来自纽约和圣地亚哥的一组计算机科学家表示，允许人们相互监视的智能手机间谍软件应用程序不仅难以发现和检测，而且很容易泄露他们收集的敏感个人信息。

虽然公开销售的间谍软件应用程序是作为监视未成年子女和雇员使用其雇主设备的工具，但滥用者也经常使用间谍软件应用程序暗中监视配偶或伴侣。 这些应用程序几乎不需要滥用者的技术专长； 提供详细的安装说明； 并且只需要临时访问受害者的设备。 安装后，它们会秘密记录受害者的设备活动——包括任何短信、电子邮件、照片或语音通话——并允许滥用者通过门户网站远程查看这些信息。

间谍软件已成为一个日益严重的问题。 在诺顿实验室最近的一项研究中，从 2020 年 9 月到 2021 年 5 月，美国装有间谍软件应用程序的设备数量增加了 63%。英国 Avast 的一份类似报告记录了间谍软件的使用惊人地增加了 93% 相似时期内的应用程序。

研究团队表示，如果你想知道你的设备是否已被这些应用程序之一感染，你应该检查你的隐私仪表板和设置中所有应用程序的列表。

“这是一个现实生活中的问题，我们希望提高从受害者到研究社区的每个人的意识。”论文的第一作者 Enze Liu 说，“间谍之间没有隐私：评估消费者 Android 间谍软件应用程序的功能和不安全性” 和计算机科学博士学位。 加州大学圣地亚哥分校的学生。

Liu 和研究团队将于 2023 年夏季在瑞士苏黎世举行的隐私增强技术研讨会上展示他们的工作。

研究人员对适用于 Android 手机的 14 种主要间谍软件应用程序进行了深入的技术分析。 虽然谷歌不允许在其 Google Play 应用商店中销售此类应用，但安卓手机通常允许通过网络单独下载此类侵入性应用。 相比之下，iPhone 不允许这种“侧面加载”，因此该平台上的消费者间谍软件应用程序的功能往往更加有限且侵入性更小。

Androip 手机上的这个应用程序启动器显示应用程序图标：Spyhuman 应用程序将自己安装为看似无害的 WiFi 图标。

什么是间谍软件应用程序？

间谍软件应用程序偷偷在设备上运行，通常是在设备所有者不知情的情况下。 他们收集一系列敏感信息，例如位置、短信和电话，以及音频和视频。 一些应用程序甚至可以流式传输实时音频和视频。 所有这些信息都通过在线间谍软件门户传送给滥用者。

间谍软件应用程序直接面向公众销售，价格相对便宜——通常每月 30 到 100 美元。 它们很容易安装在智能手机上，无需专业知识即可部署或操作。 但用户需要对目标设备具有临时物理访问权限，并且能够安装不在预先批准的应用商店中的应用。

间谍软件应用程序如何收集数据？

研究人员发现，间谍软件应用程序使用多种技术秘密记录数据。 例如，一个应用程序使用一个不可见的浏览器，可以将实时视频从设备的摄像头流式传输到间谍软件服务器。 应用程序还能够通过设备的麦克风录制电话，有时会激活扬声器功能，以期捕捉对话者的谈话内容。

一些应用程序还利用智能手机上的辅助功能，旨在为视力受损的用户阅读屏幕上显示的内容。 例如，在 Android 上，这些功能实际上允许间谍软件记录击键。

研究人员还发现了应用程序用来隐藏目标设备的几种方法。

例如，应用程序可以指定它们在最初打开时不出现在启动栏中。 应用程序图标还伪装成“Wi-Fi”或“Internet 服务”。

其中四个间谍软件应用程序通过 SMS 消息接受命令。 研究人员分析的两个应用程序没有检查短信是否来自他们的客户端并执行了命令。 一个应用程序甚至可以执行可以远程擦除受害者手机的命令。

数据安全漏洞

研究人员还调查了间谍软件应用程序对他们收集的敏感用户数据的保护程度。 简短的回答是：不是很认真。 一些间谍软件应用程序使用未加密的通信渠道来传输他们收集的数据，例如照片、文本和位置。 研究人员研究的 14 人中只有 4 人这样做。

该数据还包括购买该应用程序的人的登录凭据。 其他人可以通过 WiFi 轻松获取所有这些信息。

在研究人员分析的大多数应用程序中，相同的数据存储在任何知道链接的人都可以访问的公共 URL 中。 此外，在某些情况下，用户数据存储在可预测的 URL 中，只需切换掉 URL 中的几个字符，就可以跨多个帐户访问数据。 在一个例子中，研究人员发现了一个领先的间谍软件服务中的身份验证漏洞，该漏洞允许任何一方访问每个帐户的所有数据。

此外，许多这些应用程序在没有客户合同的情况下或在客户停止使用它们之后保留敏感数据。 在所研究的 14 个应用程序中，有四个不会从间谍软件服务器中删除数据，即使用户删除了他们的帐户或应用程序的许可证已过期。 一个应用程序在免费试用期间从受害者那里获取数据，但只有在他们支付订阅费用后才会向施虐者提供这些数据。 如果施虐者没有获得订阅，该应用程序无论如何都会保留数据。

如何对抗间谍软件

“我们的建议是，Android 应该对哪些应用程序可以隐藏图标执行更严格的要求。”研究人员写道。 “应该要求大多数在 Android 手机上运行的应用程序都有一个图标，该图标会出现在启动栏中。”

研究人员还发现，许多间谍软件应用程序拒绝卸载它们的尝试。 有些还会在被 Android 系统停止或设备重启后自动重启。

“我们建议添加一个仪表板来监控自动启动的应用程序。”研究人员写道。

为了对抗间谍软件，Android 设备使用了多种方法，包括向用户显示一个可见的指示器，当应用程序正在使用麦克风或摄像头时，该指示器无法关闭。 但是这些方法可能由于各种原因而失败。 例如，设备的合法使用也可以触发麦克风或摄像头的指示器。

“相反，我们建议将访问敏感数据的所有操作添加到隐私仪表板，并且应定期通知用户存在具有过多权限的应用程序。”研究人员写道。

披露、保障措施和后续步骤

研究人员向所有受影响的应用程序供应商披露了他们的所有发现。 截至该论文发表之日，没有人回复披露的内容。

为了避免滥用他们开发的代码，研究人员只会应要求向能够证明他们对其有合法用途的用户提供他们的工作。

未来的工作将在纽约大学继续进行，由加州大学圣地亚哥分校的副教授 Damon McCoy 领导。 校友。 许多间谍软件应用程序似乎是在中国和巴西开发的，因此需要进一步研究允许它们在这些国家/地区之外安装的供应链。

研究人员写道：“所有这些挑战都凸显了行业、政府和研究界需要更有创意、更多样化和更全面的干预措施。” “虽然技术防御可以成为解决方案的一部分，但问题范围要大得多。 应考虑采取更广泛的措施，包括 Visa 和 Paypal 等公司的支付干预、政府的定期打击，以及可能还需要采取进一步的执法行动，以防止监控成为一种消费品。”

这项工作部分由国家科学基金会资助，并得到加州大学圣地亚哥分校网络系统中心的运营支持。

间谍之间没有隐私：评估消费者 Android 间谍软件应用程序的功能和不安全性

注：本文由院校官方新闻直译，仅供参考，不代表指南者留学态度观点。