周末唱遊

　　用戶上傳數據到雲平臺後，管理者看到的情況。加密的點不開，不加密的數據和調取自己數據一樣方便 華商報記者 馬虎振 攝
　　雲技術和即時通訊時代覆蓋了現在的生活，當我們上傳了照片、通訊錄等內容時，你知道這些信息會泄露嗎?本期華商報好奇心做實驗帶你瞭解哪些途徑會泄露我們的秘密……
　　雲計算
　　分佈式計算技術的一種，其最基本的概念，是透過網絡將龐大的計算處理程序自動分拆成無數個較小的子程序，再交由多部服務器所組成的龐大系統經搜尋、計算分析之後將處理結果回傳給用戶。
　　實驗時間
　　2014年6月19日至21日
　　實驗地點
　　西安電子科技大學
　　西安城南一居民家中
　　實驗顧問
　　陝西省計算機學會理事，陝西省計算機學會網絡與信息安全專委會秘書長，中國電子學會高級會員，西安電子科技大學計算機學院計算機系統結構學科碩士生導師、副教授沈玉龍
　　實驗人員
　　西安電子科技大學計算機專業碩士研究生齊士垚、張華慶及華商報記者
　　實驗設備
　　雲存儲服務器、手機、電腦等
　　實驗1
　　不加密上傳數據“雲端”看得一清二楚
　　由於便攜性和功能的擴展，手機逐漸取代了電腦的部分功能。隨之而來的問題是大量照片、視頻、音樂、文檔、軟件等需要空間來存儲。利用雲存儲，各種類型的數據從此不僅可隨時上傳下載，還不用擔心因設備損失而丟失重要數據，此外不同的雲平臺還提供了更多的個性化共享服務。但這些雲平臺安全可靠嗎？大量涉及個人隱私及敏感信息的重要數據被傳至雲端存放，有沒有可能被偷窺，甚至泄露出去？
　　在西安電子科技大學計算機專業實驗室，碩士研究生齊士垚、張華慶為此進行了模擬實驗。
　　他們在一臺安卓系統的手機上裝上了本地雲存儲服務器的客戶端，註冊後，將通訊錄、短信、照片等幾種數據，上傳至雲端。另一人坐在安裝有雲服務器管理端的電腦前查看。
　　在電腦上，打開雲端，輸入剛在手機上建立的新賬號，就能看到所有上傳數據。難道我們上傳到雲端的數據，就可以這樣被一覽無餘嗎？
　　兩位研究生表示，只要數據上傳時沒有加密，結果就會這樣。但雲存儲服務商一般表示會對用戶上傳數據進行加密。可問題是，如果用戶上傳時沒加密，上傳到雲端再加密，密鑰則掌握在雲管理者手中，對於雲管理人員來說，他們隨時可解密查看。那麼有沒有更好的辦法？兩位研究生表示有，那就是對重要和敏感信息在上傳前或上傳時直接加密。這需要借助加密軟件，或直接用壓縮軟件將重要數據打包加密後再上傳。
　　齊士垚介紹，目前導師正帶領他們在研究一項雲加密技術。用戶只需記住登錄口令，在上傳數據前選擇加密等級即可，不需複雜操作。
　　兩人在手機客戶端用這種軟件對剛纔上傳的三種數據進行加密後，再上傳至雲存儲平臺。這次在雲端管理平臺再打開上傳數據，無法查看用戶上傳的真實數據。
　　實驗1總結
　　兩位研究生提醒，重要及敏感數據，最好先加密後再上傳至雲端，這樣既可避免雲管理者偷看導致泄密，也可增加黑客破解用戶雲賬號登錄口令後竊取重要信息的難度。需要註意的是，加密軟件一定要註意從正規渠道下載使用，謹防中木馬病毒。
　　實驗2
　　輸入一個QQ號就可能暴露許多個人隱私
　　兩位研究生介紹，在網絡化辦公和大數據時代，不論你上不上網，有關你的各方面信息都被分散存儲在互聯網中。如果你是一位名人，或是一個愛“秀”的年輕人，那麼你的很多信息，只要簡單搜索就能獲得。
　　為證明這一點，兩人首先選擇了一位女演員進行搜索。他們不記得這位女演員的名字，但根據其所扮演角色立即搜到了姓名。輸入姓名再搜索，這位女演員的出生年月、身高、體重、血型、感情生活、老公姓名及情況、女兒名字及出生時體重等信息一覽無餘。
　　隨後通過微博搜索，又找到這位演員的微博及其經紀人的手機號碼。微博上有這位演員未來幾天的行程；而只要撥通經紀人的電話，或許就能聯繫到演員本人。
　　對於普通人的信息搜索，兩位研究生將自己的QQ號輸入搜索框，結果個人簡歷、所寫文章、在論壇里的發言等等都展示在眼前。在個人簡歷中，詳細的個人信息一覽無餘。
　　接下來的搜索讓人感到新鮮，即便只有照片，也有可能查詢到照片主人的姓名及相關詳細信息。
　　實驗者從網頁上截取了一位新聞人物的面部照片，上傳到一個網站的“識圖”網頁，點擊搜索後立即出現了此人的姓名信息及相關新聞網頁。
　　兩位研究生介紹，其實QQ空間中的“圈圖”也有類似的功能。這種功能在給使用者提供認識“陌生人”方便的同時，自然也有風險。常用QQ和微信的人都知道，一旦知道對方QQ號或微信號且“加好友”被接受後，如果對方是個喜歡在QQ空間和朋友圈展示自己的人，就等於向你敞開了自己的生活、工作、愛好、感情、家庭、動態、即時照片甚至具體位置等重要隱私信息，接下來想知道電話號碼也不是一件難事。而對於這些重要信息，一些人對陌生人也從不設防。
　　實驗2總結
　　兩位研究生提醒，網絡搜索和即時通訊工具在提供方便的同時，極有可能帶來個人隱私泄露的風險。建議上網絡論壇、使用QQ和微信等即時通訊工具時，一定要註意防止關鍵隱私信息泄露，比如真實姓名、QQ號、微信號、手機號、身份證號、具體位置信息、敏感關係照片等。即便是在個人網絡空間上發佈信息和照片，也要防止隱私泄露的問題。尤其要註意的是“網絡上沒有刪除鍵”，一旦將信息輸入網絡，想要完全刪除幾乎沒有可能。
　　■分析
　　安裝來源不明的軟件可能給手機引入“內姦”
　　沈玉龍介紹，手機通話、即時通訊，在信息傳遞過程中是加了密的，否則很容易被竊取。這種動態的加密過程，相對於靜態數據的加密更為複雜。但總的來說，想要通過破解加密協議的方式來竊取通訊內容比較困難。
　　目前，隱私及敏感信息的泄露，主要問題還是出在使用終端上，一是使用終端操作系統有漏洞，二是裝了藏有木馬程序的應用程序。這些問題可以被歸為計算環境的安全性。
　　沈玉龍說，很多人安裝手機軟件時，不太對軟件要求的權限進行分析，只要自己需要這個軟件的某些功能，就會搜索、下載。豈不知，一些軟件過分的權限要求，很可能為個人隱私及敏感信息的泄露埋下隱患。如果所安裝的軟件隱藏有木馬病毒，那就相當於後門洞開，包括語音通話內容、短信內容、即時通訊內容、手機銀行賬號等一切信息，都可能被手機中藏著的“內姦”全部告知程序提前設定的接收方。所以，一定要安裝使用正規來源的手機軟件，來源不明的不要安裝使用。
　　■調查
　　有多少軟件在向你索要隱私權限
　　手機要實現多樣化的功能，必須借助於各種軟件。但安裝軟件時，就會被索要隱私權限。哪些權限是需要的？哪些是不需要的？一般用戶很少考慮。
　　記者查詢發現，自己的iPhone手機安裝了25個應用程序。其中要求“定位服務”權限的有11個；要求“通訊錄”權限的有7個；要求“照片”權限的有11個；要求“麥克風”權限的有5項；要求“相機”權限的有5項。由此可見，手機軟件對隱私權限的依賴和需求有多高。
　　安卓手機的系統是開放式的，各種軟件對隱私及敏感權限的要求更高。記者查詢一位同事的安卓手機發現，該手機總共安裝應用軟件60款。其中對隱私及敏感權限的要求如下：發送短信9款；獲取短信內容15款；獲取聯繫人20款；獲取通話記錄20款；定位手機29款；獲取手機識別碼46款。
　　■提醒
　　1.敏感信息，備份到本地的物理設備更安全
　　碩士研究生張華慶建議，對於特別敏感的信息，比如通訊錄、短信、即時通訊內容等，應儘量選擇備份到本地不同的物理設備上。如果需要選擇雲端備份，除選擇可信度較高的大型企業外，建議將數據加密後再備份至雲端。另外要註意，不要借別人的設備登錄自己重要賬號，否則有可能造成泄密，共用賬號的情況也要儘量避免。
　　2.秀“幸福”別暴露家庭成員信息
　　對於迷戀在網絡上秀“幸福”的用戶，張華慶建議如在註冊相關社交平臺或論壇時，儘量避免填寫重要真實信息，如姓名、手機號、身份證號等。在微博、QQ等社交平臺發佈即時信息時，註意不要暴露家庭成員信息和所處位置信息等。
　　3.隱私保護，不僅是技術問題
　　沈玉龍表示，隱私保護和信息安全，其實不僅僅是技術層面的事。
　　個人隱私時常是用戶無意中透露或授權導致泄露的。比如：用戶在安裝完某款應用後，不對該應用的授權進行相關管控，容易導致隱私泄露。只要加強隱私保護意識，自然就會避免出現類似問題。同樣在信息安全層面，技術問題固然重要，如果相關人員的信息安全意識不到位，也是沒法做好的。因為有一個方面出問題，就等於相關的整塊信息安全工作都白做。華商報記者馬虎振
　　（原標題：小心你手機後面有許多偷窺的眼(圖)）