“每个人的手机都是一部窃听器,都能被窃听”,这是前年上映的电影《窃听风云》中的台词。一直以来,很多人都以为手机被窃听只是电影中的情节,在现实中却将信将疑。
继央视6月8日曝光手机隐私窃取软件“X卧底”后,各网络安全机构以及电信运营商也在随后发布了针对“X卧底”的重要病毒提示。这款具备短信监控、电话监控、环境监听功能,并颠覆了公众对于一般手机病毒概念的“间谍软件”引起了全社会的关注,有些手机用户甚至为此忧心忡忡。
现在,人们不必再怀疑,手机被窃听是确实存在的。日前,中国移动(微博)通报称,一种名为“X卧底”的手机监听软件确实存在,可以窃听通话,还能窃取短信等隐私数据。在此之前,国家计算机病毒应急处理中心已证实存在此种软件。曾经只能在谍战剧中看到的窃听场景竟然距离现实生活如此之近,手机安全保卫战正式打响。
来自运营商的警告
虽然利用复制SIM卡进行手机监听并不可能,但是这并不意味着监听手机不存在,“X卧底”就是臭名昭著的手机监听软件。
中国移动表示,“X卧底”实际上是一款病毒,可以窃取手机上的通讯录、呼叫记录、短信记录等隐私数据,还能窃听通话。如果手机上有GPS功能,“X卧底”还能调用这项功能获得机主的位置。
据悉,“X卧底”病毒主要传播方式一是通过存储卡拷贝,直接在手机上安装软件;二是通过互联网下载软件安装在手机上,或发送短/彩信,诱导用户点击后自动安装。
“手机监听的确是存在的,特别是随着现在智能手机的普及,这类事件更容易发生,智能手机其实就像电脑,容易中招。”上海互联网应急中心专家姚钦锋对记者表示。
“确实能监听他人手机,我们亲自测试过”,手机安全厂商技术专家石晓红也表示。而根据国际互联网应急中心(CNCERT)今年1-6月的监测数据显示,“X卧底”在全国范围内平均每天发生6600次隐私信息窃取事件。
揭开“X卧底”面纱
“X卧底”是如何监控他人手机的呢?
记者登录了“X卧底”的“官方网站”,页面上介绍,“X卧底”软件原名为Flexispy,是国外某安全公司出品的手机卧底监听软件。页面上还介绍了多起“成功案例”,比如武汉王先生通过“X卧底”查出了公司内奸,上海王女士找到了丈夫出轨的“证据”……
记者拨打了页面上留下的联系方式,对方介绍:“我们是目前国内唯一的合作经销商。”这位“X卧底”人士表示,要监听对方手机有两个条件:第一,对方的手机是智能手机,第二,要对方不知情的情况下安装软件,“软件安装成功后,你把对方的手机号码、你的手机号码和邮箱都告诉我就行了,一切都搞定后你的邮箱里就会收到对方的通话录音和短信。或者,你直接拨打对方的手机,对方是不会感应到的,而你却能听到他周围的声音。”
这位人士表示可以先试用后购买,不过他又提出霸道条款:“如果你试了之后不买,还是要付我100元。”记者随后提出要试用,并询问窃听他人手机的原理是什么,这引起了对方的怀疑,之后便拒绝了与记者联系。
石晓红则介绍,“X卧底”安装后,在手机上没有启动图标,运行时不会给用户任何提示,一切监听行为都在后台自动完成,用户根本无法感知,这也是“X卧底”伪装手段。而当通话时,木马将自动监听用户手机通话并自动录音保存,同时读取用户的通话记录、短信等内容。在通话完毕后,木马将自动启动联网,将通话录音等隐私信息通过无线网络上传至不法分子搭建的服务器,后在服务器方生成AMR格式的音频文件,通过邮件的形式发送给监控方。
“‘X卧底’的通话录音利用“三方通话”的功能来实现”,石晓红介绍。“X卧底”会强制开启手机中的“三方通话”功能,并在用户通话过程中强行“插入”到共享通话序列中,实现对通话信息的全程监控。而环境监听仅仅是利用普通通话功能,木马会代替用户自动接听。
除了窃听他人通话、短信之外,技术专家在测试过程中还发现“X卧底”会隐蔽吸费,木马在后台私自发送扣费短信,并删除发送记录和运营商回执短信。
“X卧底”触犯《刑法》
“X卧底”并非是新鲜事物,早在数年前就已经存在。几年前一家名为南京特洛伊科技软件公司就在销售“X卧底”软件,不过在2007年“X卧底”被定性为间谍器材被有关部门查封,该公司相关负责人也遭查处。
现在这家销售“X卧底”的公司不在南京,网站上显示的地址是在沈阳,不过这位联系人的手机号码归属地却是在武汉。“现在查的挺紧,我之前有销售‘X卧底’的淘宝网店,不过前两天被查封了”,现在销售“X卧底”的这位人士说道。不过他认为,“X卧底”只是灰色事物,谈不上违法,“X卧底软件用户后台管理服务器存放于国外,并不受国内任何政策影响。”
不过律师却不这样认为,上海大邦律师事务所律师游云庭(微博)表示,销售“X卧底”之类的手机窃听软件实际上已经触犯了《刑法》。《刑法》第二百八十三条规定:非法生产、销售窃听、窃照等专用间谍器材的,处三年以下有期徒刑、拘役或者管制。
安全厂商360的手机安全专家在接受记者采访时表示:X卧底功能虽然看似很强,但其实工作原理并不复杂,而且安装必须具备“获得用户手机”或必须“受害者主动点击安装”这一苛刻条件,与一般通过短信和网络传播的手机恶意程序相比其传播性不强,而且目前360手机卫士已经可以首家查杀“X卧底”,用户不必谈其色变。