一个帮父母监控孩子手机活动的应用发生了数据泄露,监控软件还有哪些安全隐患?

又一起数据泄露事件发生了。据 ZDnet 报道,青少年手机监控应用 TeenSafe 泄露了数万个父母和孩子的账户。该应用的服务器中至少有一台是由亚马逊的云服务托管的,任何没有密码的人都可以访问,从而获得包括 Apple ID 在内的个人数据。

TeenSafe 自称是一款“安全”的监控应用程序,父母无需征得孩子的同意就可以通过它查看孩子的短信和位置,获取他们的通话记录,访问他们的网页浏览历史,并能获知他们安装了哪些应用。

英国安全研究人员 Robert Wiggins 发现 TeenSafe 两台服务器遭到破坏。在 ZDNet 提醒该公司后,这两台服务器都被关闭,其中另一台服务器似乎只包含测试数据。TeenSafe 的发言人称:“我们已采取行动,关闭了一台向公众开放的服务器,并开始提醒可能会受到影响的客户。

该数据库存储着与 TeenSafe 关联的父母的电子邮件地址,以及孩子的 Apple ID 电子邮件地址。此外还包括孩子的设备名称(通常就是他们的名字),设备的唯一标识符,以及孩子 Apple ID 的明文密码。由于该应用要求关闭双因素身份验证,所以只要有密码的人都可以很容易地访问被破坏的帐户。泄露的数据不包括照片、信息、父母或孩子的位置信息等内容数据。

TeenSafe 称超过一百万家长在使用它们的服务。在服务器下线前的三个月里,约有 10200个账户遭到泄露,尽管这一数字还包括重复账户。

近年来,随着可以追踪儿童、朋友或丢失的手机的数据工具大幅增加,在未经对方同意的情况下追踪他人的情形也在不断增多。这不仅酿成了多起数据泄露事件,还带来了许多安全隐患,其中,最值得关注的隐患之一是,用来对伴侣实施监控进而引发家庭暴力。

亲密伴侣间的暴力影响了美国大约 1/3 女性和 1/6 男性,而技术在亲密伴侣暴力中的起到的威胁作用越来越大。不少家暴受害者手机上被安装了间谍软件,他们的通信、位置和其他数据都被伴侣监控。在最极端的情况下,亲密伴侣监控会导致暴力甚至谋杀。

譬如,在佛罗里达州的一宗涉及虐待性监控的案件中,一名叫路易斯·托莱多(Luis Toledo)的男子 2013 年在妻子的手机上安装了一款名为“短信追踪”(SMS Tracker)的应用,因为他怀疑她有外遇。今年 1 月,托莱多因杀害妻子和她的两个孩子而被判处终身监禁。

最新的学术研究显示,超过 200 款应用和服务为潜在的追踪者提供了各种功能,包括基础的定位追踪和复杂的简讯获取,甚至还能秘密录像。虽然很多软件定位为家长控制、手机定位找回等工具,但实际上它们常被用于监控伴侣。根据研究人员的调查,超过 20 款服务被推广成监控配偶的工具,其中多数都需要获取受害人的手机或者知道对方的密码,而这在家庭关系中是很常见的。

譬如,KidGuard 是一款标榜监督儿童的手机应用,但它同时也针对其他的目的推广自己的监控功能,甚至还撰写了一些类似于《如何查看配偶手机上被删除的简讯》这样的文章。一款名为 mSpy 的类似应用也号称可以帮助女性秘密监控自己的丈夫。Spyzie 应用也在 Google 上投放广告,购买了“监控出轨女友的 iPhone ”以及类似的关键词。

根据美国疾控中心去年发布的数据,美国有 27% 的女性和 11% 的男性曾经被自己的配偶追踪,或者遭受过对方的性暴力或身体暴力。虽然数字追踪的全面数据目前还无法获取,但 2016 年在澳大利亚发布的一份调查发现,有 17% 的受害者遭到 GPS 追踪,其中一些就使用了这类追踪应用。2014 年的一项美国国家公共广播电台( NPR )的问卷调查也显示,在 70 起被调查过的家庭暴力案件中,75% 都涉及施虐者偷偷使用软件来偷听受害人与他人的谈话。

不少间谍软件公司以监控“不忠”的伴侣作为卖点。终结家庭暴力全国联合会的执行副总裁辛迪·索斯沃斯( Cindy Southworth)以一个名叫 HelloSpy 的网站举例道:“在他们那款所谓夫妻追踪软件的宣传图片中,出现了一名被扔下床的女性。” HelloSpy 网站还以一名满脸伤痕的妇女的图片作为宣传。辛迪·索斯沃斯说,“这种对女性的粗俗仇视实在令人厌恶。”

社会活动家、作业安全专家 Elle Armageddon 表示虽然很难确定究竟有多少女性遭受配偶虐待并被间谍软件监控,但这些软件确实可以用来阻止女性或者男性逃离配偶,因为施暴者可以通过间谍软件发现他们的逃跑计划。Armageddon 说:“这些防出轨软件是在牺牲他人的利益为自己牟利,在他们看来,为了做生意,哪怕有些人因此丧命也是可以接受的。”

去年,向对婚姻关系感到紧张的配偶,以及希望追踪子女动向的父母提供隐蔽监视工具的公司 Retina-X 和 FlexiSpy 被黑客入侵。黑客在谈及动机时称:“99% 的被监控者都没有理由被他人如此侵犯隐私。”他称自己反对这样使用间谍软件,不仅是出于道德原因,还因为当这种软件被使用在孩子身上时,能够获取相关数据的不只是孩子的父母,提供监控服务的公司乃至第三方都有可能获得这些信息。

“你不可能是唯一一个在实施监控的人,” 这位黑客补充说,“我希望父母在自己孩子身上使用这类软件之前先好好考虑一下……我想要摧毁这些监控系统,因为我认为这完全就是一种有害软件。”另一黑客则表示:“我觉得他们就是一帮道德沦丧的王八蛋,专门找缺乏安全感的人作猎物,填满自己的腰包。”

最终任何试图通过监控换来“安全”的工具都会带来更多安全隐患。

题图:pixabay

我们做了一个壁纸应用,给你的手机加点好奇心。去 App 商店搜 好奇怪 下载吧。