起底智能手機(jī)盜竊產(chǎn)業(yè)鏈：按下自毀開關(guān)也沒有用

手機(jī)盜竊日益猖獗

2009年，全球約有5%的人擁有手機(jī)。雖然2015年尚未到來，但這一數(shù)字有望突破35%。換言之，全球?qū)⒂?5億手機(jī)用戶，相當(dāng)于中國(guó)和印度的人口總和?？紤]到科技創(chuàng)新的飛速進(jìn)步以及處理器和芯片組的價(jià)格不斷下降，不難想象有朝一日將有過半的世界人口被智能手機(jī)的小屏幕俘虜——最快有可能在2017年實(shí)現(xiàn)。

對(duì)很多人來說，這些設(shè)備都是我們最有價(jià)值的財(cái)產(chǎn)。至少可以這么說，手機(jī)已經(jīng)成了我們每天隨身攜帶的最有價(jià)值的財(cái)產(chǎn)之一。漫步街頭時(shí)，我們用手機(jī)聽歌;乘坐地鐵時(shí)，我們用手機(jī)娛樂;外出就餐時(shí)，我們把手機(jī)放在桌上——它就像一個(gè)擁有巨大能量的手持電腦，盡管性能堪比筆記本，但卻不會(huì)給人帶來任何累贅之感。

這個(gè)小玩意兒把我們的整個(gè)生活都裝進(jìn)了它的機(jī)身，從家庭照片到工作郵件，再到各種各樣的銀行賬號(hào)。然而，只要短短一個(gè)小時(shí)，這些設(shè)備就會(huì)被盜走，并轉(zhuǎn)手賣出幾百美元的高價(jià)，而且完全不需要當(dāng)鋪或?qū)I(yè)人士的協(xié)助。按照重量計(jì)算，它的價(jià)格相當(dāng)于銀的13倍。也正因如此，街頭手機(jī)盜竊最近幾年才如此猖獗。據(jù)《消費(fèi)者報(bào)告》統(tǒng)計(jì)，2013年有310萬美國(guó)人的手機(jī)被盜，遠(yuǎn)高于2012年的160萬。

移動(dòng)安全公司Lockout認(rèn)為，美國(guó)每10名智能手機(jī)用戶中，就有1人遭遇過手機(jī)被盜。68%的被害者再也沒有找回自己的設(shè)備。從全美來看，約有三分之一的盜竊案與智能手機(jī)有關(guān)。

多年以來，移動(dòng)安全行業(yè)都不肯采取哪怕最簡(jiǎn)單的措施來阻止街頭手機(jī)盜竊。他們沒有多少動(dòng)力來部署這種措施：運(yùn)營(yíng)商通過向消費(fèi)者出售盜竊險(xiǎn)可以賺取不菲的收益，而如果安全軟件果真能夠大規(guī)模阻止手機(jī)被盜事件的發(fā)生，這些運(yùn)營(yíng)商可能會(huì)損失不少收入。（克萊登大學(xué)商學(xué)院教授威廉•達(dá)科沃斯(William Duckworth)估計(jì)，美國(guó)人每年在高端手機(jī)保險(xiǎn)上的花費(fèi)高達(dá)48億美元，每年的設(shè)備更換費(fèi)用為5.8億美元。）

不過，這個(gè)問題的嚴(yán)重程度已經(jīng)不容忽視，就算是運(yùn)營(yíng)商也無力阻擋改革的步伐。去年8月，在舊金山地方檢察官喬治•加斯康(George Gascon)和紐約州總檢察長(zhǎng)埃里克•施耐德曼(Eric Schneiderman)的大力游說下，加州州長(zhǎng)杰里•布朗(Jerry Brown)簽署一項(xiàng)法令，強(qiáng)制該州出售的手機(jī)增加“毀滅開關(guān)”功能，使得用戶可以在手機(jī)被盜后遠(yuǎn)程將其鎖定，使之無法使用。明尼蘇達(dá)州也通過了類似的法令。

2013年，蘋果推導(dǎo)出了一個(gè)名為“激活鎖”的功能，幫助用戶借助密碼保護(hù)來防止不法分子通過刷機(jī)洗白被盜的手機(jī)。在iOS 7中，用戶需要通過設(shè)置來啟動(dòng)“激活鎖”。而在iOS 8中，這項(xiàng)功能會(huì)默認(rèn)開啟。谷歌(微博)和微軟也承諾會(huì)在新手機(jī)中加入類似的軟件。

舊金山地方檢察官辦公室發(fā)言人麥克斯•薩博(Max Szabo)表示，蘋果激活鎖的出現(xiàn)已經(jīng)產(chǎn)生了決定性的影響。在舊金山，2014年前5個(gè)月的iPhone盜竊案減少了38%。在紐約，與蘋果產(chǎn)品有關(guān)的盜竊案也降低19%。“很顯然，‘毀滅開關(guān)’的確起到了遏制作用。”薩博說。

道高一尺，魔高一丈

不過，這種好消息恐怕還要加上幾個(gè)限定詞：“毀滅開關(guān)”只能在某些特定情況下發(fā)揮作用，也只能威懾最為常見的盜竊行為。如果你是普通的街頭小偷，只是受到機(jī)會(huì)主義的驅(qū)使，那么在從路人的口袋里竊取配有“激活鎖”的iPhone時(shí)，或許會(huì)三思而行。

但激活鎖只是一款軟件。任何一名程序員都會(huì)告訴你這樣一個(gè)真理：但凡使用代碼編寫的東西，最終都會(huì)被破解。例如，2014年5月末，兩名匿名黑客公布了一個(gè)名為doulCi的iCloud破解程序，使得用戶可以將手機(jī)重置為出廠狀態(tài)——就像剛買到的嶄新手機(jī)一樣。只要有一定的技術(shù)基礎(chǔ)，都可以從網(wǎng)上找到類似的教程，并親手實(shí)施。

雖然蘋果和加斯康可能不愿承認(rèn)，但被鎖定的手機(jī)也未必毫無價(jià)值。電信回收公司Harvest Cellular創(chuàng)始人達(dá)斯汀•瓊斯(Dustin Jones)最近就對(duì)eBay上出售的200部二手iPhone進(jìn)行了調(diào)查。在這200部設(shè)備中，有32部明確貼出了被“激活鎖”鎖定的界面。雖然蘋果已經(jīng)盡力，但瓊斯在Harvest Cellular的官方博客中認(rèn)定：“竊賊們?nèi)匀粨碛幸恍┓浅：?jiǎn)單銷贓渠道。”

事實(shí)上，只有當(dāng)一款iOS設(shè)備與用戶的iOS賬號(hào)綁定，且該用戶懷疑自己的手機(jī)被盜時(shí)，“激活鎖”才能發(fā)揮作用。正因如此，“毀滅開關(guān)”才無法阻止溫守林和譚玉婷這樣犯罪分子。在這個(gè)案例中，根本沒有人觸發(fā)這項(xiàng)功能，而手機(jī)也被很快運(yùn)往海外，有可能立刻安上了新的SIM卡。加州司法部前發(fā)言人尼古拉斯•帕西里奧(Nicholas Pacilio)表示，類似于溫譚團(tuán)伙這樣的“信用騾套利”活動(dòng)的規(guī)模和頻率都在增加。

入室搶劫活動(dòng)同樣也在增多。在這種犯罪活動(dòng)中，犯罪分子會(huì)闖入倉(cāng)庫(kù)或電子商店搶劫大量未被激活的設(shè)備。2014年，佛羅里達(dá)州總檢察長(zhǎng)宣布逮捕了一個(gè)使用被盜汽車闖入百思買、hhgregg和CompUSA的門店搶劫電子產(chǎn)品的團(tuán)伙，他們的作案足跡遍布阿拉巴馬、佛羅里達(dá)、喬治亞和田納西等多個(gè)州。在該團(tuán)伙被警方打掉前，他們累計(jì)搶劫了大約200萬美元的蘋果設(shè)備。安全分析師發(fā)現(xiàn)，加州奧克蘭的很多街頭犯罪團(tuán)伙販賣的贓物，已經(jīng)從毒品變成了iPhone。

事實(shí)上，曾經(jīng)任職于Verizon和Sprint的電信行業(yè)老兵本•萊維坦(Ben Levitan)曾經(jīng)表示，“毀滅開關(guān)”并沒有全面解決智能手機(jī)被盜問題，甚至可能將問題引向一個(gè)不可預(yù)知的新方向。

“你推出了‘毀滅開關(guān)’。”萊維坦說，“很好。街頭的小偷小摸可能有所減少，也有可能大幅減少。但這些手機(jī)的內(nèi)部零件仍然很有價(jià)值，對(duì)嗎?人們可以直接把手機(jī)拆開，然后賣掉里面的零件。”他預(yù)計(jì)這將催生一個(gè)“全新的黑市”。

有證據(jù)顯示，這樣的市場(chǎng)已經(jīng)出現(xiàn)。在阿拉米達(dá)縣，反電子犯罪小組最近搗毀了一個(gè)非法智能手機(jī)零件倒賣團(tuán)伙，他們通過一家名為AppleNBerry的店面運(yùn)營(yíng)。（AppleNBerry的所有者薩米•陳(Sammy Chan)和史蒂文•陳(Steven Chan)已經(jīng)承認(rèn)獲取被盜財(cái)產(chǎn)和銷售假冒商品。）今年8月，美國(guó)聯(lián)邦調(diào)查局(FBI)宣布逮捕了20名與所謂的“穆斯塔法家族”有關(guān)聯(lián)的犯罪嫌疑人。“穆斯塔法家族”是一個(gè)位于明尼蘇達(dá)州的犯罪團(tuán)伙，他們專門向中東和亞洲的黑市商人提供被盜的智能手機(jī)或零件。

“即使有‘激活鎖’，仍然會(huì)有‘信用騾套利’，仍會(huì)有入室搶劫。”Lookout產(chǎn)品經(jīng)理薩米爾•古普特(Samir Gupte)說。他認(rèn)為，廠家最終可能會(huì)在生產(chǎn)電子產(chǎn)品時(shí)配套提供獨(dú)一無二的產(chǎn)品密鑰。用戶可能必須在激活手機(jī)時(shí)使用相應(yīng)的產(chǎn)品密鑰。但除非面臨足夠的壓力，否則他們不會(huì)采取這些額外措施。另外，古普特也承認(rèn)：“只要出現(xiàn)新技術(shù)，竊賊往往都能找到破解的辦法。”

犯罪分子很聰明，也很懂得與時(shí)俱進(jìn)。例如，賓夕法尼亞執(zhí)法部門今年9月逮捕了兩名智能手機(jī)竊賊，指控其非法闖入多家電子商店。據(jù)警方介紹，他們會(huì)使用裝有攝像頭的無人機(jī)來偵查盜竊目標(biāo)。

“沒有什么辦法能徹底預(yù)防智能手機(jī)竊賊，永遠(yuǎn)沒有有效的辦法。”無線行業(yè)分析師杰夫•卡甘(Jeff Kagan)說，“這有點(diǎn)像電腦病毒開發(fā)者和安全軟件設(shè)計(jì)者之間的貓鼠大戰(zhàn)，或者測(cè)速儀廠商與電子狗開發(fā)者之間的長(zhǎng)久對(duì)抗。所謂‘道高一尺，魔高一丈。’”

出臺(tái)整套解決方案

與此同時(shí)，還有激進(jìn)人士擔(dān)心，“毀滅開關(guān)”技術(shù)會(huì)侵害智能手機(jī)用戶的權(quán)益。在加州出臺(tái)“毀滅開關(guān)”法令前，美國(guó)電子前沿基金會(huì)去年發(fā)布公開信批評(píng)這項(xiàng)立法，認(rèn)為該技術(shù)可能遭到“濫用”。電子前沿基金會(huì)指出，從理論上講，政府完全有能力強(qiáng)迫運(yùn)營(yíng)商關(guān)閉某些手機(jī)——這對(duì)于公民自由主義者來說，無疑是一場(chǎng)噩夢(mèng)。

同樣令人恐懼的在于，“毀滅開關(guān)”并不意味著用戶的隱私不會(huì)泄露。索尼PlayStation網(wǎng)絡(luò)幾年前遭到的攻擊表明，盡管索尼有能力關(guān)閉系統(tǒng)，但黑客依然竊取了7700萬用戶的賬號(hào)信息。

從這個(gè)角度來審視智能手機(jī)盜竊數(shù)據(jù)，再加上各種不利因素的相繼曝光，都會(huì)令人感到絕望。今后，一旦我們的手機(jī)被“心靈手巧”的竊賊偷走，我們或許只能選擇默默接受。

但當(dāng)我向安全分析師馬克•羅杰斯(Marc Rogers)提出這個(gè)疑問時(shí)，他卻表示反對(duì)。他認(rèn)為，智能手機(jī)被盜問題之所以看上去無解，是因?yàn)槲覀冨e(cuò)誤地認(rèn)為，這是一個(gè)可以單純通過殺手級(jí)應(yīng)用就能解決的整體問題。事實(shí)上，這個(gè)問題很復(fù)雜，包含著多層次的困境，因此需要通過多層次的方案才能解決。

羅杰斯認(rèn)為，減少被盜的最佳方式是采用一系列互補(bǔ)的技術(shù)。暫且稱之為整體方案，其中包括更多的“毀滅開關(guān)”，即使這些開關(guān)會(huì)被破解;更激進(jìn)的立法，即使有些竊賊能夠逃脫法網(wǎng);更多能幫用戶加強(qiáng)防御的第三方應(yīng)用。

Lookout就開發(fā)了一款能夠追蹤被盜設(shè)備的應(yīng)用，它會(huì)利用前置攝像頭拍照，并在未經(jīng)授權(quán)的用戶試圖使用手時(shí)標(biāo)記地理位置。喬治亞理工學(xué)院計(jì)算機(jī)助理教授保羅•鄒(Polo Chau)也在研究一種認(rèn)證協(xié)議，通過長(zhǎng)期的數(shù)據(jù)積累記憶用戶使用觸摸屏的獨(dú)特方式。如果與安全系統(tǒng)配合使用，這類軟件便可在發(fā)現(xiàn)未經(jīng)授權(quán)的用戶使用行為時(shí)關(guān)閉手機(jī)。

“應(yīng)該在每個(gè)環(huán)節(jié)圍堵犯罪分子，”羅杰斯說，“應(yīng)當(dāng)把智能手機(jī)盜竊這個(gè)利益鏈設(shè)想成一個(gè)經(jīng)濟(jì)體，然后找到一整套方案來動(dòng)搖這個(gè)經(jīng)濟(jì)體。必須顛覆整個(gè)供應(yīng)鏈。你或許無法抓到所有犯罪分子，但至少可以在某些地方擊退他們。”