iPhone“窃听风云”- 手机安全使用须知

　　2009年热映的电影《窃听风云》中，负责监听的警察只需一个手机号码就能窃听手机持有者的一切对话。这看起来可能有点夸张，但在现实世界中，手机的确已经成为个人信息安全的重大隐患。

　　你正在使用或想拥有iPhone、GPhone等智能手机吗？如果是，你应该仔细看看这篇文章。现在的智能手机大行其道，无论是iPhone还是Android系统，智能平台和众多应用扩展在带来丰富应用体验的同时，也为黑客们提供了可乘之机。

　　私秘的个人信息之忧

　　这里所提到的个人信息不只是你的姓名、联系方式等数据，更重要的是你的动态信息和所有个人习惯，比如：通话记录、短信和邮件信息、信用卡帐号、键盘输入记录、浏览器历史记录、地理位置等等。别惊讶，在iPhone上的这些数据都能被获取。（下面将给出具体示例）。

　　可以想象，黑客或别有用心的人可以对你做些什么：你在跟谁联系？经常与谁通话？你的邮件和短信有哪些私密内容？进入一些付费应用时你的银行帐号和密码是什么？你浏览了哪些网站？你在哪儿，你在做什么……对，你的iPhone是个“信息手雷”，随时可能爆炸。简单来看，随着手机智能化程度的提高，手机上的安全问题与电脑有趋同之势，不同之处在于，手机与你随身相伴，这些威胁来得更为直接。

　　丰富的应用扩展之祸

　　作为苹果公司的重量级产品，iPhone无论从用户界面还是操作体验上都为人称赞；更让人心动的是，iPhone可以通过苹果AppStore扩展无数的第三方应用程序；Google也通过Android软件商店的丰富应用来吸引手机用户。但你可能不知道，你的安全威胁也来自这些软件。

苹果App Store（软件商店）里丰富的应用扩展给用户信息安全埋下祸根

　　苹果App Store（软件商店）的审核机制

　　根据统计，苹果AppStore的审核机制已经拒绝了近10%的应用软件提交，苹果官方称这些软件可能存在潜在的政治、色情和安全威胁。但是目前苹果AppStore的每周的新增软件提交数超过1万个，审核团队不可能对每一款新提交的软件都做彻底的安全检查。

　　软件审核机制在AndroidMarket上更为松散，Google奉行的策略是让用户决定AndroidMarket中的软件是否应该被移除。如果一个应用程序被足够多的用户举报，Google才会去审查是否有必要移除它。这种“后发制人”的策略将产生更大的安全威胁：首先，你无法指望用户具备识别恶意软件的能力；其次，绝大多数用户识别的安全威胁是被伤害之后。

　　大量的审核数量和难以避免的漏网之鱼

　　iPhone和Gphone软件商店的审核机制很容易产生漏网之鱼，如果这些小鱼游到你的手机里，他们会通过各自不同的技术手段窃取你的重要信息，窥视你生活的方方面面。

苹果App Store（软件商店）的漏网之鱼可方便地窃取用户的个人信息

　　第三方应用软件对个人信息的窃取一般是通过iPhone和Android系统固有的漏洞，或是通过某些iPhoneOSAPI的信息通道，比如：通讯录API、iPhone文件系统等。不知不觉中，你的信息就流到黑客手中。

　　水货=“水祸”？

　　与第三方软件形成的安全威胁相比，水货所带来的危险性可能更大。据不完全统计，在中国联通正式引进iPhone之前，已经有250万部水货流入中国，而这些iPhone手机要在国内正常使用，就必须通过RedSn0w（红雪）、YellowSn0w（黄雪）、超雪（UltraSn0w）、Purplera1n（紫雨）、blackra1n（黑雨）、blackSn0w（黑雪）等工具或自制固件来越狱和解锁。虽然，安全陷阱可能自你拿到iPhone那一刻激活使用就开始了，但是中国联通行货一开始带给我们的是阉割WiFi模块后的iPhone，这也是目前不少用户选择水货的主要原因。

　　现实存在的威胁

　　下面来看看iPhone在现实世界中的安全问题，来回应开始我们所提到个人信息的泄漏问题。这里要提到一款软件——SpyPhone。它诠释的个人信息泄露方式，大家从以下图片一目了然。

SpyPhone的软件界面和一些说明信息

SpyPhone中Email和通话信息的获取

SpyPhone中通讯录和键盘输入数据的获取

SpyPhone中照片地理信息的获取

SpyPhone可通过GPS和Wifi获取你的位置

　　捍卫个人信息的安全

　　我们无法回避智能手机的安全问题，但也不能拒绝智能手机带来的乐趣和便利。所以我们要做的不是回避，而是捍卫手机安全。

　　终端安全与平台安全

　　iPhone、GPhone信息安全威胁的主要根源在于手机及其智能本身。智能手机终端是信息的主要载体，保证信息安全首先要保证的是终端安全。而iPhone等“舶来品”自身就缺乏这种安全保障：它的固件、网络使用无法在我国的通信体系里得到有效保证；我们也无法确定这台需要通过越狱、破解等手段才可以在国内正常使用的手机在流出美国前有哪些安全方面的缺陷。选择一台安全的手机终端和一个可靠的智能平台是保证信息安全的第一步。

　　运营商级安全

　　与终端安全问题相比，运营商的安全可能显得抽象但又无比重要。手机是信息的载体，而运营商是信息的流通管道，是一道天然的安全屏障。

　　前面提到过智能手机的应用扩展及其安全问题，这一问题的深层原因在于手机软件商店的审核机制和软件安全缺陷。无论是iPhone的AppStore还是GPhone的AndroidMarket，它们对安全的理解是基于美国的标准，但这一切并不适合我们。安全威胁差异性造成安全威胁的不对称性，而这一问题的解决通过个人很难做到，只能依靠运营商对国内安全问题的理解和重视。所以，在应用扩展安全这一块，选择国内运营商的软件应用平台会是有效的保障。

　　区别究竟在哪里？

　　你可能会问，iPhone、GPhone有如此多的安全威胁，为什么还有这么多人在使用？一方面是人们还没有清楚认识到iPhone安全方面的问题；一方面，国内缺少可以与iPhone媲美的智能手机平台。在安全性与可用性的选择中，人们普遍忽视前者选择后者。

　　国内品牌定制机版吸费问题严重

　　业内人士透露，在央视曝光“吸费手机”后，漏网的部分国产手机、山寨机频遭媒体曝光。日前，在黑龙江哈尔滨市工商局的专项整治中，查出了30余个品牌的手机涉嫌“吸费”。

　　日前，哈尔滨展开了针对吸费手机的专项检查，发现并下架暗藏吸费菜单、安装捆绑软件等的问题手机5万余部，涉及30个左右的品牌，包括夏新、UT斯达康、中宝移动、港利通、天时达、紫光、埃利特、诺利亚、HTC、波导、金鹏、国坤、爱诺特、奥乐、欧正、众一、大显、知己、特莱斯、科诺等。另据悉，截止日前，三大运营商已办理各种退费30多万元。

　　工商部门经抽样调查确认，发现三星、飞利浦、联想、夏普、诺基亚等部分品牌定制机中存在此类情况，会导致消费者因误操作而产生大量上网费用。

　　定制手机在设有“一键上网”业务时，如果未按规定设置“二次确认”，将会导致在消费者豪不知情的情况下被吸费。5月28日，5月28日，哈市工商局面向网络运营商销售的手机，针对涉及“一键上网”未设置“二次确认”功能的情况进行了抽样确认。此次共抽样22款手机，其中存在问题的手机以三星最多，共有4款。

　　在信息安全与被暗地吸费，广大普通消费者情愿选择水货，因为普通老百姓认为自己身份低微，没有什么信息可被国外手机厂商或软件开发商所利用，这也是广大用户综合考虑目前手机市场内忧外患的结果。

　　总结

　　行货手机：无WiFi、更难保证个人信息安全、自动吸费、资费贵、速度慢、服务差、应用少、材料差、成本低、寿命短、技术滞后、返修率高、外形设计俗等问题，是国内手机市场水货泛滥成灾的根源所在。

　　随着3G应用的逐渐深入，智能手机的广泛应用，未来的移动应用环境必将是愈趋复杂。我们期待国内可以出现优秀的智能手机平台和安全规范的通讯运营环境，在终端、应用和运营商等多个层面引入安全策略以保证移动终端和用户信息安全。