|
|
|
|
移动端

旧手机的隐私顽疾:砸了浪费,卖了受罪

近期看到很多关于二手手机所造成隐私问题的讨论,其实这一直都存在,但始终无法让大多数人认识到其严重性。

作者:Allen.i来源:FreeBuf|2018-06-07 05:50

技术沙龙 | 邀您于8月25日与国美/AWS/转转三位专家共同探讨小程序电商实战

L:你给我出示证件,我就帮你打开箱子。

H:你要不给我打开箱子,我就没法给你出示证件。

L:你要不给我出示证件,我就没办法给你打开箱子。

H:你先给我打开箱子,我后给你出示证件。

L:你先给我出示证件,我后给你打开箱子。

应该不止我一个人对2008年春晚上《开锁》这个小品记忆犹新,表演源自于生活,小品亦是如此。最近看到的一些事件,也让我重新完整地看了一次这个小品,确实精彩。

近期看到很多关于二手手机所造成隐私问题的讨论,其实这一直都存在,但始终无法让大多数人认识到其严重性。即便是将手机所有数据删除,恢复出厂设置,花几十块钱就能够恢复所有数据,包括通讯录、相册等重要隐私信息。这与开锁原则其实有很多的相似的地方,我们不希望有人能随便开自家的锁,也不希望有人随便能够获取旧手机中的重要信息。

二手手机逐渐成为黑产可利用的目标

包括前段时间的新闻报道,某地官员在接受检查的时候,其手机就被取证技术手段恢复了已删除的聊天记录,因而成为违规违纪的证据。一时间,很多人把矛头直指微信,质疑“微信不保存聊天记录”的言论,但其实也是利用类似的从存储器恢复数据的手段达成,微信官方还特地澄清过。

腾讯玄武实验室负责人TK证实,不止是各种即时通信APP的聊天记录,手机上的文件、通讯录、短信、通话记录、记事本、日历等等也都一样,即使删除掉也都可能恢复出来。

很意外么?不应该的。大多数人都知道的事,电脑硬盘如果数据误删,可以通过专业软件实现全盘恢复。手机和电脑在这方面其实是一致的,通讯录、聊天记录、照片等依然是一数据文件的方式保存在手机的存储器上,格式化或者恢复出厂设置并不会导致数据无法恢复。

通过搜索引擎或者某宝,搜索“手机数据恢复”等关键词能够找到一大堆的结果,以极低的成本即可恢复手机中已删除的数据,包括联系人、微信聊天记录等。

由于智能手机中所包含的内容过于隐私,几乎能够记录生活的一切,包括自拍、账号密码甚至还聊天记录所设计的隐私内容,而且真实性非常高,也具有比较可观的价值。网络上出现的个人信息倒卖实例中,其中不乏来自二手手机中提取的信息数据,源头也就是二手手机回收服务商或者手机维修店。

现如今,大多数人的个人信息已经通过各种渠道泄漏多次,虽然无法确定利用二手手机提取信息的占比由多少,但这必定会是一个越来越危险的定时炸弹。

根据工信部的数据显示,我国从2014年至今废弃的旧手机存量约为18.3亿台,而2018年单年旧手机淘汰量预计将达到4.61亿台。以智能手机现在的更新速度,这个数字也将飞速上涨。一旦如此庞大的数据库被黑产以及不法分子利用,个人隐私的防护必然会遭受毁灭性打击。

如何处理二手手机应该成为每个用户需要考虑的问题,一旦个人重要信息通过二手手机被泄露,很可能将通过邮件、短信、电话等各种方式收到无止尽的骚扰短信。最彻底的方式就是物理销毁,或者自己保存好。在进行二手交易或者进行二手手机回收的时候,需要确保数据被永久性删除。但可惜的是绝大多数用户,并不具备这种手段。一般想要永久删除硬盘中的数据,需要用到专业的文件粉碎软件,或者使用大数据文件反复擦写、覆盖,即便这种手段也无法绝对保证数据完全无法恢复。

涉及隐私的数据恢复“开锁原则”约束

除了用户需要有一定的安全意识之外,监管机构也该出手了。信息时代,数据的价值越来越高。数据恢复业务本身就比较容易接触到用户的隐私内容,如同开锁一样,使用数据恢复手段造成损失的必须追责。

在开锁行业,全国各地都遵守着几乎相同的管理条例。其中比较鲜明的几点就是:

  • 从业人员必须具有从业资格证,且在公安局备案;
  • 用户要求开锁须出具身份证明,或者在开锁后立即出示身份证明,有可疑开锁行为须立即上报公安机关
  • 开锁企业需要建立相应的开锁资料档案,及时记录开锁信息并通过治安管理信息系统上传

总的来说就是明确了开锁人员资格,以及用户需要证明自己的身份,一旦出现事故可以明确追责,同样给开锁业加上一些积极的约束。这种手段同意能够应用到数据恢复的案例上,目前除了手机回收商、维修商之外,网络上不少网站提供专业的数据恢复软件,基本没有技术门槛,任何人都可以提取出二手手机中的已删除信息。

无论线上线下,提供数据恢复服务的需要专门的从业资格证,对于滥用数据恢复手段大量提取个人信息的行为予以打击。同时用户在寻求数据恢复帮助时需要提供有效证明,证明自己是设备的主人。此外,每一次数据恢复都有必要做一次系统记录上传。对于同一个人使用多次数据恢复业务的需要上报公安机关。

考虑到有不少提供数据恢复软件的,也应该设定一些保护机制,例如每一次数据恢复都需要使用者提供一次身份证明以及设备信息记录。

此外,针对手机厂商而言, 如果售后服务能够提供彻底删除收集数据服务的当然再好不过,以便用户进行二手交易或者回收,减少财产损失。同时对于二手手机回收商以及维修商而言,有必要明确其保障手机内数据安全,规定严格的回收流程,以便发生隐私泄露而有据可循。

公民隐私意识的加强,让二手手机的敏感性越来越明显。既要合理处置旧手机,也要规范二手手机回收,防止违规的数据恢复造成隐私倒卖案例。尽管依然有小偷开锁偷盗行为发生,但开锁业的治安管理条例依然是必需的,提升二手手机处理所有环节的数据安全也需要新的“开锁原则”。

【编辑推荐】

  1. 互联网企业:如何建设数据安全体系?
  2. GDPR正式生效 企业如何建设隐私数据安全防护?
  3. 2018年出国差旅须知:保护个人数据安全的“五项基本原则”
  4. “AI+山石网科”引领云计算数据中心安全的未来——隆重推出业界最高性能云计算数据安全防护平台
  5. 运通汽车集团:加强数据安全保护 开启新零售模式创新
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Web服务安全

Web服务技术是最近几年迅速兴起的一种应用集成技术,而安全问题是影响该技术广泛应用的一个关键因素。这个问题已成为最近几年来国内外研究...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊