一篇最近對於五款零售價約為 10-20美元的入門級手機的評論文章詳細檢查了它們的安全性。這些手機通常被稱為“功能機”或者是“老年機”,因為它們常常是作為給不願或不能使用智慧手機的老年親屬購買的。它們也能作為“以防萬一”的備用機來使用。一些人還認為它們比安卓手機更安全。
然而,評論員反駁了最後一點。他在 5部手機中的 4部發現了隱藏功能:其中兩部在第一次開機時傳輸了資料導致新機主個人資訊的洩露,另外兩部不僅洩露私人資料,還可以聯網與命令伺服器秘密通訊,為使用者訂閱付費內容。
█ 被感染的老年機
研究者提供了它們用來分析這些簡單裝置韌體的方法的資訊,這些資訊的技術細節或許對那些想去復刻分析的人來說很有意義。然而,我們直接進入結論部分。
五部手機中,有兩部在第一次開機時就把使用者的資料傳送到某個地方。至於資料去了哪兒,製造商、經銷商、韌體開發商,還是其他什麼人,尚不明確。且這些資料的用途也不清楚。可以假設,這些資料也許對監測銷售或管控不同國家的產品批次分配很有用。可以說,這聽起來並沒有很危險;畢竟,每臺智慧手機都會傳輸一些遙測資料。
然而,要明確的是,所有主要的智慧手機制造商至少嘗試著將他們收集的資料匿名化,而且其目的地通常或多或少是清楚的。而在這種情況下,對於誰在未經機主同意的情況下收集其敏感資訊一無所知。例如,其中一部手機不僅傳輸了它的序列號,啟用所在國家,韌體資訊和語言,還把便於確定使用者的大致位置的基站識別符號傳輸了出去。
而且,收集資料的伺服器沒有做任何保護措施,所以這些資訊獲取起來基本上是輕而易舉。還有一點很微妙:傳輸是透過網際網路進行的。也就是說,功能機的使用者甚至可能都不知道它們的裝置可以上網。因此,除此之外,傳輸還可能會導致意外的移動流量費用。
小組的另一部手機,除了洩露使用者資料之外,還被編寫成了竊取使用者錢財的工具。據韌體分析結果所說,手機透過網際網路與命令伺服器聯絡,並執行其指令,包括向付費號碼傳送隱藏的簡訊。
下一部實驗手機還有更惡意的功能。據手機實際使用者的話,一個完全不認識的人用了這個手機號碼註冊了 Telegram。這怎麼可能呢?幾乎所有的通訊類軟體在註冊時都需要提供一個電話號碼,並透過簡訊向其傳送一個確認碼。然而,手機似乎可以攔截這條簡訊,並將確認碼轉發到 C&C伺服器,同時對機主隱瞞這一活動。前面的例子只是涉及到一些隱形費用,而這種情況真正威脅到了法律問題,例如,將該賬戶用於一些犯罪活動。
█ 既然按鍵手機不安全,我們應該怎麼做呢?
現代低端手機與 10年前的同類產品的區別在於,現在,即使極其便宜的電路裝置也可以聯入網際網路。即使是像這樣的純淨裝置,文章也給出了令人不快的發現:一個專門為了無法上網而選擇的機器也可以隨隨便便連上網路。
早前,同一研究人員分析了另一款按鍵手機。雖然他沒有發現任何惡意功能,但該裝置有一個付費訂閱星座和體驗版遊戲的選單,使用者可以透過簡訊付費解鎖這些遊戲的完整版本。換句話說,你的老年親屬或孩子可能會在專門為無法連線網際網路和安裝應用程式而購買的手機上按下錯誤的按鈕,最終為這個錯誤付出代價。
而這個“被感染”的手機事件重要的地方在於,通常是製造商或中國的經銷商添加了這些“額外功能”,所以當地的經銷商甚至可能沒有意識到這個問題。另一個複雜的因素是,按鍵式手機是小批次的,有許多不同的型號,除非能徹底調查韌體,否則很難把正常的手機和被感染的手機區分開來。顯然,不是所有的經銷商都有能力做好韌體控制。
買一部智慧手機反而容易得多。當然,這也得看預算情況。不幸的是,便宜的智慧手機也可能有類似的惡意軟體問題。但是,如果你能買得起一個,即便是非常簡單的主要製造商的產品,它可能最終是個更安全的選擇,尤其是當你選擇按鍵裝置的原因尋找簡單、可靠、沒有隱藏功能的東西的時候。你可以用一個可靠的防毒軟體來減輕安卓系統的風險。功能機不提供這種管控服務。
至於老年親屬,如果他們習慣於透過開啟翻蓋手機來接聽電話,而適應觸控式螢幕的可能微乎其微,而在我們看來,升級是值得一試的。很多老年人已經很輕鬆地轉向了智慧手機,現在可以愉快地體驗移動計算的廣闊世界。
