为什么我用胶布贴住了所有电子产品的摄像头和麦克风

看过英剧《黑镜》的人,应该都知道,它专门探讨科技“黑”的那一面

比如第三季第三集《Shut Up and Dance》,讲的就是关于“摄像头”的故事。关于剧本身,本篇就不说太多了。反正小饭看完那一集后,把家里不常用的摄像头都用胶带粘了起来。。。

(Btw,《黑镜》第四季将在12月29号回归。)

所以,当我看到下面这篇文章时,在某种程度上挺理解作者的。虽然我也明白,只要连接了互联网,就必定留下痕迹;既然享受了科技的便利,就必定要让渡一部分自由。

我希望你在读这篇文章的时候,少一些冷嘲热讽,多一些好奇和理解之心——“啊,原来在这个大千世界,还有这样一种生活方式。”

作者「kx8020」

原载于「少数派」

「inskeeper」已获授权转载

在互联网时代,想要获取一个人的隐私,是件很简单的事情。花几百元请个「私家侦探」,就能查到某个人的通话详单、银行流水等等;想查到某些大明星的身份证信息,甚至只需要花几块钱就能买到了。

今年四月份,网上流传着“学信网”信息泄露的消息。我告诉了身边许多同学,让他们修改学信网密码。一部分同学表示,回到了宿舍就去改;但另一小部分同学的回答让我感到惊讶,“反正密码都泄露了,犯罪分子都把我的信息看完了,我再改密码又有啥用?”

我当时的回答是:你不改密码,后续会有一波又一波的犯罪分子获取到你的信息,你受到侵害的可能性就越来越大。

甚至还有人说,“泄露就泄露了呗,反正我又不是什么名人,他们拿了我的信息也没有用的。”

著名开发者 Hiraku 说的一段话很好地回答了这个问题:

每次有什麼某國軟體監控隱私問題,總有一種論調是:「你是郭台銘還是庫克嗎?人家監控你幹嘛?」

只能說,或許現在我的資料沒啥價值,但誰知道過二十年之後,你我之間會不會有人變成上市公司董事長?到時候這些隱私資料會不會變得很重要?不過,心裡預設自己不會成功的人,通常是比較難成功沒錯啦~

去年美国大选的时候,希拉里团队就拿出了一段录制于 2005 年的视频来攻击特朗普,表示特朗普极其不尊重女性,品德低下。

相关新闻看得多了,许多朋友也有了保护隐私的基本意识,比如去银行、电讯营业厅办理业务时,身份证复印件上都会另外用笔写上「仅供办理某业务之用」等等。

但很多朋友都忽略了泄露个人隐私的一个重要源头:电子产品(手机、平板、电脑)。

▍为什么我贴住了所有电子产品的摄像头

我已经忘了自己是从什么时候开始养成这个习惯的。但令我印象十分深刻的是,前两年支付宝被曝出调用(Android)手机摄像头、进行偷拍这件事。

一条旧闻

著名开发者 typcn 还对此事件进行过一些技术上的分析:

xPrivacy 看到的支付宝偷拍过程很高端:开启相机预览,设置相机预览回调,然后从相机预览的画面里面拿一帧,这样不会调用 takePhoto ,在部分强制开启拍照声音的手机上,也不会出现声音,因为是在预览缓冲中拿的图像。

*更多分析可以在 typcn 的 Twitter 上搜索关键字「支付宝」进行查看。

支付宝有技术做到这件事,一定还有更多的厂商能做到,只不过没有曝光出来而已。

我一直用着 iPhone ,因为 iOS 有相对完善的权限管理系统。但系统再安全,物理层面的隔绝,也一定比软件层面来得彻底。所以我贴住了所有电子产品的摄像头——你就随便偷拍吧,攻破了 iPhone 我也不担心,反正拍出来都是黑漆漆一片。

我们经常会遇到这种情况:新下载一个 App 后,会弹出一堆权限的请求,“允许使用你的摄像头”、“允许使用你的地理位置”、“允许使用你的通讯录”……很多朋友可能都没有仔细看,就点击了「允许」。

对于某些 App (比如聊天工具),我们可能确实需要它调用摄像头。但如何确保它在我们没有视频通话的时候,就一定没有调用摄像头拍照呢?对于普通用户来说,这并不好判断吧?

即使没有给它调用摄像头的权限,技术较强的黑客同样有办法攻破 iOS 的安全系统。据我所知,花费 50 万到 100 万美金,即可在黑市购买到一整套用于击破 iOS 安全防线的漏洞。

▍如何适应贴住摄像头后的生活

我个人比较少用 iPhone 拍照,自拍就更少了,日常支付也都尽量用 Apple Pay 和现金。因此,将 iPhone 的摄像头贴住,对于日常生活没有太大影响。

△我的 iPhone 和 Mac 的摄像头都被贴住了

其实对于大部分人来说,贴住前置摄像头基本也就可以了。毕竟大多数时候,手机背面是向下放置在桌面上的,后置摄像头拍出来的也都是漆黑一片;即使拍到了一些东西,没有面部特写,也无法清楚辨认。

而前置摄像头,多数时候对着人脸,贴上最好。需要自拍时,将胶布揭开一半,也就是一秒钟的事情,拍完再顺手贴上即可。

iPad 的情况与 iPhone 大同小异,自行斟酌。而 Mac (笔记本电脑)的摄像头,我想大多数用户都是闲置着的,毫不犹豫贴上吧~

▍为什么我贴住了所有电子产品的麦克风

我大概是在将摄像头贴住的同时,决定将麦克风也一起贴住的。在我看来,一台电子产品被入侵后,麦克风带来的风险比摄像头更大。

▍麦克风潜在风险更大

麦克风无时无刻都能获取到周围的信息,不受时间、空间等外部条件的限制。

几个人想要交谈,那周围的噪音肯定不能太大吧,既然噪音不大,手机上的麦克风就能录制到交谈的内容。环境非常安静的话,整个房间里交谈的声音都差不多能录制下来吧。所以麦克风带来的潜在威胁比摄像头更大。

国外用户的经历

最近在 Medium 上看到了一篇名为Instagram is listening to you的文章,大概内容如下:

几周前,博主发现 Instagram 给他推荐了某样产品的广告,这个产品他从未搜索、分享、或者在聊天软件中提到过。博主仅仅是在某次交谈中向朋友提到过这件产品。

博主开始怀疑 Instagram 会监听他的交谈,因此上周他做了个实验。

博主与家人们出去爬山,山上手机信号比较差,偶尔才有 3G 信号。博主使用的 iPhone 7 Plus 开启低电量模式后,就一直放在背包内。博主在爬山过程中,与 5 名家人用西班牙语和法语交谈。在某个时间点,他用西班牙语和堂兄弟们提了一句,我很想买一个蓝牙投影仪,有了这个东西,连接我的手机后,就能很方便地把手机内的照片和视频投影出来,给大家一同观看了。

博主很明确地知道,他之前从未在其他任何地方分享、搜索过这类产品。但回家后的第二天早晨,他打开 Instagram 后惊呆了,Instagram 给他推送的广告就是他很想购买的那个投影仪。

博主最后的建议是,在系统设置中关掉 Instagram 调用手机麦克风的权限。

要确定 Instagram 究竟有没有干这种事,可能需要更多的证据来证明。

但入侵电子产品麦克风来进行监听这事儿,可以确定 CIA 是干过的。WikiLeaks 在今年三月份公布的文件中就提到,美国 CIA 与英国 MI5 联手开发了一款程序,用于攻击三星的智能电视,通过电视内的麦克风来监听用户们的日常对话

这仅仅是被公布出来的一条消息,而更多的信息是我们普通民众接触不到的。可以猜想,世界各国的情报机构以及黑客们,一定掌握了更多的漏洞,用于攻击普通民众们的电子设备,并进行监听。不知道的事情不代表不存在。

▍如何适应贴住麦克风后的生活

经过我的测试,在 iPhone 麦克风的外面贴上一层胶布,就能几乎完全隔绝掉外部的声音,用力敲击麦克风,才能够接收到一点微弱的声音。

其实和摄像头一样,贴住麦克风后,只需要经过短时间的习惯,就可以适应。每次打接电话前,顺手将麦克风上的胶布撕开一点就行,打完了电话再贴上。

前不久我购入了 AirPods, 打接电话就更不存在问题了,iPhone 上的麦克风也就基本成为了摆设。

需要注意的是,从 iPhone 5 开始,iPhone 机身上一共有三个麦克风,分别位于正常话筒的位置、后置摄像头旁边(用于通话降噪)、电话听筒内(使用扬声器进行通话时,系统调用此麦克风进行收音)。

△iPhone 机身上的麦克风,图片来自 Apple 官网。

如果有 AirPods 等蓝牙耳机,将这三个麦克风都贴住,可以说是毫无压力;如果没有,后面两个麦克风究竟贴不贴,还需自己斟酌一下。

iPad 和 Mac 上的麦克风使用频率相对更低,贴上也是毫无压力。

▍其他关于保护隐私的一些建议

用胶布贴住电子产品的摄像头和麦克风,其实算比较极端的做法,真正能接受的朋友应该不是那么多。

其实日常生活中稍微注意一些细节,就能保护许多个人隐私。

限制 App 的权限

许多 App 在安装后第一次打开时,会申请许多权限,比如定位信息、访问相册、访问摄像头等等,一定要看清楚、想清楚,究竟这个 App 应不应该给它这个权限。

比如打车 App 要获取定位信息,这个可以理解,但是一个看视频的 App 要获取定位信息是什么意思呢?

再比如,输入法 App 不给任何权限都可以正常工作的,为啥就非得申请摄像头和相册的访问权限呢?想给输入法设置个性皮肤算是可以理解吧,但记得设置完之后,一定要进入系统设置将这些权限给关掉。

系统自带的「相机」,如果需求不是很强烈的话,我建议关掉定位的权限。因为开启后,定位信息会写入照片的 EXIF 内,使用即时聊天应用或社交应用将这些照片分享出去时,这些开发商就能读取到照片内的定位信息,以及拍摄设备的信息。

比如「这张照片是今天上午 9 点 10 分在北京颐和园东宫门拍摄的,拍摄者使用的是 iPhone 7 后置摄像头」。多发几张当天拍摄的照片,基本就能知道用户今天的具体行程了。

我日常使用时,如果确实要通过社交网络或即时聊天应用将照片分享出去,会使用一个 Workflow 去除照片的所有 EXIF 信息,并复制到剪切板上,再去对应的 App 内粘贴照片,这样就不需要给这些 App 相册访问权限,很大程度上减少了隐私的泄露。

其他需要注意的几个点有:

购物类、订餐类的 App ,不一定得给定位信息(定位信息太精确了),大多数时候手动选择大致的位置基本够用了;

通讯录的访问权限一定要谨慎,父母家人的号码也不要直接设置为「爸爸」、「妈妈」。因为一旦给了,你所有的通讯录都会被上传,App 开发商也就知道你父亲、母亲的号码,实施诈骗时也就更加「方便了」;

健康的访问权限更是要谨慎,因为健康内的信息包含了个人每天的运动信息以及身体素质信息。

避免使用公共 Wi-Fi

iOS 10.3.3 发布的时候,日志内提到了一个很重要的更新:

One of the bugs that is fixed is in the Broadcom Wi-Fi chipset formally known as CVE-2017-9417 and is nicknamed "Broadpwn". Broadpwn allows a worm to propagate among affected Broadcom Wi-Fi chipsets just by having the Wi-Fi chipset turned on even if it is not connected to any networks, and can be used to force a remote code execution on the main CPU of an affected smartphone.

Information on security updates in iOS 10.3.3 can be found at https://support.apple.com/en-us/HT207923.

意思是说,iOS 设备内置的博通 Wi-Fi 芯片存在一个漏洞,即使 iOS 设备没有连接上犯罪分子的无线路由器,犯罪分子仍然可以通过 Wi-Fi 发起攻击,远程执行代码。iOS 10.3.3 中修复了这个漏洞。

言下之意就是,如果你的 iOS 设备运行着 iOS 10.3.3 以下版本的系统,只要在公共场合打开了 Wi-Fi, 就有被攻击的风险。使用同品牌 Wi-Fi 芯片的Android 用户也存在同样的风险。

正如前文说到的,潜在的漏洞还有很多,只是我们不知道。连上了公共 Wi-Fi, 被攻击的几率一定是更大的。

还有一个原因在于,许多 App, 特别是国产 App,仍然在用 HTTP 明文传输信息。

这些信息里都包含了许多隐私信息,比如手机型号、系统版本、位置信息、所连接的 Wi-Fi 名称、设备识别码等等。如下图所示,是某款国产在线视频 App 明文传输的信息:

△某国产 Aoo 明文传输隐私信息

通过公共 Wi-Fi 传输这些信息,也就相当于将这些信息拱手送给了全世界。我甚至见过某款较知名国产 App 明文传输用户名密码的。

通过连接到的 Wi-Fi 名称,App 甚至不需要在系统中给它开启定位权限,也能获取到用户的位置信息。具体实现方法 typcn 的 Twitter 也曾提到过:

真要定位很简单的,你连接了 Wi-Fi,读取你当前连接的 Wi-Fi 的 MAC 地址,然后在数据库里面找一下就好了。你没给他定位权限,你附近的安卓用户可能给了他定位权限,附近的 Wi-Fi MAC 地址 + 定位一上传,你的位置也可以精确确定了。

现在的流量套餐越来越优惠,外出时条件允许的话,还是尽量避免使用公共 Wi-Fi。

▍结语

互联网时代,获取信息变得十分方便,同样的,泄露信息也是更加容易了。像隐私安全、密码安全这类,属于重要但不紧急的事,大多数人平时都不会在意,但当意外和损害真正发生了,后悔就来不及了。

本文来自企鹅号 - inskeeper媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员宝库

法国政府搞的一个软件项目,坑出新境界

【编者按】:很多软件项目开发时间大大超出了规划的时间,投入大量资金和人力,都没有实在的结果。如果你讨厌你的编程工作,请认真阅读这篇 2008 年的文章吧。法国科...

15930
来自专栏玉树芝兰

笔记应用怎么选?

第一句是“好脑子赛不过烂笔头”。记笔记很重要。数字时代,我们应善用科技的成果,使用笔记应用来记笔记。

14920
来自专栏FreeBuf

HITB2018 | 安卓厂商隐藏的事实:安全补丁的更新部署并不真实完整

HITB AMS 2018 安全会议 4 月 12 日至 4 月 13 日在荷兰阿姆斯特丹举办。来自德国安全研究实验室的的研究员,在议题分享环节会公开一项让人惊...

31540
来自专栏新智元

谷歌被爆强制追踪用户位置信息,以此获利高达954亿美元!

正如hCaptcha的创始人Eli-shaoul Khedouri所说:“大多数人都没有意识到,每次他们登录网站进行验证,点击那些小汽车的时候,他们正在帮助谷歌...

10920
来自专栏顶级程序员

法国政府搞的一个软件项目,坑出新境界

【编者按】:很多软件项目开发时间大大超出了规划的时间,投入大量资金和人力,都没有实在的结果。如果你讨厌你的编程工作,请认真阅读这篇 2008 年的文章吧。法国科...

10510
来自专栏FreeBuf

一篇小黄文牵出国内最大黑产,你被“上”过吗?

上周有热心的小伙伴向Magiccc反馈,点击“阅读原文”发现极验移动官网底部有不可描述的浮窗广告,点击后跳出一篇小黄文。

22620
来自专栏区块链

如何保护自己的网络信息安全

近年来,在智能生活概念兴起的同时,关于网络信息安全的违法案例也是屡见不鲜。中南大的仙女特别多,那么保护自己的隐私安全无疑是重中之重。君不见:女生女生请学长帮忙修...

36380
来自专栏极乐技术社区

小程序 · 一周报

“同声传译”插件是由微信智聆语音团队、微信翻译团队与公众平台联合推出的同传开放接口,可通过语音转文字、文本翻译、语音合成接口,为开发者赋能。

15600
来自专栏开源项目

码云高校版全新上线,多种教学场景全面升级!

20530
来自专栏企鹅号快讯

这样做可以让物联网更安全

物联网范围不断扩大,企业、工业和公营事业应用也涵盖在内,物联网安全性不足的风险也随之高涨。但想要扩展,甚至为社会带来好处前,势必得先保障物联网的安全。否则,风险...

25590

扫码关注云+社区

领取腾讯云代金券