一种手机信息窃取方式的研究

一、手机信息安全简述

移动通信网络近年来以爆炸性的速度发展着，手机用户数量早已突破了7亿大关，并仍以较快速度增长着。整个移动通信网络在发展过程中，逐渐朝着承载IP化、业务IT化的方向发展。近年来，由于信息安全问题导致用户信息泄漏的问题，在国内外运营商中时有发生，各大运营商对网络的安全问题投入前所未有的关注。

为了保证信息安全，运营商对网络的安全从技术手段到内部流程做了大量细致的工作。然而，目前对信息安全的关注基本停留在对自身网络的关注上，对于移动通信网中数量巨大的手机终端并没有投入太多的关注。

手机终端的发展经历了传统的黑白手机，到彩屏手机、照相手机，再到日益成熟的智能手机，手机终端正朝着多功能化、智能化方向发展。3G网络的迅速建设，为用户提供了更快的上网速度。手机终端智能化和网络的宽带化为多姿多彩的移动互联网业务奠定了坚实的基础。

随着技术的发展，手机终端越来越像互联网中的个人电脑。伴随的移动互联网的不断发展，电脑所遇到的各种病毒、木马、黑客侵入等问题，智能手机终端也渐渐开始面对。而且由于手机终端的个人化特点，一旦被攻击将导致用户重要信息的泄漏，很可能给用户造成重大的损失。

二、手机信息窃取软件简介

在互联网上搜索关键字“手机窃听”、“手机监听”、“手机信息窃取”等，可以搜索到大量的网页。其中不乏制作专业、描述确凿的网站，网站上直接留有手机号码、400号码、公司办公地址、ICP备案号等正规公司信息。这些网站所介绍的手机信息窃取方式中，最流行的是一款称为X卧底的软件。

X卧底软件由泰国的VERVATA公司开发，在国外称为“FlexiSPY”或“Mobilebackup”，被中国商家引进后改称“X卧底”。商家宣传这种软件主要功能是手机防盗、手机信息备份等，但使用者一般真正使用的是其监控他人私密信息的功能。经过笔者对多种X卧底软件的实际调查和亲身使用，看到目前国内该软件已经表现为多个版本、多类变种广泛传播的态势，软件的功能日趋完善。

此外，虽然宣传销售该类软件的网站数量巨大，但并非均能真正提供软件。很多销售者只是利用该软件不能正大光明销售的特点，欺骗购买者渔利。购买该类软件时，受骗上当的人不在少数。

该类软件使用的前提是，要安装软件的手机是一款智能手机，目前该软件支持智能手机各大主流操作系统，如诺基亚Symbian60、Windows Mobile、苹果iPhone、谷歌Android等。笔者使用诺基亚的Symbian60操作系统手机，对几款主流的X卧底软件进行了测试，其功能基本相同，只是注册和查看监控内容的手段有部分不同。软件提供的功能主要包括：

• 环境监听：用主控手机拨打安装了X卧底的手机，在对方完全不知情的情况下通话接通，从而隐秘监听其周围环境声音。
• 通话监听：安装了X卧底的手机主叫或被叫时，在完全不知情的情况下会给主控手机发送短信通知，主控手机拨打安装了X卧底的手机，即可监听该手机与任何电话的语音通话。（需开通三方通话功能）
• 定位追踪：在安装了X卧底的手机上，在对方完全不知情的情况下，上报手机GPS信息或LAC＋CI信息（将记录以短信形式发送到主控手机或上传至后台服务器，主控者可以登陆客户管理平台查询）。通过查询网站输入GPS信息或LAC＋CI信息即可获知被控方在地图上的位置，如果是GPS信息还可以大致看到用户所处的楼层等具体、准确的信息。
• 短信监控：在安装了X卧底的手机上，在对方完全不知情的情况下，该手机每次发出和接收短信记录自动上传至可供用户登陆查询的后台服务器，或将短信所有内容转发至被控手机。
• 通信记录上传：在安装了X卧底的手机上，在对方完全不知情的情况下，将该手机内的通话记录、Email记录等上传至X卧底服务器，这些记录可以登陆用户管理平台查询。
• 换卡通知：安装了X卧底的手机如果更换新的SIM卡，更换之后，该手机会立刻以短信的形式发送新号码至主控手机，其中包括手机IMEI、IMSI、运营商、国家代码、网络ID、LAC、CI等信息。这样用户因怀疑被监控而更换SIM卡，或者到外地后更换SIM卡都会被监控到。

三、X卧底软件原理分析

X卧底软件如何做到在被控手机使用者完全不知情的情况下，窃取相关信息的呢？下面将详细介绍其安装和使用过程，并在此基础上对其作用原理进行分析和研究。

下面描述X卧底软件的安装过程：

1. 下载该软件X卧底.sisx文件，拷贝至手机存储卡。
2. 打开手机功能表，手机存储卡中找到图标为红色小方块的X卧底.sisx文件，点击开始安装，完成安装后重新启动手机。
3. 手机重启后，按*#900900900# 调出软件菜单，输入从X卧底卖家处购买的注册码，将软件激活，否则软件不能使用。激活过程需要连接GPRS网络。除此方式能调出软件菜单外，软件在手机中不可见。
4. 激活成功后，进入Event菜单进行相关设置。选择Delivery Event every，选择多长时间上传一次相关消息至后台服务器。选择Max Number of Event 设置当监控的事件到达多少数量后上传一次相关消息至后台服务器。选择Events to Capture设置要监控的事件类型，包括短信、通话记录、Email等。
5. 然后选择GPS，通过Position update interval设置多长时间上传一次GPS信息至后台服务器。
6. 选择Call，按Number输入欲作为主控方的手机号码。
7. 选择Watch number，输入关心的号码，则所有涉及号码的通话记录都会上传至后台服务器，其他号码则不上传，也可设置全部号码均纳入监控。
8. 按“返回”，按Hide（隐藏），软件全部安装设置完成，在手机各菜单中均找不到软件安装的任何痕迹。
9. 如欲更改相关设置只有两种途径：一种是能拿到被控手机的情况下，可以输入*#激活码#调出相关菜单，进行设置更改；另一种是按照X卧底的短信发送格式，发送特定短信至被控手机，被控手机毫不知情，而相关设置已经更改。如发送<*#10><激活码><主控手机号>即可设置新的主控号码，发送号码是什么无影响。还有的版本使发送“0000111 主控手机号”来进行控制。
10. X卧底提供了复杂而详细的通过短信的方式来进行复杂设置的方法，这就为软件提供了很好的远程操控的性能，使软件功能开关更加灵活，控制更加隐蔽、灵活。如发送<*#20><激活码>，可关闭通话监听功能；发送<*#50><激活码><手机号>，可添加监听该号码的相关通信；发送<*#63><激活码><1><1><10><1,1,1,0>，可设置开始捕捉=是，计时=1小时，事件最大量=10，要捕捉的事件为=手机短信，通话记录，电子邮件，定位关闭；发送<*#147258><激活码>，可将被控手机重启；发送<*#73><激活码><第一关键字><第二关键字>，表示当手机短信包含第一或者第二个关键字，短信将被自动删除。此外，还提供可安装在主控手机上的control软件，方便的实现各项控制功能，免去记忆各种代码的麻烦。还有的版本是通过发送“0000xxx”等各类短信来进行控制，这里不再赘述。
11. 值得一提的是，有的卖家为了让使用者放心购买，还提供了试用版本。这种试用版本的软件不需要激活，但需绑定手机的IMEI，其他手机上不能安装。而且安装了以后，会在屏幕上方显示一个红条，提示安装了监控软件，所以不能正常使用。试用者待试用成功后，再付款购买正常版本。可见该软件的功能已经臻于完善了。

下面开始分析各项功能实现的原理，具体过程如下：

1. 环境监听功能测试及原理分析：用主控手机拨打安装了X卧底的手机，被控手机没有任何反应，两手机通话正常建立起来，主控手机端可以听到被控手机周围的环境声音，主控手机接通后马上选择静音，被控手机听不到任何声音的情况下被监听。分析其原理可见，被控手机上的X卧底软件侵入了手机操作系统，从而使主控手机号码打来的电话在无任何提示的情况下自动接通，从而实现了环境监听功能。此外，监听过程中如被控手机有任何操作，通话马上挂断，不影响被控手机的正常操作，被控方不会有任何感觉。另外，如果被控手机没有开通来电显示，该功能不能使用。
2. 通话监听功能测试及原理分析：安装了X卧底的手机做主叫或被叫时，会立刻给主控手机发送短信通知。短信内容包括被控手机正在与哪个号码通信，是主叫还是被叫。在被控手机开通三方通话功能的情况下，主控手机拨打被控手机，即可监听该手机的通话。主控手机需要在接通后立刻选择静音，被控手机通话双方基本没有任何感觉。分析其原理可见，被控手机上的X卧底软件侵入了手机操作系统，从而使主控手机打来的电话在无任何提示的情况下自动接入三方通话，从而实现了通话监听功能。此外，监听过程中如被控手机有任何操作，通话立刻挂断，不影响被控手机的正常操作，被控方不会有任何感觉。同样，如果被控手机没有开通来电显示，该功能不能使用。
3. 定位追踪功能测试及原理分析：安装了X卧底的手机，在被设定的时间点或接收到相应指令后，上报手机GPS信息或LAC＋CI信息（取决于此时被控手机的GPS信号是否可用），并将记录自动上传至后台服务器或将记录以短信形式发送到主控手机。通过查询地图网站（如www.anttna.com等）输入GPS信息或LAC＋CI信息即可获知被控方在地图上的位置，如果是GPS信息还可以从卫星地图上大致看到用户所处的楼层等详细、准确的信息。如果被控手机不断上报位置信息，还可以在后台服务器上看到其大致的活动轨迹。分析其原理可见，被控手机上的X卧底软件与手机的相应模块建立了调用关系，从而取得了所需信息，再通过GPRS、短信的方式发送出去，使主控者得到该信息。
4. 短信监控功能测试及原理分析：在安装了X卧底的手机上，该手机每次发出和接收短信记录自动上传至可供用户登陆查询的后台服务器，或将短信所有内容转发至主控手机。分析其原理可见，被控手机上的X卧底软件与手机的短信收发等模块建立了调用关系，从而取得了所需信息，再通过GPRS、短信的方式发送出去，使主控者得到该信息。
5. 通信记录上传功能测试及原理分析：在安装了X卧底的手机上，在对方完全不知情的情况下，将该手机内的电话本、通话记录、短信记录、Email记录等上传至后台服务器，这些记录可以在登陆用户管理平台后查询。分析其原理可见，被控手机上的X卧底软件与手机的相关模块建立了调用关系，从而取得了所需信息，再通过GPRS的方式发送到指定网站，使主控者得到该信息。
6. 换卡通知功能测试及原理分析：安装了X卧底的手机如果更换新的SIM卡，更换之后，该手机会立刻以短信的形式发送新号码至主控手机，其中包括手机IMEI、IMSI、运营商、国家代码、网络ID、LAC、CI等信息。这样用户因怀疑被监控而更换SIM卡，或者到外地后更换SIM卡都会被监控。分析其原理可见，被控手机上的X卧底软件与手机的相关模块建立了调用关系，从而取得了所需信息，导致被控方换卡都不能摆脱监控。

由以上的安装和使用过程，可以看到X卧底软件功能非常完善，可以在被控者毫无知觉的情况下，窃取使用者的众多信息。经过以上的分析可以看到，该软件的工作原理就是给手机操作系统植入了一个功能强大的木马程序，该木马程序控制手机后完成所有的信息窃取过程。

四、X卧底软件应对策略

对运营商来说，客户信息泄漏事件非常敏感，为了保证信息安全，运营商对网络的安全从技术手段到内部流程做了大量细致的工作。然而，所有的工作基本停留在对自身网络的关注上，对于用户手中数量巨大的手机终端并没有投入太多的关注。

X卧底软件对运营商的影响主要有以下几个方面：

1. 不明原理的用户会认为移动公司泄漏了通信信息而不是手机出卖了自己，从而导致大量用户投诉和对公司形象的负面影响。固然运营商内部存在少数人为的泄漏问题，但不可否认，在X卧底软件日益猖獗的情况下，大量客户信息泄漏都是客户终端被安装X卧底类程序造成的。
2. X卧底软件的出现，会使客户产生对通信可靠性、保密性的质疑，进而影响对中国移动品牌的信赖，降低客户忠诚度，最终导致用户流失。
3. X卧底软件的使用会造成用户通信费用异常，如用户不能发现真实原因，会对计费的准确性产生怀疑，影响公司品牌。

使用信令监测系统分析24小时内的部分数据，可看到近20个山西移动用户被安装了X卧底软件。可见，如何遏制该类软件的发展，切断其作用流程、链条就成为运营商迫切需要解决的问题。

解决该问题可以从运营商网络和用户终端两个方面考虑。从运营商网络考虑主要有以下解决方案：

1. 开发主动监测平台：一方面对CMNET进行监控，对疑似中毒用户进行提醒，确认用户有问题后，通知用户到专门机构检验手机是否安装了X卧底软件，从而保护用户的权益不受侵犯。另一方面，远期目标是开发基于远程检测杀毒的平台，对使用智能手机的用户提供检测杀毒服务。基于智能手机的病毒、恶意软件，今后会越来越多，仅靠用户防范不现实。运营商提供相关服务后，既可以保证用户的正常使用，又可以提升品牌吸引力，提升企业形象。
2. 封堵X卧底软件的激活网站、后台服务器网站：安装X卧底需要手机连接GPRS网络，使用过程中也需要连接网络，以上传通话记录、短信内容、位置信息等至后台服务器，以供主控者登陆查询。那么，将X卧底软件使用的网站从CMNET侧封堵，即可使该软件不能正常注册，也就无法使用了。正在使用的手机，因为无法上传信息至后台服务器，大部分功能就被封堵了。经过信令跟踪，显示X卧底软件激活时，连接的网站为http://00mobile001.com/t4l-mcli/cmd/productactivate（IP地址为173.192.193.112）。软件使用时，上传信息的网站为http://00mobile001.com/。后台登陆网站为www.mobilebackup.biz（IP地址为173.192.193.106）、www.woai007.net（IP地址为173.192.193.204）。实践证明，在CMNET省网出口路由器上封堵其后台服务器IP后，可以看到相关信息不能上传后台服务器了。当然，这只是一个临时性的解决方法，X卧底软件更换上传IP地址后就可以继续使用了。
3. 封堵X卧底软件的销售网站：目前，国内销售X卧底软件的网站多如牛毛，如：www.xwodi8.com，www.xwodi.org.cn，www.xwodi.ac.cn，www.luan008.com，www.flexispy.com，www.xwodi521.com等，将该类型网站从CMNET侧进行封堵，即可防止用户找到该网站进行购买。当然，这需要各家运营商共同操作，才能真正起作用。
4. 从短信网关对控制指令进行过滤：由于使用X卧底软件常常需要发送一些特定的短信，对被控手机进行一些设置操作，所以可以提取控制指令的关键字，在短信网关进行过滤，防止其发送到被控手机上。这样就可以封堵X卧底软件的很多功能。目前，X卧底软件使用的关键字主要包括0000xxx，<*#xx><xxxxxxxxxxx>等。

从用户侧考虑主要有以下解决方案：

1. 防止手机被人暗中操作：目前来看，X卧底软件安装的过程都需要拿到被控的手机，采用数据线、蓝牙等手段将软件拷贝到手机上。很多网站宣传的通过彩信的方式自动安装的方法都是骗人的，不能实际成立。该软件需要几百KB的空间存储，而彩信只有几十KB，在实际调查中也发现了很多骗子在这样骗钱。所以，如果用户想避免被安装软件，就要防止自己的手机被人暗中操作。
2. 留意手机话单：安装X卧底软件后，当用户发送短信、拨打电话后会有上网操作。查询手机话单，当遇到短信话单或通话话单后直接跟着GPRS话单的情况，仔细回忆当时是否真的有操作。此外，关注是否有被叫话单是确实没有接过电话的情况下产生的，关注自己是否在不知情的情况下被开通了三方通话的功能。通过关注此类问题，即可发现自己的手机是否被安装了X卧底软件。
3. 安装手机杀毒软件：目前，已有多家公司推出了针对各类手机病毒、木马的杀毒软件，如网秦、360等，通过安装此类软件即可检测到手机是否被安装了木马、病毒软件。

从以上的网络和用户终端两侧共同制订措施，基本可以做到切断X卧底软件作用的链条，达到遏制其对用户威胁的目的。问题涉及网络、终端、服务等各方面，解决问题需要网络部、计划部、市场部、网管中心、计费中心、终端公司共同参与，建立跨部门的团队推动解决。只有这样多方共同努力，才能为用户营造一个安全可靠的通信环境。

五、结论

手机，已经成为人们最基本的通讯工具，随着手机不断的发展，从最初功能简单的黑白屏手机发展到了如今的多媒体智能手机，可以说手机每年都发生着重大的变化。智能手机的普及，方便了人们在移动的时候可以处理更多的事件，例如邮件，上网等。智能手机有着非常好的扩展性和开放性，可以自由安装软件来增加某种功能。

和电脑相比，手机与用户距离更近，使用的时间更长。近年来，智能手机的性能得到快速的提升，手机软件从数量到内容都呈现快速增长。这种状况一方面给使用者带来了诸多便利，但同时也给了不良软件可乘之机，用户手机的信息安全面临前所未有的威胁。

可以说，计算机互联网的今天就是移动互联网的明天。电脑上需要安装的防病毒软件、防火墙软件，以后一定会变成智能手机必备的软件。原因在于，计算机互联网是虚拟的，对很多人来说丢失一些信息、帐号、密码并不一定会造成多大的损失，而移动互联网却实实在在的包含着用户的众多真实信息，一旦泄漏了手机的重要信息，很容易给用户造成重大损失。这就需要电信运营商和手机软件商采取必要的手段，共同为用户营造一个安全的移动互联网环境。

武晓华