编注:这是一篇很特别的分享文章,它代表了一种在现代科技生活中不一样的生活方式。有人选择便利,有人为了安全放弃部分便利。我们希望读者在读这篇文章的时候,能带着一种「体验」的心态去读,尽量不去过多评判这种行为本身的意义。就比如我自己读完后的感受是:嗯,还有这样一种生活方式,挺有意思的~
在互联网时代,想要获取一个人的隐私,是件很简单的事情。花几百元请个「私家侦探」就能查到某个人的通话详单、银行流水等等。想查到某些大明星的身份证信息甚至只需要花几块钱就能买到了。
今年四月份网上流传着学信网信息泄露的消息,我告诉了许多同学,让他们修改学信网密码。一部分同学表示回到了宿舍就去改。但另一小部分同学的回答让我感到惊讶,反正密码都泄露了,犯罪分子都把我的信息看完了,我再改密码又有啥用呢?
我当时的回答是:你不更改密码,后续会有一波又一波的犯罪分子获取到你的信息,你受到侵害的可能性就越来越大,所以还是尽快回去改密码吧。
甚至还有人说,泄露了就泄露了呗,反正我又不是什么名人,他们拿了我的信息也没有用的。
著名开发者 Hiraku 皮乐 说的一段话很好的回答了这个问题:
每次有什麼某國軟體監控隱私問題,總有一種論調是:「你是郭台銘還是庫克嗎?人家監控你幹嘛。」
只能說,或許現在我的資料沒啥價值,但誰知道過二十年之後你我之間會不會有人變成上市公司董事長?到時候這些隱私資料會不會變得很重要?啊不過心裡預設自己不會成功的人通常是比較難成功沒錯啦。
去年美国大选的时候,希拉里团队就拿出了一段录制于 2005 年的视频1 来攻击特朗普,表示特朗普极其不尊重女性,品德低下。
相关新闻看得多了,许多朋友也有了保护隐私的基本意识,比如去银行、电讯营业厅办理业务时,身份证复印件上都会另外用笔写上「仅供办理某业务之用」等等。
但很多朋友都忽略了泄露个人隐私的一个重要源头:电子产品(手机、平板、电脑)。
为什么我贴住了所有电子产品的摄像头
我已经忘了自己是从什么时候开始养成这个习惯的。但令我印象十分深刻的是前两年支付宝被曝出调用(Android)手机摄像头进行偷拍这件事2 。
一条旧闻
著名开发者 typcn 还对此事件进行过一些技术上的分析:
xPrivacy 看到的支付宝偷拍过程很高端:开启相机预览,设置相机预览回调,然后从相机预览的画面里面拿一帧,这样不会调用 takePhoto ,在部分强制开启拍照声音的手机上,也不会出现声音,因为是在预览缓冲中拿的图像。
更多分析请在 typcn 的 Twitter 上搜索关键字「支付宝」进行查看。
支付宝有技术做到这件事,一定还有更多的厂商能做到,只不过没有曝光出来而已。
虽然我一直用着 iPhone, 但依然感到十分庆幸。iOS 有相对完善的权限管理系统,但物理层面的隔绝,一定是比软件层面的隔绝来的彻底。你就随便偷拍吧,攻破了 iPhone 我也不担心,反正拍出来都是黑漆漆一片。
在某个 App 弹出权限请求的时候,很多朋友可能并没有仔细看,就点击了「允许」。某些 App 我们可能确实是需要给予它调用摄像头的权限,比如一些聊天工具,但如何确保我们没有视频聊天室,这个 App 就一定没有调用摄像头进行拍照呢?对于普通用户来说不好判断吧。
即使没有在隐私设定中给予调用摄像头的权限但技术较强的黑客同样有办法攻破 iOS 的安全系统。花费 50 万到 100 万美金即可在黑市购买到一整套用于击破 iOS 安全防线的漏洞3。
如何适应贴住摄像头后的生活
我个人比较少用 iPhone 拍照,自拍就更少了,日常支付也都尽量用 Apple Pay 和现金,因此,将 iPhone 的摄像头贴住,对于日常生活没有什么影响。
其实对于一般的用户,贴住前置摄像头基本也就可以了,毕竟大多数时候手机背面向下放在桌面上,后置摄像头拍出来的也都是漆黑一片,即使拍到了一些东西,没有面部特写,也一般无法辨认当事人是谁。
而前置摄像头,多数时候对着人脸,贴上才好。需要自拍时,将胶布揭开一半,也就是一秒钟的事情,拍完再顺手贴上即可。
iPad (平板电脑)的情况与 iPhone (手机)大同小异,自行斟酌即可。而 Mac (笔记本电脑)的摄像头,我想大多数用户都是闲置着的,毫不犹豫贴上吧。
为什么我贴住了所有电子产品的麦克风
我大概是在将摄像头贴住的同时,决定将麦克风也一起贴住的。在我看来,一台电子产品被入侵后,麦克风带来的风险比摄像头更大。
麦克风潜在风险更大
其实只要将手机等电子产品平放在桌面上,摄像头能够捕捉到的信息是很有限的。后置摄像头只能拍出漆黑一片,前置摄像头大多数时候也就拍个天花板。所以即使手机被入侵了一天当中大概有三分之一的时间(睡觉时),摄像头获取不到什么有价值的信息。
而麦克风就不同了,它无时无刻都能获取到周围的信息,不受时间、空间等外部条件的限制。几个人想要交谈,那周围的噪音肯定不能太大吧,既然噪音不大,手机上的麦克风就能录制到交谈的内容。环境非常安静的话,整个房间里交谈的声音都差不多能录制下来吧。所以麦克风带来的潜在威胁比摄像头更大。
国外用户的经历
最近在 Medium 上看到了一篇名为 Instagram is listening to you 的文章,大概内容如下:
几周以前,博主发现 Instagram 给他推荐了某样产品的广告,这个产品他从未搜索、分享、或者在聊天软件中提到过。博主仅仅是在某次交谈中向朋友提到过这件产品。
博主开始怀疑 Instagram 会监听他的交谈,因此上周他做了个实验。
博主与家人们出去爬山,山上手机信号比较差,偶尔才有 3G 信号。博主使用的 iPhone 7 Plus 开启低电量模式后,就一直放在背包内。博主在爬山过程中,与 5 名家人用西班牙语和法语交谈,在某个时间点,他用西班牙语和堂兄弟们提了一句,我很想买一个蓝牙投影仪,有了这个东西,连接我的手机后,就能很方便的把手机内的照片和视频投影出来给大家一同观看了。
博主很明确的知道,他之前从未在其他任何地方分享、搜索过这类产品。但回家后的第二天早晨,他打开 Instagram 后惊呆了,Instagram 给他推送的广告就是他很想购买的那个投影仪。
请再次想想博主当时出游的场景,多种语言与多人同时交谈,手机信号很差,仅仅提了一下想买个投影仪。结果是 Instagram 推送了十分精准的广告。
博主最后的建议是,在系统设置中关掉 Instagram 调用手机麦克风的权限。
要确定 Instagram 究竟有没有干这种事,可能需要更多的证据来证明。但入侵电子产品麦克风来进行监听这事儿,可以确定 CIA 是干过的。WikiLeaks 在今年三月份公布的文件中就提到,美国 CIA 与英国 MI5 联手开发了一款程序,用于攻击三星的智能电视,通过电视内的麦克风来监听用户们的日常对话4 。
这仅仅是被公布出来的一条消息,而更多的信息是我们普通民众接触不到的,可以猜想,世界各国的情报机构以及黑客们一定掌握了更多的漏洞,用于攻击普通民众们的电子设备,并对用户们进行监听。不知道的事情不代表不存在。
如何适应贴住麦克风后的生活
经过我的测试,在 iPhone 麦克风的外面贴上一层胶布,就能几乎完全隔绝掉外部的声音,用力敲击麦克风,才能够接收到一点微弱的声音。
其实和摄像头一样,贴住麦克风后,只需要经过短时间的习惯,就可以适应,每次打接电话前,顺手将麦克风上的胶布撕开一点就行,打完了电话再贴上。
前不久我购入了 AirPods, 打接电话就更不存在问题了,iPhone 上的麦克风也就基本成为了摆设。
需要注意的是,从 iPhone 5 开始,iPhone 机身上一共有三个麦克风,分别位于正常话筒的位置、后置摄像头旁边(用于通话降噪)、电话听筒内(使用扬声器进行通话时,系统调用此麦克风进行收音)。如下图所示(图片来自 Apple 官网):
如果有 AirPods 等蓝牙耳机,将这三个麦克风都贴住,可以说是毫无压力。如果没有,后面两个麦克风究竟贴不贴,还需自己进行一番斟酌。
iPad 和 Mac 上的麦克风使用频率相对更低,贴上也是毫无压力。
其他关于保护隐私的一些建议
用胶布贴住电子产品的摄像头和麦克风其实是比较极端的做法,真正能接受的朋友应该不是那么多。其实日常生活中稍微注意一些细节,就能保护许多个人隐私。
限制 App 的权限
许多 App 在安装后第一次打开时,会申请许多权限,比如定位信息、访问相册、访问摄像头等等,一定要看清楚、想清楚,究竟这个 App 应不应该给它这个权限。
比如打车 App 要获取定位信息,这个可以理解,但是一个看视频的 App 要获取定位信息是什么意思呢?
再比如,输入法 App 不给任何权限都可以正常工作的,为啥就非得申请摄像头和相册的访问权限呢?想给输入法设置个性皮肤算是可以理解吧,但记得设置完之后,一定要进入系统设置将这些权限给关掉。
系统自带的「相机」,如果不是需求很强烈的话,我建议关掉定位的权限。因为开启后,定位信息会写入照片的 EXIF 内,使用即时聊天应用或社交应用将这些照片分享出去时,这些开发商就能读取到照片内的定位信息,以及拍摄设备的信息,比如「这张照片是今天上午 9 点 10 分在北京颐和园东宫门拍摄的,拍摄者使用的是 iPhone 7 后置摄像头」。多发几张当天拍摄的照片,基本就能知道用户今天的具体行程了。
我日常使用时,如果确实要通过社交网络或即时聊天应用将照片分享出去,会使用一个 Workflow 去除照片的所有 EXIF 信息,并复制到剪切板上,再去对应的 App 内粘贴照片,这样就不需要给这些 App 相册访问权限,很大程度上减少了隐私的泄露。
Workflow 下载:去除照片 EXIF 信息并复制照片到剪切板
其他需要注意的几个点有:
- 购物类、订餐类的 App 不一定得给定位信息(定位信息太精确了),大多数时候手动选择大致的位置基本够用了;
- 通讯录的访问权限一定要谨慎,父母家人的号码也不要直接设置为「爸爸」、「妈妈」。因为一旦给了,你所有的通讯录都会被上传,App 开发商也就知道你父亲、母亲的号码,实施诈骗时也就更加「方便了」;
- 健康的访问权限更是要谨慎,因为健康内的信息包含了个人每天的运动信息以及身体素质信息。
避免使用公共 Wi-Fi
iOS 10.3.3 发布的时候,日志内提到了一个很重要的更新:
One of the bugs that is fixed is in the Broadcom Wi-Fi chipset formally known as CVE-2017-9417 and is nicknamed "Broadpwn". Broadpwn allows a worm to propagate among affected Broadcom Wi-Fi chipsets just by having the Wi-Fi chipset turned on even if it is not connected to any networks, and can be used to force a remote code execution on the main CPU of an affected smartphone.
Information on security updates in iOS 10.3.3 can be found at https://support.apple.com/en-us/HT207923.
意思是说,iOS 设备内置的博通 Wi-Fi 芯片存在一个漏洞,即使 iOS 设备没有连接上犯罪分子的无线路由器,犯罪分子仍然可以通过 Wi-Fi 发起攻击,远程执行代码。iOS 10.3.3 中修复了这个漏洞。
言下之意就是,如果你的 iOS 设备运行着 iOS 10.3.3 以下版本的系统,只要在公共场合打开了 Wi-Fi, 就有被攻击的风险。使用同品牌 Wi-Fi 芯片的 Android 用户也存在同样的风险。
正如前文说到的,潜在的漏洞还有很多,只是我们不知道。连上了公共 Wi-Fi, 被攻击的几率一定是更大的。
还有一个原因在于,许多 App, 特别是国产 App, 仍然在用 HTTP 明文传输信息,这些信息里都包含了许多隐私信息,比如手机型号,系统版本,位置信息,所连接的 Wi-Fi 名称,设备识别码等等。如下图所示,是某款国产在线视频 App 明文传输的信息:
通过公共 Wi-Fi 传输这些信息,也就相当于将这些信息拱手送给了全世界。我甚至见过某款较知名国产 App 明文传输用户名和密码的。
通过连接到的 Wi-Fi 名称,App 甚至不需要在系统中给它开启定位权限,也能获取到用户的位置信息,具体实现方法 typcn 的 Twitter 也曾提到过:
真要定位很简单的,你连接了 Wi-Fi,读取你当前连接的 Wi-Fi 的 MAC 地址,然后在数据库里面找一下就好了。 你没给他定位权限,你附近的安卓用户可能给了他定位权限,附近的 Wi-Fi MAC 地址 + 定位 一上传,你的位置也可以精确确定了
现在的流量套餐越来越优惠,外出时条件允许的话,还是尽量避免使用公共 Wi-Fi.
结语
互联网时代,获取信息变得十分方便,同样的,泄露信息也是更加容易了。凡事小心一点,一定要把自己的隐私当回事,毕竟谁也说不好十几年后自己会不会成为大名人呢。如果一不小心成了下一个陈老师,那就尴尬了。
上文啰嗦了一大堆,希望能给大家一点点启发。保护好自己的隐私,绿色上网。