专栏首页FreeBuf旧手机的隐私顽疾:砸了浪费,卖了受罪

旧手机的隐私顽疾:砸了浪费,卖了受罪

L:你给我出示证件,我就帮你打开箱子。 H:你要不给我打开箱子,我就没法给你出示证件。 L:你要不给我出示证件,我就没办法给你打开箱子。 H:你先给我打开箱子,我后给你出示证件。 L:你先给我出示证件,我后给你打开箱子。

应该不止我一个人对2008年春晚上《开锁》这个小品记忆犹新,表演源自于生活,小品亦是如此。最近看到的一些事件,也让我重新完整地看了一次这个小品,确实精彩。

近期看到很多关于二手手机所造成隐私问题的讨论,其实这一直都存在,但始终无法让大多数人认识到其严重性。即便是将手机所有数据删除,恢复出厂设置,花几十块钱就能够恢复所有数据,包括通讯录、相册等重要隐私信息。这与开锁原则其实有很多的相似的地方,我们不希望有人能随便开自家的锁,也不希望有人随便能够获取旧手机中的重要信息。

二手手机逐渐成为黑产可利用的目标

包括前段时间的新闻报道,某地官员在接受检查的时候,其手机就被取证技术手段恢复了已删除的聊天记录,因而成为违规违纪的证据。一时间,很多人把矛头直指微信,质疑“微信不保存聊天记录”的言论,但其实也是利用类似的从存储器恢复数据的手段达成,微信官方还特地澄清过。

腾讯玄武实验室负责人TK证实,不止是各种即时通信APP的聊天记录,手机上的文件、通讯录、短信、通话记录、记事本、日历等等也都一样,即使删除掉也都可能恢复出来。

很意外么?不应该的。大多数人都知道的事,电脑硬盘如果数据误删,可以通过专业软件实现全盘恢复。手机和电脑在这方面其实是一致的,通讯录、聊天记录、照片等依然是一数据文件的方式保存在手机的存储器上,格式化或者恢复出厂设置并不会导致数据无法恢复。

通过搜索引擎或者某宝,搜索“手机数据恢复”等关键词能够找到一大堆的结果,以极低的成本即可恢复手机中已删除的数据,包括联系人、微信聊天记录等。

由于智能手机中所包含的内容过于隐私,几乎能够记录生活的一切,包括自拍、账号密码甚至还聊天记录所设计的隐私内容,而且真实性非常高,也具有比较可观的价值。网络上出现的个人信息倒卖实例中,其中不乏来自二手手机中提取的信息数据,源头也就是二手手机回收服务商或者手机维修店。

现如今,大多数人的个人信息已经通过各种渠道泄漏多次,虽然无法确定利用二手手机提取信息的占比由多少,但这必定会是一个越来越危险的定时炸弹。

根据工信部的数据显示,我国从2014年至今废弃的旧手机存量约为18.3亿台,而2018年单年旧手机淘汰量预计将达到4.61亿台。以智能手机现在的更新速度,这个数字也将飞速上涨。一旦如此庞大的数据库被黑产以及不法分子利用,个人隐私的防护必然会遭受毁灭性打击。

如何处理二手手机应该成为每个用户需要考虑的问题,一旦个人重要信息通过二手手机被泄露,很可能将通过邮件、短信、电话等各种方式收到无止尽的骚扰短信。最彻底的方式就是物理销毁,或者自己保存好。在进行二手交易或者进行二手手机回收的时候,需要确保数据被永久性删除。但可惜的是绝大多数用户,并不具备这种手段。一般想要永久删除硬盘中的数据,需要用到专业的文件粉碎软件,或者使用大数据文件反复擦写、覆盖,即便这种手段也无法绝对保证数据完全无法恢复。

涉及隐私的数据恢复“开锁原则”约束

除了用户需要有一定的安全意识之外,监管机构也该出手了。信息时代,数据的价值越来越高。数据恢复业务本身就比较容易接触到用户的隐私内容,如同开锁一样,使用数据恢复手段造成损失的必须追责。

在开锁行业,全国各地都遵守着几乎相同的管理条例。其中比较鲜明的几点就是:

1.从业人员必须具有从业资格证,且在公安局备案; 2.用户要求开锁须出具身份证明,或者在开锁后立即出示身份证明,有可疑开锁行为须立即上报公安机关 3.开锁企业需要建立相应的开锁资料档案,及时记录开锁信息并通过治安管理信息系统上传

总的来说就是明确了开锁人员资格,以及用户需要证明自己的身份,一旦出现事故可以明确追责,同样给开锁业加上一些积极的约束。这种手段同意能够应用到数据恢复的案例上,目前除了手机回收商、维修商之外,网络上不少网站提供专业的数据恢复软件,基本没有技术门槛,任何人都可以提取出二手手机中的已删除信息。

无论线上线下,提供数据恢复服务的需要专门的从业资格证,对于滥用数据恢复手段大量提取个人信息的行为予以打击。同时用户在寻求数据恢复帮助时需要提供有效证明,证明自己是设备的主人。此外,每一次数据恢复都有必要做一次系统记录上传。对于同一个人使用多次数据恢复业务的需要上报公安机关。

考虑到有不少提供数据恢复软件的,也应该设定一些保护机制,例如每一次数据恢复都需要使用者提供一次身份证明以及设备信息记录。

此外,针对手机厂商而言, 如果售后服务能够提供彻底删除收集数据服务的当然再好不过,以便用户进行二手交易或者回收,减少财产损失。同时对于二手手机回收商以及维修商而言,有必要明确其保障手机内数据安全,规定严格的回收流程,以便发生隐私泄露而有据可循。

公民隐私意识的加强,让二手手机的敏感性越来越明显。既要合理处置旧手机,也要规范二手手机回收,防止违规的数据恢复造成隐私倒卖案例。尽管依然有小偷开锁偷盗行为发生,但开锁业的治安管理条例依然是必需的,提升二手手机处理所有环节的数据安全也需要新的“开锁原则”。

*本文作者:Allen.i,转载请注明来自FreeBuf.COM

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-06-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 中国铁虎APT又回来了,专门针对亚洲、美国政府及其它组织

    中国APT铁虎又回来了,被PZChao行动称为新的战役,针对亚洲和美国的政府,科技,教育以及电信组织。 Bitdefender恶意软件研究员已经发现并监控了几个...

    FB客服
  • 闲话文件上传漏洞

    文件上传漏洞是web安全中经常利用到的一种漏洞形式。这种类型的攻击从大的类型上来说,是攻击 数据与代码分离原则 的一种攻击。 一些web应用程序中允许上传图片,...

    FB客服
  • phpMydmin的GetShell思路

    phpMyadmin是一个以PHP为基础的MySQL数据库管理工具,使网站管理员可通过Web接口管理数据库 。

    FB客服
  • ASP.NET Core中使用IOC三部曲(二.采用Autofac来替换IOC容器,并实现属性注入)

    前言 本文主要是详解一下在ASP.NET Core中,自带的IOC容器相关的使用方式和注入类型的生命周期. 这里就不详细的赘述IOC是什么 以及DI是什么了.....

    GuZhenYin
  • selenium2java写一个强制刷新页面的方法

    本人在学习使用selenium的时候,遇到一下子要循环某项操作好几次,到后面明显感觉页面刷新速度变慢了,在提交保存某些信息的时候,经常碰到因为保存时间过长导致报...

    FunTester
  • pytorch常用数据操作函数

    博主的研究方向是目标检测,深度学习框架使用Pytorch,在日常的使用过程中经常会碰到一些问题,因此整理一下pytorch的一些常用接口和使用技巧。

    苏十四
  • 聊聊rocketmq的pullFromWhichNodeTable

    rocketmq-all-4.6.0-source-release/client/src/main/java/org/apache/rocketmq/clien...

    codecraft
  • .Net Core + 微信赋能企业级智能客服系统--学习笔记

    围绕目前需求猛增的微信及移动端企业智能客服业务,利用 .NET Core 的一系列优秀特性及 SignalR 模块打造全双工、跨微信/QQ/钉钉等应用平台、跨系...

    郑子铭
  • react-native static使用方法

    杭州前端工程师
  • The Dos and Don'ts for Ceph for OpenStack

    Ceph和OpenStack是一个非常有用和非常受欢迎的组合。 不过,部署Ceph / OpenStack经常会有一些容易避免的缺点 - 我们将帮助你解决它们

    用户2772802

扫码关注云+社区

领取腾讯云代金券