小强是一家世界 500 强企业总部办公室的一位普通行政人员,平时工作认真勤勉,虽然公司治理结构和经营策略调整频繁,人事更迭如家常便饭,但对于一个刚毕业的普通院校大学生来说,也没有什么好抱怨。
前几日公司的 OA(自动化办公) 系统发布了一则通知,要求每名公司员工都必须在配发的智能手机上安装由公司 IT 部门开发的 APP(第三方移动应用程序) 管理软件,旨在通过移动互联网加强纵向管理及横向沟通,主要功能包括一些日常签报的移动无纸化处理,小强平时的业余爱好就是喜欢倒腾一些数码产品,尤其是对于现在流行的各种手机 APP 应用和游戏,更是善于尝鲜的弄潮儿。
但最近几日公司部分职场又在搬迁,小强作为整个搬迁工作的落地执行者正焦头烂额,实在没工夫搭理这茬通知,谁曾想昨日公司系统再发一条紧急通知,要求所有未安装 APP 的员工必须在本周内完成,安装成功后 APP 会自动登录公司后台服务器签到,违者通报罚款。
小强得知后茶饭不思,连平时雷打不动的午休也被迫取消用来安装 APP,因为刚入司不久级别也低,尚未配发象征公司地位和身份的 IPhone 手机,还好除了 IOS 版本外,公司 IT 部人性化的开发了 Android 版本,正好小强能够在第一个月薪水购置的某品牌 Android 手机上进行安装。
OA 系统通知上就发布了二维码图片,小强扫描后手机浏览器跳转到某网站,很快就提示下载一个后缀名为 APK 的文件,小强还是明白的,不同于 IOS 系统必须通过 Appstores 市场下载安装 App,Android 系统的开放性还允许这种安装程序包,绕开各种市场认证而直接安装。
经常关注 IT 新闻的小强知道上周闹的很凶的吸取手机话费的一个名为 “XX 神器”(因为下载的 apk 文件为 xxshenqi.apk 而得名) 的所谓 “超级手机病毒 “,就是通过这种 APK 下载的方式传播的,不过即便是对 IT 知识略知一二的小强也知道不明来路的 APP 不可以随意下载安装,那位开发 “超级手机病毒 “的 19 岁少年没有利用现有网络和手机系统的任何技术漏洞,只是用了一种非常初级和低劣的钓鱼方法,真正让这个手机病毒横行肆意的是广大民众对于手机安全知识的贫乏和漠视。
但既然是公司开发的 APP 管理软件,自然是没有这方面担忧的,小强熟练的下载完成后开始安装迅速的点击 “下一步”,但一闪而过的权限申请界面让它顿生疑窦,一个普通的办公软件怎么需要申请这么多的权限,安装完毕后,小强习惯的看了看应用信息界面,,卸载选项是灰白色的,意味着不能随意卸载,这不跟流氓软件一样了么,小强一面嘀咕一面继续查看权限,结果吓了一跳,它第一次看到申请这么高权限的 App,一页都没显示完。
小强紧皱眉头,打开了 APP 管理软件,其中有一个选项居然是位置信息,约五秒钟后,软件中调用的百度地图精确的显示了小强所处的位置,那不是公司能够时刻知道自己的动向和位置了么?一想到自己情人节时带着女朋友去宾馆开房的位置信息都有可能被公司后台的 IT 人员获取的时候,就感到有些恐怖了。
而且这种获取信息的方式是通过网络信号而非 GPS,除非关闭手机或者彻底切断手机信号,否则是无法通过关闭 GPS 来阻止后台程序获取位置坐标的。
在 Android 中,用户可以允许系统安装来自"未知源"(也就是非 Google 官方的,或手机预置市场的) 应用程序)。小强为了安装这些第三方 APK 包,关掉了这层保护,于是,移动平台最重要的门神------数字签名就被绕过了。同时,小强的手机为了刷机而获取了 root 权限,使得公司的 APP 管理软件获得了前所未有的巨大权限。
不仅仅是读取位置信息,这个软件居然还可以读取通讯录,通话记录和短信信息,这无异于将自己整个的私人生活完全暴露在公司的监控之中,这不就是一部活脱脱的现实版 “棱镜门” 么。
公司管理软件申请的权限甚至还包括在后台远端控制发送短信和拨打电话,也就是说它具备了上面介绍的 “超级手机病毒” 所具备的一切能力。小强拿着手机顿时感到手心冒汗,刹那间就想到了 2008 年上映的一部叫 《鹰眼》 电影里的情节。
而且这个软件不断在后台与公司服务器保持通讯,所以先安装然后再卸载的方法也是行不通的,小强还听说如果一段时间不能保持在线的话,后台维护的 IT 部人员就会通知此人所属部门的领导….。
小强这时候就开始绞尽脑汁的思索既可以保持该软件在线,又能够限制该软件的权限的方法,查阅了诸多资料之后,终于找到了几个国内厂商提供的解决方案,经过比较最后小强选择了 LBE 安全大师。
安装完软件 (v5.3.7582),点击左上角图标后再点击 “软件权限管理”,再点击 “所有软件” 中的 “受监控软件”,找到需要限制权限的软件,点击进去后选择 “软件权限”,关掉所有你认为威胁个人信息安全的权限选项,并且取消软件的自启动,然后重启手机。
小强再次登录管理软件,发现登录显示签到正常,但后台已经无法自动收集自己的位置信息,并且软件有任何获取敏感权限的动作都会被 LBE 安全大师发现并反馈使用者是否同意授权,这样小强下班以后又可以快乐的带着手机为所欲为了。(下图中公司 APP 管理软件获得位置信息的请求就成功的被拒绝)。
记:
由于 Android 的开放性设计 (WP 和 IOS 几乎不可能出现的问题) 导致诸多安全隐患,使得各位在使用 Android 手机时切忌一定不要随意安装 APK 安装包,一定要在正规的安卓市场最好是翻墙使用 Googleplay 市场下载使用,保证 App 使用的安全。同时,在安装过程中,一定要注意 App 权限的申请内容,对于申请过多权限的软件应予以卸载或者利用 LBE 安全大师等软件进行限制。
据传,工信部将加强对 App 的监管,第三方 App 平台可能会采用备案登记许可制度,而个人开发者很有可能采用实名认证的方式进行监管。而与此同时,美国贸易委员会 (FTC) 也发布了一个报告,要求苹果、谷歌和亚马逊等经营 App 商店的平台要加强对 App 的监管,确保儿童隐私不被泄露。
姑且不论对于第三方软件 App 的实名制监管会带来哪些负面影响,但对于手机安全应用方面无疑是一个好消息。
(以上事件改编于一个真实发生的案例,为保护隐私,公司和人物名称都是虚构代替,请不要对号入座)