口袋里的间谍:你的手机可能出卖你

张振成

你肯定会有些不想让陌生人知道的事情。我最不想让别人知道的是我老公在我们俩刚刚确立恋爱关系的时候发给我的那些私密短信了。它们都存储在我的SIM卡上，不在手机里，所以我压根都不记得了。现在这些儿女情长的短信都出现在一个陌生人的电脑屏幕上。

我刚走进位于英国塔姆沃思工业园区的一个没有窗户的房间，三个身穿蓝色衬衫的手机分析师正坐在终端设备前检查我手机里的内容，得意地笑着。其中一人说道：“事实上，即使你删掉了，我们也能找回的。”

更糟的是，除了那些私密短信，我还有其他要担心的。另一个人问道：“这是你办公室的照片吧?”答案是肯定的。“你很喜欢周一晚上吃的披萨吧?为什么周六上班的路上你要绕道去伦敦的坎贝威尔?”

DiskLabs是一家为英国警方做手机取证分析的公司，也为私企窥探可疑员工或个人跟踪不忠的配偶提供方便。带着我从朋友和陌生人那里求、借和买来的四部手机，我很想知道从这些使用过的手机和SIM卡中到底能搜集到多少个人信息。

10年前，我们的手机内存只能处理文本信息和通讯簿。现在不同了，最新的智能手机已内置全球定位系统，无线上网连接和运动传感器。它们可以自动从你办公室的电脑上下载邮件与约会行程，还能帮你即时跟踪周围人的动态。此外还有很多其他功能。如：下一代智能手机可以用来监控你的健康状况，存钱和处理小笔交易——东亚地区已经在使用手机此类功能。

网络钓鱼

邮件和互联网可以被用来钓取银行资料等个人信息，手机的这些新功能也可以被以几乎同样的方式“钓鱼”。事实上，现在已经出现许多与手机相关的诈骗行为，骗局之一就是用重新编程的手机截获他人网络银行帐号的密码。英国电信的信息安全研究中心的主管安迪·琼斯(Andy Jones)说道：“移动电话在我们生活中的作用越来越大，我们也越来越信任和依赖它们，也就越来越可能遭到骗子的诈骗。”

那么存储在我们手机里的资料安全吗?如果我们开始将手机当作自己的日记本和移动钱包来使用，那么，如果手机丢失或被盗了，怎么办?

根据英国政府的“打击犯罪设计与技术同盟(DATTC)”所说，80％的人手机里存储的信息可以用来诈骗犯罪，还有16％的人将银行账户细节也存在手机上。我的诺基亚N96手机才用了短短几个星期，我以为不会有什么让我吃惊的秘密。于是我把它交给DiskLabs进行检查。手机分析人员的分析结果证明我错了。

除了存储在SIM卡上的短信之外，我手机里有一个“运动记录器”(sportsTracker)的应用软件，通过这个软件，外人可以收集到我手机里最详细的个人信息。使用该软件的用户可以随时衡量自己的运动表现。我一直使用它来测量自己骑车上班穿越伦敦街区的速度。它能记录下行驶的距离，沿途不同地点的最快车速，海拔高度的变化，以及我大致消耗了多少热量。当DiskLabs把这些数据上传到他们的电脑里，然后使用谷歌地图与街景地图进行演示，他们就能够找到我办公室大楼正面和我家的图片，连门牌号码都清晰地显示出来。“运动记录器”还记录下了我平常早晨离家上班和下班回家的时间。DiskLabs的资深分析师尼尔·巴克(Neil Buck)说：“如果我想要更多信息，我可以用这款软件追踪你。”

我总是有意将“运动记录器”置于开启状态，而大多数同我一样的人可能从来就没有考虑过这样的程序会被用来与自己作对。今年2月，谷歌发布了“谷歌纵横(Latitude)”，这是一款智能手机网络软件，有了它，你就可以让朋友了解你所处的地理位置。你可以关闭这个功能，但竞选活动组织“隐私国际”(Privacy International)就担心“谷歌纵横”的复杂设置。它认为这个程序会在你毫不知情的情况下，将你所处的位置传播给其他人。该组织警告说：“对于追踪者，好事的雇主，爱吃醋的另一半和过分关心的朋友来说，“谷歌纵横”可以成为送给他们的一份好礼。”

甚至连手机上的日历都有可能让你处于不利境地。英国警方破获了一起入室盗窃案，小偷在偷得手机之后锁定了事主的住宅作为盗窃目标，因为偷来的手机的日历显示主人正在外地度假。东芝欧洲研究实验室主管，同时也是DATTC打击犯罪设计项目领导的乔伊麦克格罕这样说。该项目给英国手机设计师们出了一道难题，要他们设计出黑客与身份窃贼都不那么热衷的手机。麦克格罕说：“这基本上都是投机行为，但如果你手机中存储了所有你的个人信息，如银行账户，社会保险与信用卡信息，那么你这无疑是在邀请别人冒充你，抢劫你，或入侵你的生活。”破译密码

当巴克检查我同事的iPhone手机的时候，他发现了通讯簿中“M”和“v”名下的两组四位数号码。搜索了他的手机短信后，他发现了维珍公司的通知信，内容是一张特定号码结尾的新信用卡已经通过邮局寄出。巴克猜测那两组“M”和“V”名下的数字应该是万事达卡和维珍信用卡的PIN码。结果证明他的猜测完全正确。

约翰说：“如果没有上下文，那么一则个人的短信基本上是没有什么价值的，但是一旦你有了大量的信息——某个人整年的日记，他的电子邮件信息和个人计划——把这些信息整合起来，你就会有一些有趣的发现。”

DiskLabs团队通过这种方法还确定出了我同事妻子的名字，护照号及失效日期，还有她在巴克利银行有存款。可笑的是，巴克利银行曾就有关她信用卡受欺诈事宜联系过她，她还短信告知过她丈夫。巴克团队还获取了我同事的邮件地址，他在Facebook上的联系人及其邮箱地址的信息。

这些个人资料数据很值钱，放到网上一定能卖个好价钱。它们也为类似“419电邮诈骗”这样的案子提供了理想的条件，例如，你收到一封电邮，声称需要通过你的银行账户从国外转账，如果你答应提供帮助，成功后能分得些利润。琼斯说：“他们要取得像419诈骗案那样的成功，需要的就是个人信息。”

琼斯说，人们对身份窃贼的警惕性越来越高，这意味着现在很多人在扔掉之前都会销毁电脑硬盘或抹掉其中的数据。但是对于手机，他们还没有如法炮制。同时，更多数量的手机重新回收使用。根据市场分析机构“ABI研究”的统计，到2012，每年都会有超过一亿部手机回收后再度使用。

为了寻找保护手机信息的更好的方式，琼斯最近从志愿者，手机回收公司及网上拍卖商eBay那里收集到135部手机，26部黑莓机。一半左右的手机因为自身缺陷而无法访问。在我们自己的智能手机上进行测试，我们无法恢复黑莓机、三星E590的数据资料。

虽然只有3部手机包含SIM卡(个人身份识别卡)，但琼斯的团队在lO部手机中发现使用者的个人信息，可以确

定前用户的身份。有12部手机能够确定前用户的雇主。

在26部黑莓机中，4部含有足以确定用户身份的信息，7部能够确定用户雇主的信息。琼斯说：“最让我们大吃一惊的是，我们从黑霉机中收集到非常多的资料，而在此之前，我们本以为黑莓机更安全的。”虽然黑莓用户可以将他们的数据资料加密，出售或被盗后还可以发送短信清除个人信息，但是大多数人都没有这样做。琼斯说：“只有在开启了保护功能之后，手机的安全功能才会发挥作用。”

他的团队还设法追踪到一台黑莓机的机主，一家日本公司的高级销售主管。他们恢复了他的通话记录、249个通讯地址、他的日记、90个电邮地址和291封电子邮件。这些信息让他们能够确定他所在公司的结构和他在其中的工作责任。公司下一阶段的商业计划，主要客户及其与公司的关系，个人出行和住宿的安排，他的家庭信息，包括孩子、职业和活动，婚姻状况，地址，室内布置，约会行程，医疗及牙医地址，银行账户和银行代码，以及汽车登记号等。琼斯说：另有两部黑莓手机“包含的用户及他人的资料，如果公布，势必会出现令人尴尬和苦恼的局面。”

虽然琼斯团队使用专家级的鉴定软件来恢复手机中的资料，但大部分资料都可以直接从手机里获得，或使用手机配备的简单软件获得。他还说：“这本来就不是件复杂的事情，它所使用的技术十分简单，任何人都能接触和掌握。”

考虑到2008年全球有大约2000万部手机丢失或被盗，个人资料如此容易获得可真不是好消息。那么人们究竟怎样做才能让他们的手机更加安全呢?麦克格罕说道，开启安全设置，这是重要的一步。因为这样就可能打消那些潜在窃贼破解你的密码的念头。第二步就是一定要删除所有你希望保密的内容，但也一定要记住，这些数据都是可以恢复的。麦克格罕说：“我的原则是，所有存储在我手机上的内容，都是准备给人看的。”

就我而言，一收到那些容易产生误会的短信，我就马上删除，然后再把发件人痛骂一顿。我也会把我的旧手机交给丈夫代为保管。如果这些肉麻的短信一定要落在别人的手里，我宁愿它们落到原作者的手里。

未来手机

明年，新智能手机中将有三分之一配备感应器，随之而来的就是压力感应器与回转仪的配备。你的手机很快就可以监控你的健康状况、支付账单了。例如，诺基亚公司正试验为手机增加生物传感器功能，可用于监测心脏和呼吸频率，以及血液中的葡萄糖和氧气含量。英国剑桥诺基亚研发中心的研究员马克·贝利说：“你的手机可以是一本健康日记，把以前由你的医生记录的健康记录与现在的数据进行综合在一起。”

与此同时，“移动电子商务”，一种使用手机转账、支付的商务形式已经迅速发展起来。在日本，手机用户可以用手机购买火车票和飞机票，而在阿富汗，菲律宾和东非国家，人们可以用手机转账。东芝欧洲研发实验室的主管乔伊·麦克格罕说：“移动电子商务时代来临了，未来4年里，移动电子商务将在英国和其他欧洲国家流行起来。”

尽管手机的发展给人们生活带来便利，但安全仍然是个大问题。