<p>來(lái)自紐約和圣地亞哥的一組計(jì)算機(jī)科學(xué)家表示，允許人們相互監(jiān)視的智能手機(jī)間諜軟件應(yīng)用程序不僅難以發(fā)現(xiàn)和檢測(cè)，而且很容易泄露他們收集的敏感個(gè)人信息。</p> <p>&nbsp;</p> <p>雖然公開(kāi)銷售的間諜軟件應(yīng)用程序是作為監(jiān)視未成年子女和雇員使用其雇主設(shè)備的工具，但濫用者也經(jīng)常使用間諜軟件應(yīng)用程序暗中監(jiān)視配偶或伴侶。 這些應(yīng)用程序幾乎不需要濫用者的技術(shù)專長(zhǎng)； 提供詳細(xì)的安裝說(shuō)明； 并且只需要臨時(shí)訪問(wèn)受害者的設(shè)備。 安裝后，它們會(huì)秘密記錄受害者的設(shè)備活動(dòng)&mdash;&mdash;包括任何短信、電子郵件、照片或語(yǔ)音通話&mdash;&mdash;并允許濫用者通過(guò)門戶網(wǎng)站遠(yuǎn)程查看這些信息。</p> <p>&nbsp;</p> <p>間諜軟件已成為一個(gè)日益嚴(yán)重的問(wèn)題。 在諾頓實(shí)驗(yàn)室最近的一項(xiàng)研究中，從 2020 年 9 月到 2021 年 5 月，美國(guó)裝有間諜軟件應(yīng)用程序的設(shè)備數(shù)量增加了 63%。英國(guó) Avast 的一份類似報(bào)告記錄了間諜軟件的使用驚人地增加了 93% 相似時(shí)期內(nèi)的應(yīng)用程序。</p> <p>&nbsp;</p> <p>研究團(tuán)隊(duì)表示，如果你想知道你的設(shè)備是否已被這些應(yīng)用程序之一感染，你應(yīng)該檢查你的隱私儀表板和設(shè)置中所有應(yīng)用程序的列表。</p> <p>&nbsp;</p> <p>&ldquo;這是一個(gè)現(xiàn)實(shí)生活中的問(wèn)題，我們希望提高從受害者到研究社區(qū)的每個(gè)人的意識(shí)。&rdquo;論文的第一作者 Enze Liu 說(shuō)，&ldquo;間諜之間沒(méi)有隱私：評(píng)估消費(fèi)者 Android 間諜軟件應(yīng)用程序的功能和不安全性&rdquo; 和計(jì)算機(jī)科學(xué)博士學(xué)位。 加州大學(xué)圣地亞哥分校的學(xué)生。</p> <p>&nbsp;</p> <p>Liu 和研究團(tuán)隊(duì)將于 2023 年夏季在瑞士蘇黎世舉行的隱私增強(qiáng)技術(shù)研討會(huì)上展示他們的工作。</p> <p>&nbsp;</p> <p>研究人員對(duì)適用于 Android 手機(jī)的 14 種主要間諜軟件應(yīng)用程序進(jìn)行了深入的技術(shù)分析。 雖然谷歌不允許在其 Google Play 應(yīng)用商店中銷售此類應(yīng)用，但安卓手機(jī)通常允許通過(guò)網(wǎng)絡(luò)單獨(dú)下載此類侵入性應(yīng)用。 相比之下，iPhone 不允許這種&ldquo;側(cè)面加載&rdquo;，因此該平臺(tái)上的消費(fèi)者間諜軟件應(yīng)用程序的功能往往更加有限且侵入性更小。</p> <p>&nbsp;</p> <p>Androip 手機(jī)上的這個(gè)應(yīng)用程序啟動(dòng)器顯示應(yīng)用程序圖標(biāo)：Spyhuman 應(yīng)用程序?qū)⒆约喊惭b為看似無(wú)害的 WiFi 圖標(biāo)。</p> <p><br />什么是間諜軟件應(yīng)用程序？</p> <p><br />間諜軟件應(yīng)用程序偷偷在設(shè)備上運(yùn)行，通常是在設(shè)備所有者不知情的情況下。 他們收集一系列敏感信息，例如位置、短信和電話，以及音頻和視頻。 一些應(yīng)用程序甚至可以流式傳輸實(shí)時(shí)音頻和視頻。 所有這些信息都通過(guò)在線間諜軟件門戶傳送給濫用者。</p> <p>&nbsp;</p> <p>間諜軟件應(yīng)用程序直接面向公眾銷售，價(jià)格相對(duì)便宜&mdash;&mdash;通常每月 30 到 100 美元。 它們很容易安裝在智能手機(jī)上，無(wú)需專業(yè)知識(shí)即可部署或操作。 但用戶需要對(duì)目標(biāo)設(shè)備具有臨時(shí)物理訪問(wèn)權(quán)限，并且能夠安裝不在預(yù)先批準(zhǔn)的應(yīng)用商店中的應(yīng)用。</p> <p><br /><strong><span class="h1">間諜軟件應(yīng)用程序如何收集數(shù)據(jù)？</span></strong></p> <p><br />研究人員發(fā)現(xiàn)，間諜軟件應(yīng)用程序使用多種技術(shù)秘密記錄數(shù)據(jù)。 例如，一個(gè)應(yīng)用程序使用一個(gè)不可見(jiàn)的瀏覽器，可以將實(shí)時(shí)視頻從設(shè)備的攝像頭流式傳輸?shù)介g諜軟件服務(wù)器。 應(yīng)用程序還能夠通過(guò)設(shè)備的麥克風(fēng)錄制電話，有時(shí)會(huì)激活揚(yáng)聲器功能，以期捕捉對(duì)話者的談話內(nèi)容。</p> <p>&nbsp;</p> <p>一些應(yīng)用程序還利用智能手機(jī)上的輔助功能，旨在為視力受損的用戶閱讀屏幕上顯示的內(nèi)容。 例如，在 Android 上，這些功能實(shí)際上允許間諜軟件記錄擊鍵。</p> <p>&nbsp;</p> <p>研究人員還發(fā)現(xiàn)了應(yīng)用程序用來(lái)隱藏目標(biāo)設(shè)備的幾種方法。</p> <p>&nbsp;</p> <p>例如，應(yīng)用程序可以指定它們?cè)谧畛醮蜷_(kāi)時(shí)不出現(xiàn)在啟動(dòng)欄中。 應(yīng)用程序圖標(biāo)還偽裝成&ldquo;Wi-Fi&rdquo;或&ldquo;Internet 服務(wù)&rdquo;。</p> <p>&nbsp;</p> <p>其中四個(gè)間諜軟件應(yīng)用程序通過(guò) SMS 消息接受命令。 研究人員分析的兩個(gè)應(yīng)用程序沒(méi)有檢查短信是否來(lái)自他們的客戶端并執(zhí)行了命令。 一個(gè)應(yīng)用程序甚至可以執(zhí)行可以遠(yuǎn)程擦除受害者手機(jī)的命令。</p> <p>&nbsp;</p> <p><strong><span class="h1">數(shù)據(jù)安全漏洞</span></strong></p> <p><br />研究人員還調(diào)查了間諜軟件應(yīng)用程序?qū)λ麄兪占拿舾杏脩魯?shù)據(jù)的保護(hù)程度。 簡(jiǎn)短的回答是：不是很認(rèn)真。 一些間諜軟件應(yīng)用程序使用未加密的通信渠道來(lái)傳輸他們收集的數(shù)據(jù)，例如照片、文本和位置。 研究人員研究的 14 人中只有 4 人這樣做。</p> <p>&nbsp;</p> <p>該數(shù)據(jù)還包括購(gòu)買該應(yīng)用程序的人的登錄憑據(jù)。 其他人可以通過(guò) WiFi 輕松獲取所有這些信息。</p> <p>&nbsp;</p> <p>在研究人員分析的大多數(shù)應(yīng)用程序中，相同的數(shù)據(jù)存儲(chǔ)在任何知道鏈接的人都可以訪問(wèn)的公共 URL 中。 此外，在某些情況下，用戶數(shù)據(jù)存儲(chǔ)在可預(yù)測(cè)的 URL 中，只需切換掉 URL 中的幾個(gè)字符，就可以跨多個(gè)帳戶訪問(wèn)數(shù)據(jù)。 在一個(gè)例子中，研究人員發(fā)現(xiàn)了一個(gè)領(lǐng)先的間諜軟件服務(wù)中的身份驗(yàn)證漏洞，該漏洞允許任何一方訪問(wèn)每個(gè)帳戶的所有數(shù)據(jù)。</p> <p>&nbsp;</p> <p>此外，許多這些應(yīng)用程序在沒(méi)有客戶合同的情況下或在客戶停止使用它們之后保留敏感數(shù)據(jù)。 在所研究的 14 個(gè)應(yīng)用程序中，有四個(gè)不會(huì)從間諜軟件服務(wù)器中刪除數(shù)據(jù)，即使用戶刪除了他們的帳戶或應(yīng)用程序的許可證已過(guò)期。 一個(gè)應(yīng)用程序在免費(fèi)試用期間從受害者那里獲取數(shù)據(jù)，但只有在他們支付訂閱費(fèi)用后才會(huì)向施虐者提供這些數(shù)據(jù)。 如果施虐者沒(méi)有獲得訂閱，該應(yīng)用程序無(wú)論如何都會(huì)保留數(shù)據(jù)。</p> <p>&nbsp;</p> <p><strong><span class="h1">如何對(duì)抗間諜軟件</span></strong></p> <p><br />&ldquo;我們的建議是，Android 應(yīng)該對(duì)哪些應(yīng)用程序可以隱藏圖標(biāo)執(zhí)行更嚴(yán)格的要求。&rdquo;研究人員寫道。 &ldquo;應(yīng)該要求大多數(shù)在 Android 手機(jī)上運(yùn)行的應(yīng)用程序都有一個(gè)圖標(biāo)，該圖標(biāo)會(huì)出現(xiàn)在啟動(dòng)欄中。&rdquo;</p> <p>&nbsp;</p> <p>研究人員還發(fā)現(xiàn)，許多間諜軟件應(yīng)用程序拒絕卸載它們的嘗試。 有些還會(huì)在被 Android 系統(tǒng)停止或設(shè)備重啟后自動(dòng)重啟。</p> <p>&nbsp;</p> <p>&ldquo;我們建議添加一個(gè)儀表板來(lái)監(jiān)控自動(dòng)啟動(dòng)的應(yīng)用程序。&rdquo;研究人員寫道。</p> <p>&nbsp;</p> <p>為了對(duì)抗間諜軟件，Android 設(shè)備使用了多種方法，包括向用戶顯示一個(gè)可見(jiàn)的指示器，當(dāng)應(yīng)用程序正在使用麥克風(fēng)或攝像頭時(shí)，該指示器無(wú)法關(guān)閉。 但是這些方法可能由于各種原因而失敗。 例如，設(shè)備的合法使用也可以觸發(fā)麥克風(fēng)或攝像頭的指示器。</p> <p>&nbsp;</p> <p>&ldquo;相反，我們建議將訪問(wèn)敏感數(shù)據(jù)的所有操作添加到隱私儀表板，并且應(yīng)定期通知用戶存在具有過(guò)多權(quán)限的應(yīng)用程序。&rdquo;研究人員寫道。</p> <p>&nbsp;</p> <p><strong><span class="h1">披露、保障措施和后續(xù)步驟</span></strong></p> <p><br />研究人員向所有受影響的應(yīng)用程序供應(yīng)商披露了他們的所有發(fā)現(xiàn)。 截至該論文發(fā)表之日，沒(méi)有人回復(fù)披露的內(nèi)容。</p> <p>&nbsp;</p> <p>為了避免濫用他們開(kāi)發(fā)的代碼，研究人員只會(huì)應(yīng)要求向能夠證明他們對(duì)其有合法用途的用戶提供他們的工作。</p> <p>&nbsp;</p> <p>未來(lái)的工作將在紐約大學(xué)繼續(xù)進(jìn)行，由加州大學(xué)圣地亞哥分校的副教授 Damon McCoy 領(lǐng)導(dǎo)。 校友。 許多間諜軟件應(yīng)用程序似乎是在中國(guó)和巴西開(kāi)發(fā)的，因此需要進(jìn)一步研究允許它們?cè)谶@些國(guó)家/地區(qū)之外安裝的供應(yīng)鏈。</p> <p>&nbsp;</p> <p>研究人員寫道：&ldquo;所有這些挑戰(zhàn)都凸顯了行業(yè)、政府和研究界需要更有創(chuàng)意、更多樣化和更全面的干預(yù)措施。&rdquo; &ldquo;雖然技術(shù)防御可以成為解決方案的一部分，但問(wèn)題范圍要大得多。 應(yīng)考慮采取更廣泛的措施，包括 Visa 和 Paypal 等公司的支付干預(yù)、政府的定期打擊，以及可能還需要采取進(jìn)一步的執(zhí)法行動(dòng)，以防止監(jiān)控成為一種消費(fèi)品。&rdquo;</p> <p>&nbsp;</p> <p>這項(xiàng)工作部分由國(guó)家科學(xué)基金會(huì)資助，并得到加州大學(xué)圣地亞哥分校網(wǎng)絡(luò)系統(tǒng)中心的運(yùn)營(yíng)支持。</p> <p>&nbsp;</p> <p>間諜之間沒(méi)有隱私：評(píng)估消費(fèi)者 Android 間諜軟件應(yīng)用程序的功能和不安全性</p> <p>&nbsp;</p> <blockquote> <p>注：本文由院校官方新聞直譯，僅供參考，不代表指南者留學(xué)態(tài)度觀點(diǎn)。</p> </blockquote>