WiFi实是程序诱饵 电话回访暗藏交易
2022-03-16 09:23:07 来源: 北京青年报
关注河南热线

央视3·15晚会上多案例直指消费者个人信息安全保护

“免费WiFi”App暗藏陷阱,不仅根本连不上,还会导致隐私大曝光;儿童手表看似功能贴心,表后藏着看不见的安全漏洞;浏览网页就能泄露消费者手机号,骚扰电话背后藏着黑色产业。昨天,央视3·15晚会,多个曝光案例直指消费者个人信息安全。万物互联时代,各类信息收集、使用的当下,织密个人信息安全保护网刻不容缓。

免费WiFiApp暗藏陷阱

一不留神隐私曝光

央视3·15晚会上,安全实验室环节曝出免费WiFiApp陷阱。20余款打着免费WiFi旗号的应用程序被测试,结果发现不但免费WiFi无法点开,而且用户被诱导点击确认按钮后,会被莫名自动安装广告,更可怕的是,有些免费WiFi应用程序,一天之内对消费者手机位置信息的收集高达67899次。免费WiFiApp不能随便点,一不留神隐私就会被曝光。

测试人员首先从应用市场下载并安装了“WiFi破解精灵”,大排WiFi资源罗列得清清楚楚。可测试员点击“免费连接”,系统显示“正在破解WiFi获取密码”,却失败了。更换WiFi资源后,下方出现“确认”和“连接”的字样,点击确认,结果还是连不上。测试人员点击了所有罗列的WiFi资源,没有一个能连上。

WiFi资源没有连上,手机里却默默下载了两个陌生应用程序,测试人员发现,陌生应用程序是通过隐藏在刚才点击过的“确认”或“打开”字样的弹窗里。这其实是伪装的广告链接,一旦用户被诱导点击,没有任何提示,广告链接中的应用程序就会自动安装到手机里。

工程师对20余款打着免费WiFi旗号的应用程序进行测试,都是一直连一直失败,同样存在诱导用户下载其他应用程序的行为。工程师进一步测试发现,这类免费WiFi的应用程序还在后台大量收集用户信息。一款名叫雷达WiFi的应用程序一天之内收集这款测试手机的位置信息竟然高达67899次。“它可以把你的生活轨迹、行踪全部串起来,完全可以掌握你的生活规律,知道你的喜好、你的职业。”工程师说。

手机里多了这些莫名其妙的应用程序之后,会出现大量弹窗广告,严重影响手机正常使用。一款“越豹WiFi助手”的“自启动”功能,可以随时高频次自动启动。这意味着,即使用户从后台关掉这款应用程序,它也可以通过“自启动”功能重新在后台运行,不断收集用户信息,推送弹窗广告。

儿童智能手表藏着

看不见的安全漏洞

儿童智能手表,硬件强大,功能贴心,实时定位、高清双摄、人脸识别、视频通话。孩子们觉得方便好玩,家长们可以随时掌握孩子行踪。央视记者发现,不少低配版的儿童智能手表在各大电商平台畅销热卖。3·15信息安全实验室对此展开了专门的测试。

测试人员购买了一款标记10万+销售记录的儿童智能手表,交给一位小朋友佩戴。测试人员将一个恶意程序的下载二维码伪装成抽奖游戏,贴在了孩子家门口。孩子被吸引后扫码体验,恶意程序轻松进驻到了孩子的智能手表中。工程师在后台轻松实现了对这款手表的远程控制。孩子只要每次抽奖,恶意程序就自动把手表里的重要信息,如位置、通讯录、通话记录等打包实时发送出去。玩完抽奖游戏,孩子下楼玩耍,工程师依然可以实时定位,不间断收集孩子的移动轨迹,轻松圈定孩子的活动范围。测试人员从后台可以通过多次采集孩子的位置信息来推断,她的家离她的学校其实很近,大概两三百米,5分钟就能走到。甚至回家后,孩子和姥姥聊天,通过调用手表里的麦克风,身在异处的工程师对谈话内容一清二楚。

深受孩子喜爱、家长信任的儿童智能手表为什么会成为偷窥的眼睛,如影随形?测试人员发现,根本原因在于低配版的儿童智能手表操作系统过于老旧。试验的手表使用的是没有任何权限管理要求的安卓4.4操作系统,距今已将近10年,而它的最新版本已经更新到了安卓12。也就是说,只要App申请什么样的权限,安卓4.4操作系统就会给App什么样的权限。这种低版本的儿童手表安装各种App后,无需用户授权就可以拿走定位、通讯录、麦克风、摄像头等多种敏感权限。这也就意味着它们能轻易获取孩子的位置、人脸图像、录音等隐私信息。这些厂家选用低版本的操作系统是出于压低成本的考虑,但是它忽略了用户使用的安全性,给消费者带来了无穷的后患。

工程师表示,当下人们非常重视手机App监管,从技术原理上来讲,手机端的很多标准要求放到智能终端上完全适用。但关注度不够,让这一类智能终端在个人信息的保护上成为一个重灾区。

骚扰电话背后

藏着“黑色产业”

不少消费者都经历过只用手机浏览了某些网站,并没有留下电话,但是却接到了相关行业推销电话的事情。为什么有人在拨打骚扰电话?他们又是怎么精准地获取了消费者的浏览行为呢?昨天的央视3·15晚会对此进行了曝光。

记者探访了融营通信公司,这是一家专门为一些电销公司搭建外呼系统、提供外呼线路的公司。冯经理表示,有很多电销公司在通过他们的系统拨打骚扰电话,他们的系统可以隐藏真正的主叫号码,防止被投诉。而且运用话术进行伪装,逃过法律法规中不能给客户拨打骚扰电话的规定。所以一些消费者接到骚扰电话后会听到“您好,我这边是某某公司的。最近有跟你联系过之前某某产品的沟通。你现在是怎么打算的、怎么考虑的?您这边还想再了解一些吗”类似的以回访形式开始的开场白。融营通信有了这样的规避技术,其会向拨打骚扰电话的公司收取每分钟0.1元左右的通话费。大量骚扰电话为融营通信带来了丰厚的话费收入,纯话费收入差不多将近一个亿,客户约两万多家。

随着调查的深入,记者发现,围绕着骚扰电话这个黑色产业,除了这些专门提供外呼系统的公司,还有人在为骚扰电话提供大数据支撑。在杭州以渔信息技术有限公司,记者看到技术员登录了一家装修公司,通过杭州以渔所开的外呼系统后台,上面记录了某装修公司给用户拨打营销电话的录音。

公司唐总经理介绍,这些用户都是近期用手机浏览过一些家具、装修网站。虽然用户没有留下电话号码,但通过他们的系统却可以直接给用户打电话。浏览网站的用户并没有留下手机号码,这个系统怎么就能拨通用户电话呢?唐总经理介绍,每个人手机上对应一个MAC号(手机识别码),这个码可以匹配到这个手机。只要用户浏览了网站,以渔公司就能通过系统把相应的推销电话打给用户。而拨打骚扰电话的公司使用这样的数据,以渔公司收取每条3元的费用。当下,涉及用户上网行为的精准大数据,成了骚扰电话这个黑色产业的香饽饽。记者调查发现,不少公司都在从事类似的业务。

记者还了解到,除了利用加密的号码给用户拨打骚扰电话,部分公司还能通过技术手段获取用手机上网用户的明码手机号码。乘移信息技术有限公司的业务经理就告诉记者,抓取他们广告页面的用户,后台可以看到客户号码。而郑州绿牵网络公司则号称几乎可以获取登录所有网站用户的明码手机号码。

用户上网行为等大数据就是这样被滥用的,并带来了严重影响消费者生活的骚扰电话。

文/本报记者 王薇

责任编辑:hN_0145