没有任何隐私：商业监控APP

篇首语：说了那么多偷拍、空口监听的技术与设备，有朋友留言问：总感觉自己的行踪被人掌握，是不是有什么能够监控微信、QQ、通话记录的东西？有肯定是有滴，一些政府级制式设备杨叔就不提了，倒是可以聊聊智能手机上的商业监控APP，有些功能应该说远超大多数吃瓜群众的想象。

0x01 商业监控APP：一把双刃剑

所谓商业监控APP，这是委婉点的说法，直接的说，这就是一种间谍类手机跟踪应用程序，专为监视儿童、亲人及员工设计。一旦安装在手机上，就可以跟踪及记录目标人员在该手机设备上的任何操作，包括短信、通话、GPS定位、电子邮件、短信、各类主流聊天工具（如Skype、Facebook、WhatsApp…以及微信）、上网记录，甚至照片、视频等。

在美国，这样一款商业监控APP，最便宜的一年使用费用换算下来也就400元人民币左右，所以很多对子女安全特别在意的家长就会私下购买并安装到子女的手机里。但由于产品商家并不关心使用者的身份，所以也就导致了该类型软件同样可以用于公司员工行为审计、婚外调查、商业竞争、上市公司内斗、恶意钓鱼、非法监控、尾行跟踪等等……咳咳。

虽然说市场有需求就有存在的价值，不过如何掌控这把双刃剑，就完全取决于使用方。所以，对于大多数人而言，先了解并学习识别及如何防护此类软件，才是尤为重要的。

0x02 匪夷所思的实时数据监控

首先需要说明的是，此类APP都要求目标手机必须开启数据流量，因为需要在后台上传压缩数据到云服务器上，监控者直接登录到指定的云服务器上就可以查看实时监控数据记录。杨叔直接带大家看看监控效果，下面就以美国的某商业监控APP为例（嘿嘿，比国内某些仿款不知道高到哪里去）。

首先就是云平台的登录界面，可以清晰地看到手机设备的IMEI串码（具备全球唯一性）、设备OS版本是Android 4.12.0，当前电量27%，WiFi是开启的，GPS也已经开启。

所有的来电去电以及通话时间，灰常详细。所以说，你以为和隔壁老王打完电话后，删除本地通话记录就人不知鬼不觉了？

同样滴，灰常详细。别跟杨叔说短信没用，别的不说，光看看银行消费短信就可以知道一个人的消费习惯和每月支出与收入……甚至包括酒店开房的消费记录，额，我是不是说多了？

下面就以微信为例。What？你不知道？在国外，微信就是WeChat。

目前支持的全球主流聊天工具列表如下图所示，基本上涵盖了使用人群最大的所有工具，咦，对啊，怎么没有日本的Line？

此外，监控者可以轻松浏览目标手机里的图片（均已被后台上传至云服务器上），甚至还可以查看视频等。

最夸张的是，连最新的自拍照片都可以通过图片的实时更新获取到，这样就可以直接获知手机机主的当前活动，如下图，明显女主角正在参加趴体，可怕…..洗澡时喜欢自拍的童鞋们要注意了，对，特别是某些过度自恋的男童鞋。

0x03 定位与地理围栏

显然，出于监控考虑，可能很多人更关注实时定位的效果，下图是GPS实时定位及历史停留位置路径显示，该项主要用于跟踪个人生活及工作的主要路线习惯。

有意思的是，该App可以根据监控者的需求，设定一个区域定义，在到达该区域时就发出特别提示，这个和警方现在使用的基于基站原理的“IMSI电子围栏”功能很像，当然，由于这个功能是基于GPS定位数据的，所以该功能也被称之为Geo Fencing，即“地理围栏”。下图中左侧定义了上班、家里和两个被禁止去的俱乐部Club（红色禁止区域），只要该手机到达该区域就会引发特定告警通知监控方，哈哈哈，这个示例很显然会受到妻管严式家庭的欢迎。其实这个防范起来也很简单，不过……杨叔为什么要说出来？

0x04 无语的杀毒软件

很遗憾，由于大部分商业监控软件都拿到了合法的软件证书授权，加上其它一些原因，大多数杀毒软件并不会对商业监控App告警，除非这些APP的某些行为触发了底层的安全定义，才会产生可疑行为或者防火墙的报警。

不过，依靠手动检查的识别对于大多数人还是有些难度的，所以，在手机上安装多款杀毒软件会是个好办法。为了确保手机安全，杨叔建议安装2款手机杀毒软件会比较好，比如一款国产+一款国外的。杨叔推荐“手机管家”+俄罗斯“Dr.WEB大蜘蛛”移动版，前者是免费的，后者正版的年使用费也就8元，性价比很高。

说到这里，杨叔突然想起在3、4年前参加北京的某个大型安全会议做演讲，演讲完后台下有人提问：如何彻底避免手机木马病毒的侵害？……杨叔当时就很无语：什么叫彻底避免？好像全中国的安全公司也没人敢说自己能做到100%的防御吧？大数据建模+事前研究+事中升级+事后应急才是大公司的主要策略…..杨叔想了想才回答：“良好的安全习惯+多款杀毒软件，基本上就可以避免95%以上的安全威胁，剩下的就是若是特定环境或者有人刻意针对，那就不好说了。”……事后得知这位还是某政府部门负责人，呵呵，绩效压力大了吧？

0x05 如何预防

复杂的杨叔会放到课程中说，不过简单而言，由于这类监控App在安装时需要获取大量的系统读取权限，肯定会弹出权限方面的提示，所以对于大多数人而言，预防此类APP的最直接方法就一个：

如果某些原因不得不借的话，最好自己在旁边看着对方操作，以防止有人恶意安装第三方程序。若是手机需要大修，那还是提前备份重要资料、删除敏感照片会比较好。

还记得地铁里有人拿着二维码求人扫描下载安装APP的情形么？虽然有些时候的确会有长相甜美的女孩几走来邀请……恩，看完本篇，剩下的事情你自己决定……那些最终被骗财骗色的不要来找杨叔。

杨叔所在RC²反窃密实验室的“现代商业安全”实训课程，近期已推出的面向企业的Level 1&2  商业内训课程（点击查看），尤其受到金融行业和上市公司的好评。

为了满足更多读者和朋友们的需求，7月中下旬到8月初我们将推出面向个人的线下系列“研习课”，目前计划城市包括上海、深圳、广州、北京等，有需求感兴趣的朋友欢迎留言预约（记得注明城市，会有惊喜哦）：

•  当前国内外面临商业安全形势

•  现代商业窃密技术的发展与案例

•  常见偷窥/窃听/跟踪器材识别与自查

•  旅行/出差/酒店个人隐私保护

•  通信协作法案与通信安全威胁

•  车辆跟踪器识别与检查要点

•  复杂密码设定经验与暗语技巧

•  了解WiFi主流+非主流攻击与窃密技术

• 了解物理安全要点及自我安保意识培养

• ……

——————————————————————-

只做有趣的研究，只做原创，且不限于技术

一切不基于红包的非授权转载都是耍流氓:）

——————————————————————-

长按二维码，关注公众号，翻看更多内幕：

商业反窃密、隐私保护、通信监听、海外情报、CrimeBreak犯罪防御、无线安全研究……更多干货点这里：）

本文始发于微信公众号（全频带阻塞干扰）：没有任何隐私：商业监控APP