手机看片都被围观?谈谈那些触目惊心的“后门”

乘着前所未有的互联网浪潮,厂商们纷纷凭借着“云功能”和“大数据”,给用户设置了越来越多的“后门”,用户似乎无时无刻都处于被偷窥的环境中,令人毛骨悚然。

软件和操作系统的“后门”

不知不觉,我们已经全面进入到了互联网时代。互联网让信息的交流变得前所未有地快捷便利,打破了人与人之间的诸多隔阂。然而,信息的流通也让个人隐私遭遇了史无前例的威胁,很多朋友或许并不知道,我们常用的手机和电脑上,其实多少存在着“后门”。这些“后门”借助互联网,甚至能让种种隐私无所遁形,以至于有人说,用手机电脑看个片都有可能被人围观。这些“后门”除了扒光你的隐私,还带来了严重的安全威胁。这到底是怎么回事?我们就一起来谈谈相关的话题吧。

图0:手机看片都被围观?谈谈那些触目惊心的“后门”

这个信息时代,也是“后台”无所不在的时代

  软件早已泛滥的“后门”

使用某个软件,它是否会威胁到隐私和安全?这个问题,早已经被很多用户给出了肯定的答案。无论是电脑还是手机上,都有大量软件对用户的隐私信息予以全方位的“关照”。

在电脑上,流氓软件早已经泛滥多年,这些软件会通过后台进程,做出一些不可理喻的行为。例如,某下载软件,竟然会通过后台进程,读取和当前下载任务无关的文件,然后不断上传数据。在这种“后门”存在的前提下,隐私和安全就只能是水中花镜中月,落得一场空。

图1:手机看片都被围观?谈谈那些触目惊心的“后门”

迅雷某些版本会发现读取非下载目录及共享目录下的资源文件,然后上传

在手机上,App的流氓行为更是明目张胆。以情况最为严重的安卓平台为例,不少互联网大公司的App都会请求一些高危权限,而且App还通过种种手段,把进程牢牢驻留在后台。如此一来,App能做的事情就非常可怕了,它有能力读取你的通话记录、联系人信息、短信、App运行记录、地理位置等各方面的隐私,然后通过网络上传。虽然用户可以通过一些手段来禁止App的权限,但流氓App也有方法对付——一旦你不提供某个权限,App就拒绝运行。想要它为你服务?不好意思,你得把自家每一扇门的钥匙都给交出来。

图2:手机看片都被围观?谈谈那些触目惊心的“后门”

图3:手机看片都被围观?谈谈那些触目惊心的“后门”

不少功能简单的App都会申请大量权限,这种足以构建“后门”的行为令人很没有安全感

当然,为了对付这种情况,平台也有采取监管措施。例如Google Play再前些天就下架了某国产著名浏览器,而iOS则一向都对权限管得特别严。但无论如何,在这个“大数据”的时代,你很难逃过以“云计算”之名展开的隐私搜集行为。软件的这些“后门”,恐怕不但会是常态,而且还将愈演愈烈。

  操作系统的“后门”

流氓软件固然多,但不装它们的话,流氓们也无可作为。如果不装流氓软件,那么是不是隐私就固若金汤了呢?并非如此。在这个“云”时代,连操作系统都“云”了起来。随着越来越多在线功能的加入,操作系统本身就能能干很多收集数据并上传的工作,和软件相比,操作系统的“后门”更加避无可避。

图4:手机看片都被围观?谈谈那些触目惊心的“后门”

其实不少系统都会上传用户信息,例如小米就曾经承认MIUI会上传数据

这并非是危言耸听。以Google的官方安卓系统为例,尽管Google已经把安卓的很大一部分代码放入到了开源的AOSP当中,这部分代码是可信的,但Google仍然将系统越来越多的功能放置到了闭源的GMS当中。隶属于GMS部分的系统功能,例如Google Play服务,就能对系统信息进行多方位的管控。

因为这样的机制,人们对GMS产生隐私方面产生了种种担忧。而除了安卓外,其他加入了“云功能”的操作系统,也引起了人们的关注。例如政府部门迟迟未采购新增了大量云功能的Win10系统,很大一部分就是出于隐私和安全方面的考虑。

2驱动程序和硬件的“后门”

  驱动程序的“后门”

尽管现在的操作系统越来越多地加入云功能,但人们也并非没得选。就算你不会折腾开源系统,也可能用旧版的老系统,相对“后门”会更少。然而,这样就可以避开“后门”了吗?不好意思,如果你使用硬件,安装驱动程序,可能也会中“后门”的招。

图5:手机看片都被围观?谈谈那些触目惊心的“后门”

某笔记本的驱动存在记录键盘输入的“后门”行为

以Windows系统为例,从机理来看,驱动程序本来就处于Ring0级别,拥有极高的权限,足以把你在系统中的一举一动置于监视之中。如果驱动程序要干什么,你是基本拦不住的,特别是经过了系统签名认证的驱动,它有什么所作所为你甚至连警告都不会收到。

例如,之前就有消息显示,某电脑的音频驱动会收集用户的按键信息,你在电脑中输入了什么,都会被驱动程序记录并写入特定文件,活生生就是一出典型的“后门”。在电脑输入支付宝密码?输入登录在线银行?对不起,这些通通都逃不过驱动程序的捕捉。所幸,这个带键盘记录的驱动只是因为开发人员测试时留下的,忘记了在正式发行时去除,但也足以说明驱动程序不靠谱的一方面。如果你安装的是未经过WHQL认证的驱动,这类“后门”更要值得小心。

  硬件竟然也会有“后门”

驱动程序还停留在软件的层面,如果系统对驱动严加控制,那驱动造成的问题还是会得到管控的。例如在Vista之后,Windows把驱动的很多内容放到了用户层,和系统内核进行了剥离,提高了安全性和稳定性。此外,不少硬件还有开源的驱动,“后门”之类的现象从一定程度上可以避免。不过,这样就能完全逃过“后门”了吗?很遗憾,并不行。

除了驱动程序,硬件可能也会自带“后门”。现在的新款CPU都带有远程管理的引擎,例如ME和PSP。ME和PSP相当于在CPU中内置了一个微型的操作系统,相关人员可以通过ME和PSP,远程控制电脑,进行一些操作。例如,企业可以通过ME和PSP进行远程系统安装、更新等等。ME和PSP这样内嵌在CPU当中的微型系统,拥有对网络的访问权限,而且还能够更改用户的电脑数据,这些在一定程度上符合“后门”的特性。

图6:手机看片都被围观?谈谈那些触目惊心的“后门”

图7:手机看片都被围观?谈谈那些触目惊心的“后门”

现在的CPU都带有一个“微系统”,对方可以进行远程控制

那么这类“后门”是否会导致隐私泄漏和安全问题?有可能。就算ME和PSP的使用符合规范,而且被严加监管,但这样的机制本身就增加了安全风险。例如,ME就爆出过一些漏洞,令黑客有能力通过CPU来远程入侵电脑。由于是通过CPU的微型系统进行入侵,因此安全软件及操作系统补丁都对此无能为力,需要用更新BIOS等方法才能解决问题。

图8:手机看片都被围观?谈谈那些触目惊心的“后门”

如果漏洞没有得到修补,最好在BIOS将其关闭(图片来源网络)

除此以外,还有一些硬件曾经被质疑存在“后门”,例如某SSD主控就被爆出有“后门”,随后官方发布公告称这并不属实;而某些路由器,特别是互联网厂商出品的路由器,更是被网友发现会偷偷上传数据。无论如何,硬件的确有可能会存在“后门”,而且用户往往对此无可奈何。

  总结

这个信息时代是交流最具效率的时代,也是隐私泄漏得最快的时代。乘着前所未有的互联网浪潮,厂商们纷纷凭借着“云功能”和“大数据”,给用户设置了越来越多的“后门”,用户似乎无时无刻都处于被偷窥的环境中,令人毛骨悚然。大数据时代的产品,需要社会建立起强有力的管控措施,来保证其不会滥用用户的隐私和权限。遗憾的是,我们所处的并非是一个井然有序的信息时代,对于越来越无节操的产品,大家还是谨慎选择吧。

阅读余下内容

发表评论

电子邮件地址不会被公开。 必填项已用*标注