前不久,我的朋友圈被一群“小屁孩”的照片刷屏。他们不是真正的孩子,而是我同事们的虚拟卡通形象,也被称为“小我”:
当然,这么好玩的东西,我一定要亲自尝试一下!在百度上找了好久,我终于找到了这些精灵的“发源地”——ZEPETO。
ZEPETO是韩国SNOW公司3月1日推出的一款手机应用。用户可以通过“捏”出一个立体的卡通形象,装饰自己的个人空间,打造属于自己的“虚拟形象”,从而展现个人兴趣爱好,结交陌生人朋友。简而言之,ZEPETO更像是QQ秀软件的升级版。
该软件的使用并不难,所以我很快花了几分钟自己创建了:
快看快看,这就是3D动画片《小小的我》!
咳咳~回归正题吧!
凭借轻社交属性,ZEPETO迅速风靡全球,在韩国、日本、泰国等亚洲国家尤为火爆。今年9月,该应用开始登上中国榜单,随后开始连续三个月霸占中国APP Store应用下载前十。
接下来发生的事情相信大家都知道了。各种“小我”的自拍照开始在朋友圈流传,一时间ZEPETO成为了广大围观群众关注的焦点。
俗话说“树大招风,人大招风”。前不久,刚刚爆红的ZEPETO被推特用户曝光是一种窃听软件,当软件开启后,可以跟踪记录用户的隐私。该声明一经发布,立刻引起轩然大波,不少人主动发帖呼吁卸载ZEPETO。
此时,ZEPETO涉嫌窃听的消息不胫而走。
ZEPETO 真的可以用来窃听吗?
面对网友的爆料,ZEPETO开发者SNOW似乎并没有感到焦急,相反,SNOW似乎对这样的“恶意攻击”采取了漠然的态度。有趣的是,爆料曝光后不久,外媒便主动辟谣。
该网站对ZEPETO涉嫌窃听一事给出了三点分析:
1> 之所以有声音是因为ZEPETO内置有摄像头,可以录屏并配音;
2>ZEPETO根本没有定位服务;
3>“ZEPETO”这个名字与多年前的一个病毒名称“Zepto”相似,引发部分网友对其提出质疑;
如果如上述所言属实,那么ZEPETO被误认为是窃听软件的真实性似乎已经得到了相当权威的结论。不过,在官方确认之前,我们作为看客也大多只是猜测。
对于上述解释,围观的网友们自动分成了两大阵营:一方选择相信上述分析的真实性,消除对ZEPETO的疑虑;另一方则坚持认为ZEPETO涉嫌窃听,并从个人信息安全角度提醒大家谨慎操作。
当然,谁对谁错并不是我们今天要讨论的话题,关键在于攻击者是否真的能把一个普通的应用软件变成窃听的“武器”。
软件窃听并非空穴来风
除了ZEPETO,我们的手机上还安装了各种各样的应用手机捏脸软件,其中大部分都有拍照、录音等功能。那么,我们手机上的这些应用,真的有可能被黑产利用,悄悄窃取我们的隐私信息吗?
雷锋网了解到,目前市场上的手机窃听产品主要有两种:一种是手机窃听设备(又称窃听SIM卡),一种是带有窃听功能的手机软件。在网上输入“窃听”关键词,搜索结果一度被各种窃听产品所占据。这些厂商不仅毫不避讳,还明目张胆地留下了其QQ、电话、邮箱等联系方式。
SIM 卡窃听
上海交通大学电子工程系无线通信研究所副教授钱良表示:“严格意义上的实时窃听技术确实存在,但此类产品价格昂贵,考虑到其特殊用途,目前在民用市场上不可能见到类似的产品。”
由此可见,我们在网上看到的所谓窃听设备,并没有宣传的那么厉害,而是利用用户对网络安全知识的缺乏,进行诈骗。“说实话,如果真有这么一套功能齐全、成本低廉的手机窃听系统,做个TOG(政府采购)订单就能赚个盆满钵满,何必冒这么大的险,越过红线呢?”一位业内人士告诉雷锋网。
那么这是否意味着像 ZEPETO 这样的软件根本不可能被用于窃听呢?并不是的。
腾讯安全移动安全实验室技术专家张俊表示:“黑客可以通过对安卓应用重新打包、嵌入监听代码,然后重新打包/签名发布的方式,让普通软件具备窃听能力。窃听软件通常的做法是获取麦克风权限,在后台运行录音,然后压缩上传到不法分子控制的服务器,最终获取相关信息。”
雷锋网了解到,对于掌握一定技能的人来说,实施软件监控的成本很低,所需工具可以从网站下载。在获取相关隐私信息后,攻击者的牟利手段往往是敲诈勒索、泄露商业机密等。
“X卧底”窃听软件
2017年6月,中国移动通报一款名为“X卧底”的手机窃听软件确实存在。该软件其实是一种木马病毒,可以通过强行打开多人对话权限来窃听电话通话。此外,该软件还能获取用户短信、联系人、通话记录、位置信息、通话录音等信息并上传到服务器。
这些病毒是如何实现窃听的呢?来自KeenTeam的一位高手在GeekPwn大赛上演示了在Android手机关机状态下窃听的全过程:
病毒关机窃听具体操作流程如下:
1.申请Root管理员权限,获取管理员权限后,将以下附件文件复制到系统目录。
注入器:完成进程注入。
libhook.so:调用ksremote.jar恶意代码
libhookjava.so:动态加载ksremote.jar
libshutdown.so:挂钩系统关机请求
ksremote.jar:挂接关键系统服务,伪装“假关机”界面;
2.调用注入器可执行文件,将libhook.so、libhookjava.so、libshutdown.so文件注入
system_server系统服务进程;
3、在system_server进程中调用libhookjava.so动态加载恶意子包ksremote.jar;
4.调用system_server进程中的libshutdown.so完成关机HOOK;
5、在system_server进程中,调用libhook.so,libhook.so调用ksremote.jar中的相关方法RSDServerImpl.hkshutdownmythod,完成系统服务HOOK;
事实上,该病毒并不能真正在关机状态下运行,而是通过Hook系统关机方法实现关机拦截。用户关机后,病毒会获取手机屏幕切换为黑屏的权限,从而造成手机关机的假象。
当然,法律也不会放过《X卧底》等越过红线的“败家”软件。根据刑法第283条规定:非法生产、贩卖窃听、窃照等专用间谍器材的,处三年以下有期徒刑、拘役或者管制。
作为受害者,我们真的无能为力吗?
目前,已有多款应用被曝出涉嫌窃听,不过尽管当时闹得沸沸扬扬,但最终结果并无大碍。
“普通手机用户由于缺乏相关技术知识,通常很难察觉到自己被窃听,而且现在窃听软件和应用程序不断更新,有些窃听软件甚至在关机状态下也会继续监听。”张先生说。
我们不禁要问:难道所有人只能向黑色产业屈服,用沉默和时间的流逝来洗刷被窃听的恐惧吗?针对以上问题,张俊给了我们三点建议:
1. 从正规软件市场下载安装应用程序,不要安装来历不明的应用程序或点击来历不明的链接。
2.重点关注需要获取权限的软件和APP;
3、使用腾讯手机管家等安全软件定期对手机进行安全防护、杀毒;
ZEPETO游戏疑似窃听事件受到大量用户关注手机捏脸软件,这意味着消费者在面对隐私被窃取时,不再愿意扮演看客的角色。至于ZEPETO事件的真伪,似乎对我们来说已经不再那么重要。正如张俊所说,“最近关于这类内容的讨论很多,但玩家们也不必过于恐慌。首先我们要养成良好的上网习惯,同时在安装和使用过程中要注意手机APP获取权限的要求。”
