即使手机设置了锁屏密码,一样有工具可以轻松进入。此前出现过因手机丢失导致的艳照门,那如果手机里没有艳照,是不是就不需要保护了呢?当然不是!今天我们聊一聊如何防范以暴力手段进入手机带来的隐私泄露风险。
一、大众隐私意识淡薄,触目惊心
根据中关村在线做的一份调查,在17706份有效答卷中,有50.15%的手机未设定锁屏密码,其余的49.85%使用了锁屏密码。可以看到超过一半的人未把隐私安全当回事。
他们可能认为,我手机里没有见不得人的内容,设密码干嘛?一项数据显示,目前电信网络诈骗案件90%以上是违法分子靠掌握公民详细信息进行的精准诈骗。你的通讯录、聊天记录、相册里(虽无艳照),可以透露你的很多信息,如家庭概貌、财富、人口,孩子年龄、容貌、喜好、就读学校、联系方式等。你觉得不算隐私的信息可能很有价值,违法分子对你隐私利用的方式可能超出你想象。说得严重一点,完全可以通过这些信息策划一起儿童绑架案。
那些设置了锁屏密码的人,也并不能高枕无忧,因为有办法可以暴力清除你的锁屏密码。
二、主要破解方法介绍
如果你的锁屏密码足够强大,别人无法进入,可以用如下暴力方法进入手机:
1. 安卓手机
暴力进入安卓手机的方法主要有两种:
第一种:恢复出厂设置。
只需要重启手机,并按几个键,你的手机就可以登录了。但此法你的个人数据同时全部清除,不会导致隐私泄露。
第二种:”刷机精灵”强制清除密码
用电脑通过USB线连接你的手机,用”刷机精灵”软件,可清除你的字符密码、图形密码等。此法可只清密码,不清数据,将导致个人隐私泄露。但此法有前提,即手机必须开启USB调试模式。否则,只能用第一种方法。
2. iPhone手机
针对iPhone的暴力方法有:
第一种:通过iTunes备份档案
借助一个软件,通过iPhone在iTunes的备份档可以找出锁屏密码(为避免有人犯错误,这里不细讲)。此法有一个前提,就是能得到这个备份档,而这个档案存放在你的个人电脑里。
第二种:通过定制Lightning数据线
如果通过iPhone屏幕对iOS锁屏密码进行试错,iOS具有防御机制,当输错6次,会让你等若干分钟后再试,以后只要再错一次,即要求你再等待若干分钟。同时iOS可以设置试错10次,自动销毁用户数据(如图一)。所以这种方式暴力破解可能性较小。但通过定制Lightning数据线,则可以绕过此防御机制,无限次穷举,纯数字密码可以快速暴破。但此法有局限性,它的原理是通过一个触点干扰iOS的正常运行。Apple官方表示,这个触点是不固定的,所以不具通用性,而且普通人很难自己DIY这种线。
图一:iOS设置界面
第三种:黑客专用设备
此法是全球顶级黑客发明的一个黑盒子,通过接入这个盒子可以破解iPhone密码。但这个盒子市面上不好找。
从这三种方法看,iPhone安全性还是比较高的。比较可行的破解方法是第一种。
三、应对措施
通过以上暴力进入手段的分析,对于安卓手机需要防范第二种情况,对于iPhone需要重点防范第一种情况。那具体应该如何操作呢?
1. 安卓手机
(1)第一道防线:设置锁屏密码
这是最基本的要求,但竟有一半人未设置。要做到密码不被轻易猜出,不能设置简单的图形密码,如Z型、L型,圆圈形等。无论是采用指纹、图形、还是面部识别,都要求首先设置锁屏字符密码,在以上解锁方式失败后可以输入此密码进入。此字符密码一定要设置强密码。关于如何设置强密码见本号往期文章《如此设置密码,你的账户分分钟被黑》。
该措施可阻止他人轻松进入手机。
(2)第二道防线:设置sim卡PIN锁
CCTV2《是真的吗》栏目验证了手机丢失后支付宝的钱会丢失(详见http://xw.qq.com/tech/20140315009092/TEC2014031500909200)。原因是可以把sim卡拔插到别的手机上通过”忘记密码”,用你的手机卡接受短信,更改你的密码。
防范方法本公众号前期文章有专门讲解,详见《手机未启此设置,你资金面临大风险》。开启PIN锁后,sim卡插入其他手机需输入PIN码才可用,但PIN码只有你知道,输错3次会锁卡。因此就算进入了你的手机,也无法进行转账或消费业务,或进入你的其他需要密码的账号。
若未启用此设置,即使不能进入你的手机,也可以把sim卡插到自己手机,用你的手机号作为用户名,采用”忘记密码”的方法修改你的密码并登录你的很多账号。
(3)第三道防线:关闭”USB调试模式”
关闭”USB调试模式”,可阻止刷机精灵等软件通过USB线清除你的密码。能采用的方式只能是恢复出厂设置,无法得到隐私数据。方法以华为Mate10为例如下:
进入 “设置->系统->关于手机”,在”关于手机”界面连续点击7次”版本号”(如图二),你输入锁屏密码后,会提示”你正处于开发模式”,此时返回上一级菜单,会多出一项”开发人员选项”,如图三。
图二:关于手机界面
点击”开发人员选项”,进入设置界面,如图四。
图三:开发人员选项
在”开发人员选项”设置界面先关闭下方的”USB调试”,再关闭”开发人员选项”,完成设置。
图四:开发人员选项设置界面
2. iPhone手机
(1)必须设置锁屏密码
同安卓。
(2)采用加密方式同步iTunes备份
加密同步itunes,方法详见:http://support.apple.com/zh-cn/HT205220 。
iTunes备份档案存放位置如下:
XP系统: C:Documents and Settings用户名Application DataApple ComputerMobileSyncBackup
Win7/Win8: C:Users用户名AppDataRoamingApple ComputerMobileSyncBackup
Mac OS: 资源库/Application Support/MobileSyncBackup
(3)锁屏密码和支付密码保持不同
破解安卓的方法是清除密码,清除后破解者并不知道原密码是啥。而iPhone是找到现有密码。如果支付密码和iPhone锁屏密码一样,则资金存在风险。
(4)设置sim卡PIN锁
原因同安卓,见上文,设置方法参见http://support.apple.com/zh-cn/HT201529 。
四、指纹和面部识别,并不安全
锁屏密码主要有字符密码、图像密码、指纹密码、面部识别几种。其实安全性最高的是字符密码,指纹和面部识别看起来很先进,其实并不安全。当你不清醒时(比如醉酒或睡眠时),别人可以用你的指纹和面部轻松进入你的手机,进入手机后就存在各种可能了。所以,如果需要较高安全性,建议采用字符密码,麻烦但安全。