021-51079200

易控网盾数据防泄密系统

专注文件加密15年,从源头防止数据泄密,打造安全网络环境

监控软件的灰与黑:为了偷看手机我们付出了什么?

套用茨威格在《砍头皇后》的一句名言开篇:她那时候还太年轻,不知道所有命运赠送的礼物,早已在暗中标好了价格。

对于那些深受间谍软件危害的人们来说,可以换一个说法:他们那时候还太年轻,不知道自己的手机系统里,早已被人暗中装上了监控。延伸:企业局域网监控软件有什么功能?

《监控软件的灰与黑:为了偷看手机我们付出了什么?》

这里要谈及的间谍软件,主要是针对手机等移动端设备进行隐私信息的监控和收集的应用。对于很多人来说,间谍软件的话题可能比较陌生,但却非常敏感。陌生在于我们确实很少见识到这种事情;敏感在于这个问题其实与我们息息相关。因为问题的根源来自于一个普遍的生活问题——你有没有想过偷看孩子或伴侣的手机?或者,你的手机有没有被别人看过?

现在手机已经成为人们最主要的隐私之地。与其偷偷摸摸地打开别人手机看一下他的聊天记录,远不如安装一个悄无声息就可以获知一切信息的间谍软件更具诱惑力。

使用这类间谍软件的也有两种场景:第一类最为典型,就是家长为了监控孩子上网行为而安装的监控。因为涉及监护权与未成年人隐私保护的复杂关系上,这一类产业处于比较敏感的灰色地带。而再一类是成年人之间在不知情的情况下的监控行为,比如伴侣、同事之间,更别说商业竞争关系之间的秘密监控,则明显属于存在违法行为的黑色产业。

因此,这类具有灰黑色产业性质的间谍软件,正在受到来自安卓机iOS系统以及手机安全软件的审查和封禁。那对于使用这些监控软件的人们来说,这个事情也自然成为一个不能摆在台面上去说的事情。

《监控软件的灰与黑:为了偷看手机我们付出了什么?》

但我们却不能不说,因为隐私监控的需求一直会存在,这类监控软件也正在泛滥,不可能不对这头“房间里的大象”熟视无睹。近日,一家无意中造成“监控数据泄露”的间谍软件KidsGuard的案例,成为我们严肃讨论这一间谍软件产业以及隐私安全问题的良好契机。

那些年跟我们斗智斗勇的间谍软件们

间谍软件是在PC电脑盛行的年代就出现的概念。2005年,反间谍软件联盟(ASC)起草了“间谍软件”这个定义,即它能够削弱用户对其使用经验、隐私和系统安全的控制能力;使用用户的系统资源,包括安装在他们电脑上的程序;或者搜集、使用、并散播用户的个人信息或敏感信息。

广义的间谍软件,是一个涵义丰富的灰色空间,不仅涉及很多的广告软件、色情软件以及一些包含木马程序的风险软件。其最主要的特征就是不经过用户的许可或以假乱真地模仿系统软件的方式诱导用户安装在系统中。

遥想当年,我们总是在和各种间谍软件斗智斗勇。包括新安装软件时候那些推荐安装的小软件和插件,那些安全软件为你预制的全家桶,那些浏览器里关不掉的广告弹窗等等。

这种情况到了移动终端的时代变得更为隐蔽和紧迫,当然在自由而奔放的安卓系统生态中更为严重。由于早期山头林立的安卓应用商店和第三方应用市场的竞争,大量的恶意钓鱼软件及间谍软件诱导用户安装在自己的手机里,造成信息泄露、恶意扣费以及占用手机内存等各种问题。

即便现在正规应用商店成为人们下载应用的首选,一些间谍软件仍然尝试躲避应用商店的审查而混进正规的软件当中。2018年初,谷歌删除了22个恶意广告软件应用程序,从手电筒、通话录音机到WiFi信号增强器,这些应用程序已经从Google Play市场下载了750万次。去年初,一款名为MobSTSPY的安卓端间谍软件仍然进入了Google Store,并成功地伪装在几个应用中,利用木马程序在全球广泛传播,用于窃取用户隐私,甚至钓鱼收集用户账号密码信息等。

面对越来越严格的应用商店的审查和安全软件的防护,间谍软件也在夹缝中求生存,换赛道。处在合法但灰色地带的手机监控软件成为一种新出路。他们不再以黑产的形式直接窃取用户信息以从中牟利,而是以保护儿童之名,提供手机监控解决方案,让客户付费购买的方式来获取收益。他们只是将安装任务,连同侵犯隐私的风险转嫁给下单购买的用户身上。那这些手机监控软件好用么?

监控冠军滑铁卢:除了你,

还有谁在看你孩子的手机?

首先可以很负责任地说,这类软件技术强大,使用起来悄无踪迹,非常好用。

出事的间谍软件是一款名为KidsGuard的儿童监控软件。最近因为人为失误使得这款软件的一个云端服务器的数据被泄露,造成大量被监控设备上的数据公开暴露在互联网上,直接引发公众对这一间谍软件的恐慌和担心。

据KidsGuard的制造商ClevGuard的官网介绍,这款软件可以“访问”目标设备上的所有信息,包括实时位置、短信、浏览器历史、照片、视频和应用活动、聊天截图以及电话录音等,几乎涵盖我们使用手机的所有隐私行为。

通过官方分享的攻略,我们可以看到ClevGuard的工程师如何耐心细致地一步步教导你如何攻破目标人的安卓手机,并在几分钟内把KidsGuard软件安装好。甚至,他们还做了一个2020年最好的安卓不可检测的8大间谍软件的排名,赫然把KidsGuard放在第一位。

《监控软件的灰与黑:为了偷看手机我们付出了什么?》

这款软件声称,它是一种“秘密”地保护孩子安全的一种方式。但他们也公开宣传,可以用在其他需求上面,比如抓住一个不忠的配偶或者监督员工的手机。

据报道,如果熟练操作的话,整个安装过程不超过1分钟。具体教程我们就不会介绍了。目前,全球至少有上万的手机被内置了这块监控软件。为防止被监控者识别,他们会高度模仿成安卓自带系统的样子潜伏在手机当中,服务确实体贴周到。

《监控软件的灰与黑:为了偷看手机我们付出了什么?》

这些功能和使用场景想想就已经让人细思极恐。现在则因为他们声称的“非常注重数据隐私和数据加密保护”出现了重大纰漏,让这款名为“保护弱势儿童”的软件走向了它的反面——把用户隐私暴露在了公众面前。这个结果估计让花钱使用它的客户们难以接受,一些家长如何向被监控的孩子解释这种情况还可能只是有点尴尬,但有些用于监控成年人的客户还可能承担相应的法律诉讼的风险。

那这些花钱购买监控服务的人们到底是怎么想的呢?

从灰度到黑产:不可控的手机监控

这类手机监控的间谍软件游走在技术产业的“灰”与“黑”地带。

以“灰”来说,KidsGuard主要定位是做儿童保护,即避免儿童遭受网络欺凌和色情信息等内容的危害。其最大客户群就是那些担心孩子受到不法信息伤害的家长们。延伸:监控电脑软件

这类情况涉及到父母行使孩子监护权与孩子个人隐私保护之间的矛盾如何平衡的问题。

对于年纪尚小的孩子,一般而言没有单独属于自己的上网设备。他们通常都是使用父母的手机或平板来上网和游戏。针对这种情况,国家有关监管机构已经出台各类网络娱乐游戏平台必须开发防沉迷系统和家长控制模式,保证在家长监督的情况下,可以为未成年人设置这类的家长监督保护的功能。

而对于已经拥有自己手机终端的孩子来说,情况就变得稍微有些复杂。一来家长不可能无时无刻盯着孩子的上网游戏行为,二来孩子们可以轻易绕过规范应用的监控设置。来自互联网的无处不在的色情信息、疯狂吸费的氪金游戏以及来自社交网络的欺凌暴力信息等,对于处在青春期的孩子来说,确实是非常严重的“成长的烦恼”。如果没有良好的沟通,而孩子也已经很重视自身的隐私保护,父母很难孩子口中获得他们每天关注的网络信息是否健康。面对这些沟通困境,一些父母很自然倾向通过秘密监控的方式来“关心”孩子。

但这一做法是否可取?首先,法律并不支持家长的这一行为。我国未成年人保护法规定了“任何组织或者个人不得披露未成年人的个人隐私”。无论是监控平台还是家长,其实都已经在违反法律的边缘疯狂试探了,这更多取决于孩子在知情后是否让控告父母,让其承担相应的法律责任。

而这一灰色会逐渐“加深”——成年人用于对配偶、伴侣甚至同事、下属的监控,则一定是踏出合法的边界,属于赤裸裸的违法行为。对于这类监控软件,在披着儿童保护的外衣下,对这类功能进行公然宣传,也已经是一种明显的“灰产”经济。那对于购买这种服务的客户来说,也相当于公然进行非法的信息盗取。这类行为亟待相关法律的惩处和制裁。

真正“黑”的是,由于间谍软件本身游走在合规化边缘,有大量间谍软件选择绕过应用商店的审核,以各种方式安装到用户手机当中。这些软件在数据保护技术上并不过关,以这次的数据泄露为例,一个简单的原因就可能造成大量数据隐私的泄露,等于让数以千计的公民大数据暴露在互联网中,产生更恶劣的安全危害。甚至在绕过审核后,或许很多软件本身就是披着监控外衣信息盗取软件。如此以来,间谍软件便成为彻彻底底的黑产了。

从灰到黑之间,我们应当认可手机监控软件有着切实需求,并且一部分需求是合理的。但其实现过程,往往不可控的走向黑暗。

取舍与平衡:

正确地保护孩子,可能吗?

一方面是这类监控软件技术成熟、应用广泛;一方面是家长们担心孩子的手机信息安全的需求长期存在。现实需求和法律风险如何取舍?监控技术与信息泄露风险如何平衡?这些仍然是我们必须面对的问题。

对于成年人进行的这类非法监控行为,我们无需讨论。而对于儿童的手机信息安全的防护确实值得仔细区分。对未成年人进行手机监控的核心问题,那就是家长是否要经过孩子同意再安装这类手机监控软件?

显然,在理想状态下,家长和孩子平时足够的沟通和理解,就完全可以避免对孩子上网游戏行为的担心。退一步,一旦家长发现孩子有过度沉溺游戏或者有不正常的信息浏览记录后,家长应该主动与孩子沟通,是否可以提出进行手机监控,限定游戏时间或者限定某些APP或网站的使用。而如果孩子明显抗拒父母的监控要求,我们则建议父母停止这种行为,也更不建议在孩子不知情情况下悄悄安装监控软件。

对于家长而言,孩子的问题并非一个技术问题,而是一个长期的情感投入和平等沟通的问题。那手机监控需求对于我国的这类安全软件产品有什么警示呢?

《监控软件的灰与黑:为了偷看手机我们付出了什么?》

目前,我国还没有完全合法的“手机监控软件”,但也没有明确立法来禁止这类软件的使用。国内某社交通信软件也推出相应的“青少年守护”的程序,可以关联孩子的手机终端,获得其上网和游戏的动态数据。其特点是需要在未成年人的手机里下载相应的安全防护客户端,并进行相应的权限设置。因此,被监控者在一定程度上具有知情权,而对于熟练使用手机的孩子来说,可以很轻易关掉这类监控权限。

对于这类想要实现手机监控功能的安全软件来说,有两个方向需要努力,一个是监控隐私数据的保护,防治信息泄露造成巨大的信息安全风险;一个是更加人性化的监控权限的设计,能够给家长和孩子更为灵活可行的监控方案,保证孩子们的知情权和选择权。同时,相关监管机构和应用商店也应加强此类安全软件的监控功能的审查。

毕竟,面对容易放飞自我的孩子们,老父老母们已经是操碎了心。手机监控能不能做、要不要做,怎么做?每一个行为和决定都事关重大,都需要相关各方认真去思考。

编者按:本文转载自微信公众号:脑极体(ID:unity007),作者:海怪

点赞