小红在家里的枕头上发现一根比自己头发要长很多的的头发丝,心下一慌,有鬼。
深夜,老公已经熟睡,小红偷偷摸摸爬起来,拿着老公的手指解锁了他的手机。最近,老公的微信里添加了几个陌生妹子,但是他居然把聊天记录删得一干二净。
小红不甘心,想追查真相,于是,她偷偷往老公手机安装了一个监控软件,自此老公的短信、电话、相册,甚至是谈话都被小红一手掌控。
这并不是一个虚构的故事。雷锋网宅客频道编辑了解到,泰国的 Vervata 公司所提供的 FlexiSpy 软件,专门安装在手机、电脑上用来偷偷把手机里的通联记录和短信寄到指定的电子邮件帐户,用来监视配偶是否外遇,或是小孩的交友情况。
尤其,FlexiSpy 前期主打的宣传就是“抓小三”功能。这款软件号称是世界最强的监控软件颇受争议,也被一些安全公司视为木马间谍程序。
首先,我们本着批判性的精神先来看看这个软件有多逆天。
号称无所不能的监控软件
为什么被黑的不是别的监控软件?它一定是有“过人之处”,内含强大的价值。
雷锋网编辑为此登陆了 FlexiSpy 软件的官网,没想到映入眼帘的是一个全中文界面——有没有搞错?这可是一家在泰国开展业务的公司。
结果,编辑还发现,这个官网支持11种语言,包括中文、英语、德语、法语、阿拉伯语、葡萄牙语、韩语等,看来它的客户覆盖全球,小三遍地跑。
在首页上,最醒目的一栏宣传语是:世界上最权威的电脑、手机和平板电脑的监控软件,它提供的服务含括:监控所有手机的数码和音频通讯信息,监控所有电脑&Mac用户的活动,支持安卓、苹果、iPad、PC 和 Mac,比其它任何任何软件的功能更多、更强大,退款保证,安装服务(后两项是什么鬼?)
FlexiSpy 打出的旗号是,有150多种神奇的功能,帮你“了解真相”“保护儿童”和“监控员工”。看到首页列举的几项功能,雷锋网编辑惊呆了。
1.用社交软件,被捉
“亲爱的,今天想我吗?”老公给神秘的姑娘发了一条短信。
小红看到了,发现这事并不简单。
2.打电话,被捉+1
老公在厕所呆了很久。
小红发现,老公打了一通神秘电话,于是调出了这个通话记录。
3.发短信,被捉+1+1
老公:亲爱的,聊天软件似乎不太安全,我们发短信吧。
小红微微一笑。
4.和情人酒店约会,被捉+1+1+1
老公:亲爱的,最近我老婆查得紧,我终于出来了,呜呜呜(一个酒店房间内,小明抱紧了情人)
小红远程听到了房间发生的一切。
5.谎称去加班,被捉+1+1+1+1
老公:老婆,我去办公室加班。
小红发现老公去了某酒店。
6.终极大招,手机不再是你的私人物品
这时,老公突然发现,自己怎么说啥老婆都知道呢?
小红内心微微一笑:你的手机,是我的终极武器。
事实上,应该没有人有小红这样强大的忍耐力。在 FlexiSpy 的官网上,有一则宣传语再次刷新了编辑的眼界——“一位职业私人侦探告诉您为什么使用和如何使用 FlexiSPY,他非常喜欢的功能及更多”,这意味着,这已经成为了一个专业“作案工具”。
最搞笑的是,该官网还“贴心”地表示,除了私家侦探,还有来自一线使用者的用户真实评价,并喜大普奔地告诉大家,现在不仅支持监控安卓机,连苹果手机也可以监控了。而在购买那一项,雷锋网发现,除了支持各种“正常”支付手段,还有隐秘的比特币支付——在赛博世界中,我们通常无法最终追踪到购买者的真实身份。
所以,如果这些功能都能如它的官方“宣传”一样,那么,可获得的隐私信息的纵深度和丰富度可想可知,被“黑”的价值也就存在了。
在付款阶段,该官网称:
购买者需要亲自拿到目标手机;
苹果手机必须要先越狱,安卓手机根据所需功能而决定是否应该取得超级用户权限;
请点击查看,目标手机是否适用软件。
一个匿名的网络安全圈资深安全专家提醒雷锋网,该官网上有这么一段介绍:“请使用 FlexiSPY 的安装服务来帮您安装软件,我们为您越狱苹果手机、破解安卓手机、安装软件及更多……”
该匿名人士认为,这种软件的机制可以理解成先破解手机系统,然后安装软件,获得一切需要的权限。
这意味着,只有最亲密的人,例如,伴侣、父母、老板可以拿到你的设备。
据公开资料显示,当安装这种软件之后,它不会出现在系统桌面上,因此被监视者无法知道自己的手机上安装了该款软件。平时,被监视者无法看到该软件,只有当该间谍软件的购买者在该手机上输入一个特殊的序列密码才可以将软件从后台“呼唤”出来。而且,监听者可以在远程用另一台手机控制该台已经装了监听软件的手机,随时让将被监听者周围的声音实时地传递到监听者处。一旦该软件处于激活状态,所有的语音来电和短消息将被监听。监听的内容会通过网络传递到某个远端服务器。
【监听者的操作界面,该截图为 FlexiSpy 官网在demo 中,演示的设备信息界面,所有电话号码和信息设备码为演示而虚构。】
【监听者的操作界面,该截图为 FlexiSpy 官网在demo 中,演示的最近定位截图,所有信息为虚构】
购买者会获得一个账号和密码,使用任何一台可以上网的电脑登录 FlexiSPY 服务器上的用户管理网站,就可以查看安装了该软件的目标手机中捕获的定位信息、通话记录、短信内容记录、电子邮件记录等。并且可以对这些记录进行下载、删除操作。
看来,一旦手机、平板电脑、电脑被最亲密的人拿到,即使对方只是谎称帮你去贴个膜,都可能被安装这种软件,而你却一无所知。
雷锋网检索到,其实,早在2011年,这款软件就曾化身“X卧底”窃听手机信息,而且“X卧底”还曾在某宝被售卖。当然,雷锋网编辑现在在某宝搜索“X卧底”时,已经不能检索到相关信息。
国家计算机病毒应急处理中心在 2012 年曾通过监测发现 FlexiSpy 出现新变种。当时,新华网的相关报道中称,国家计算机病毒应急处理中心建议广大手机用户采取如下防范措施:已经感染该变种的手机用户建议立即升级手机中的防病毒软件,进行全面杀毒。未感染用户建议打开防病毒软件的“实时监控”功能,第一时间监控未知病毒的入侵活动,达到全方位保护手机操作系统安全的目的。
2011年,还有一家厂商在公开报道中指出:
XX 手机安全专家在接受记者采访时表示:X卧底功能虽然看似很强,但其实工作原理并不复杂,而且安装必须具备“获得用户手机”或必须“受害者主动点击安装”这一苛刻条件,与一般通过短信和网络传播的手机恶意程序相比其传播性不强,而且目前 XX 卫士已经可以首家查杀“X卧底”。
这意味着,确有杀毒软件可以抵挡住它。但是,不要高兴太早,上述匿名专家提醒“一般这种 spyware 都是有对抗性的,即使被查杀也会去对抗升级”。
况且,6年已经过去, 想必 FlexiSpy 的变种不胜枚举,人家的官网还存活得好好的,而且把业务拓展到了苹果、iPad、PC 和 Mac。由此可以推断,至少在一段时间内,守方处于被动地位,一些人依然能够通过 FlexiSpy 开展“抓小三”“看孩子”“监控员工”。
还有一个致命的诱惑是,在最低 68美元包月、149美元包年的低门槛下,你或者你的身边人真的不会动心来试一试吗?
也许,伴侣是忠诚的,但是你转念一想:我也许、可能、只是想了解一下他?
你再看一眼初级版和进阶版价格和服务,初级版可以拿到各类位置、照片、通话记录等,进阶版服务可以监听和记录通话内容,控制麦克风和摄像头,甚至还有恶搞工具。内心的小恶魔真的不会蹦出来吗?
【官网截图】
4 月 24 日,被压迫的人们站了起来——在 GitHub上,FlexiSpy 被黑后的相关源码、编译文档等被披露。雷锋网发现,著名黑客余弦在其公号“懒人在思考”上最早推送了 FlexiSPY 被黑的这一消息。余弦随后在朋友圈推文称“不知道中国哪家公司的员工被安装了 FlexiSPY 啊,这监控奇葩了。如果你安卓手机目录下发现这个日志文件:/data/misc/dm/fx.log,那,恭喜你,被监控了...”(雷锋网已获得余弦授权发布该推文。)
可见,在我们的生活和工作中,虽然在主动防御,却也可能被动被监控。
雷锋网注意到,曝光这一间谍软件的源代码的是一名叫“ flexidie ”的 GitHub 用户。该匿名专家也和雷锋网初步确认,这一用户可能就是黑掉 FlexiSpy 的黑客。在推特上,雷锋网找到了这一用户,这个黑客还链接了外媒 motherboard 关于此事的报道。
据该文称,motherboard 获得了黑客提供的关于 FlexiSpy 的破解资料。2004年,一家名为 Vervata 的公司成立,这家公司为个人和技术公司提供标准的移动应用程序开发和咨询服务。
2005年,上述公司的任务是制作一个消息传递程序,允许用户同时与雅虎、谷歌和 MSN 聊天进行通信。2007年,Vervata 由于这些合同一跃成为研发条码扫描应用的公司。 但是,2006 年,该公司被要求研发监控软件样本, FlexiSpy 于是在同一年创建。
这两家公司之间有着“诡异”的联系,首先,这两家公司的老板是同一人。
据 FlexiSpy 的内部资料介绍,FlexiSpy 发布了第一款适用于 Symbian 的监控软件,启动了一个全新的行业”,任何人都可以监控目标设备上的短信内容和通话记录,只要他们可以访问手机,即可安装恶意软件。BlackBerry 和Windows设备的其他软件迅速跟上,然后就到了 iPhone上。虽然, Vervata 与 FlexiSpy 是分开的,但两者在很大程度上是相同的实体。 一名匿名的前 FlexiSpy 雇员对motherboard 表示,其实就是在泰国造这种非法软件。(节选翻译自外媒 motherboard 关于此事的报道。)
到 2009 年,就有超过 9000 人订阅 了 FlexiSpy 的邮件列表,以接收新产品的更新。FlexiSpy 的恶意软件并不限于一家公司。相反,该公司提供经销商计划,允许其他人自己出售 FlexiSpy 的产品。根据 FlexiSpy 内部的电子表格,这个经销商计划遍布全球,在以色列、印度、美国、巴西、尼日利亚、希腊和阿根廷都有客户。
而且,这家公司已经不满足为个人消费者提供软件,他们还可能为一些政府提供间谍软件。一个实证是,FlexiSpy 有一家姊妹公司,处理“合法拦截销售”。
这也许是激怒黑客曝光 FlexiSpy 的原因。
在flexidie 的推特上,雷锋网发现了该事件后这位用户发表的推文:
记住,只有当好人无所作为时,邪恶才会降临,做点好事,我们就能扛起对抗这些犯罪的责任,但是如果没有大家团结一致,拿掉这些东西,找到方式阻止它,保护我们自己,一切都没用,让我们成为互联网上的超级英雄,终结间谍软件。
最后,献上一波被“正义”盖章的网址:https://github.com/Te-k/flexidie。知道了源码等资料,就知道了对方的“套路”,联手抵抗 FlexiSpy 侵犯个人隐私就有望了!