研究员发现针对公众人物的大规模跟踪软件数据库
网络安全研究员Jeremiah Fowler近期发现了一个未受保护的数据库,其中包含超过86,000张图像以及通过跟踪软件收集的私人聊天记录。这些数据既未加密,也未设置密码保护,任何知晓其位置的人都可以完全访问。最令人警觉的是:受害者并非随机选取。该数据库专门针对一位欧洲知名名人及多位社交媒体网红,表明商业间谍软件的部署是经过刻意且有针对性的安排。
泄露的记录包括直接从WhatsApp和Instagram提取的私人通信内容、电话号码,以及身份证件的照片。这并非普通的数据泄露事件——那类事件通常是因服务器安全性不足而导致凭证泄漏。这是"监控即服务"被用于对付真实的人,他们生活中的私密细节就这样存放在一个开放的数据库中。
什么是跟踪软件,它与其他威胁有何不同
跟踪软件是指秘密安装在设备(通常是智能手机)上的软件,能够在用户不知情的情况下,悄无声息地监控并将私人活动传输给第三方。与针对密码的网络钓鱼攻击或恶意软件不同,跟踪软件从设备内部发起攻击——在某人获得设备的物理访问权限并在你不知情的情况下安装该软件之后。
这一区别对于如何保护自己至关重要。跟踪软件可以绕过人们所依赖的大多数防御手段。它无需拦截你的网络流量,而是在消息被加密并发送之前直接读取内容。它捕获本地存储的图像,收集联系人和通话记录。当你的数据离开手机时,监控早已完成。
商业间谍软件产品随处可见,通常以家长监控或员工追踪工具的名义进行营销。围绕其使用的法律和道德边界模糊不清,这使得监管十分困难。而正如此次调查所揭示的,这些工具的运营者并不总是能妥善保护所收集的数据,从而为那些甚至不知道自己正在被监视的受害者制造了第二层曝光风险。
为什么VPN无法单独保护你免受跟踪软件的侵害
VPN是保护网络流量免受监控的强大工具,尤其适用于公共网络或防止互联网服务提供商的窥探。它对设备与互联网之间的连接进行加密,从而对外部观察者屏蔽你的活动。但VPN对设备内部发生的事情毫无感知能力。
如果跟踪软件已经安装在你的手机上,VPN无法阻止它。间谍软件直接从应用程序读取你的WhatsApp消息,而非从网络层面截取。它访问你的照片库,根本不需要触碰你的网络连接。它在设备层面运行,完全处于VPN所能提供保护的层级之下。
这并不意味着VPN毫无价值。它们仍然是多层隐私策略的重要组成部分。但它们只是众多工具之一,将其视为完整解决方案会留下明显的漏洞,而此类案例正是清晰的佐证。
这对你意味着什么
此案中的受害者是公众人物,但这一威胁并非仅限于名人或网红。任何设备曾被伴侣、家庭成员、雇主或熟人接触过的人都可能面临风险。收集的数据被存放在一个不安全的数据库中,这意味着除原始运营者之外,其他任何人也可以访问这些数据,从而使伤害进一步加剧。
以下是一些具体步骤,可帮助你降低遭受跟踪软件和商业间谍软件侵害的风险:
- 定期审查已安装的应用程序。 定期检查手机上的每一款应用,包括非你本人安装的应用。跟踪软件有时会伪装成通用名称。删除任何不熟悉的应用。
- 检查设备权限。 在Android和iOS上,你都可以查看哪些应用拥有访问摄像头、麦克风、位置和消息的权限。撤销与应用声明用途不符的权限。
- 使用安全扫描工具。 部分移动安全工具专门用于检测跟踪软件。反跟踪软件联盟(Coalition Against Stalkerware)维护着一份经过审核的资源列表。
- 启用双重身份验证。 虽然这无法阻止设备层面的间谍软件,但可以限制他人利用已收集到的凭证所能做的事情。
- 保护设备的物理访问安全。 跟踪软件几乎总是需要短暂的物理访问才能完成安装。设置强PIN码或生物识别锁,切勿将手机遗留在你不完全信任的人身边。
- 保持操作系统更新。 系统更新通常会修补跟踪软件及其他恶意软件所利用的漏洞。
- 如怀疑设备已被入侵,考虑恢复出厂设置。 这是一个极端措施,但如果你有理由相信跟踪软件已经存在且无法识别它,完全重置是最可靠的清除方法。
Fowler的调查提醒我们,隐私威胁来自多个方向,而不仅仅是试图在线攻击你账户的黑客。保护自己需要考虑谁能访问你的实体设备,而不只是谁能拦截你的网络流量。
如果你担心设备上存在跟踪软件,请今天就开始全面审查应用程序。保护自己的工具已经存在;关键在于了解你究竟在防范哪些威胁。
