé)任方予以嚴(yán)肅處理。
事實上,據(jù)業(yè)內(nèi)專家介紹,監(jiān)聽手機通話、截獲短信、定位等與復(fù)制卡并沒有直接的關(guān)系。劉東明說,監(jiān)聽手機通話主要有兩種途徑:一種是通過專用設(shè)備截獲用戶通話,也就是使用類似收音機的專用設(shè)備將被監(jiān)聽手機所發(fā)射的無線信號轉(zhuǎn)換成語音信號。其實現(xiàn)條件為:必須在同一基站的覆蓋范圍之內(nèi)(在城市,基站的覆蓋半徑一般為200—500米),且設(shè)備與被監(jiān)聽手機之間的距離必須保持在幾十米以內(nèi);被監(jiān)聽手機不能處在不斷移動狀態(tài),否則很難實現(xiàn)。另一種途徑是通過在手機中安裝竊聽軟件,主要是針對智能機,比如曾經(jīng)有一款能實現(xiàn)竊聽功能的軟件X臥底(及變種),能在用戶通話時啟動三方通話功能實現(xiàn)竊聽。
此外,隨著智能手機的普及,也出現(xiàn)了很多惡意軟件可以盜取用戶的通話記錄、電話本、短信、位置信息等。因此使用智能手機用戶一定要注意。
(下期將繼續(xù)關(guān)注手機個人信息安全,討論如何防范手機泄密風(fēng)險。)
鏈 接
如何防范手機信息泄露
1.避免將手機交給他人保管使用,并最好設(shè)置手機密碼或PIN碼;
2.不要讓不可信任的人或機構(gòu)隨意安裝軟件,不要上不可靠的網(wǎng)站下載安裝軟件;
3.不要輕易查看收到的垃圾短信、彩信、郵件或點擊上述信息中的鏈接;
4.安裝防火墻、殺毒軟件等;
5.在不使用藍(lán)牙之類的無線傳輸功能時盡量關(guān)閉,通過WiFi上網(wǎng)時選擇可信任的接入點,以降低黑客通過藍(lán)牙或WiFi入侵的風(fēng)險。