编者按:本文来自微信公众号“苏宁金融研究院”(ID:SIF-2015),作者 刘培彬,36氪经授权发布。
每天只让你选择一件物品出门,你会选择什么呢?
相信大家心里已经有了答案,那就是手机。
你的工作生活是不是已经被手机填满?早上起来查看天气,手机APP自动提醒你注意防晒;开车经过某一个城市,手机APP马上推荐相关城市的衣食住行。作为资深手机控,我们充分享受各类APP带来的便利。
另外,你的手机是否频繁收到一堆优惠活动的垃圾短信;除了快递小哥给你打电话,更多时候对方直接报上你的大名,当你以为是老朋友或者同事时,却发现对方让你带上小孩来参加课程体验,或者某某房源又有优惠。对于个人隐私泄露,你是否深恶痛绝呢?
对于越来越懂你的手机,你懂它吗?
本文起底恶意APP如何窃取你的隐私,以及教你如何防范。
2020年5月15日,工信部发布关于侵害用户权益行为的APP通报(2020年第一批)。依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工业和信息化部近期组织第三方检测机构对手机应用软件进行检查,对发现存在问题的企业进行督促整改。
到底有哪些APP?它们涉及到的违法违规行为是什么?
据通报,当当、店长直聘、e代驾、大街等16款APP在列,这些应用软件均涉及私自收集个人信息问题,另外还包括私自共享给第三方、超范围收集个人信息、不给权限不让用、强制用户使用定向推送、过度索取权限、账号注销难等7大类问题。
工信部要求,存在问题的APP应在5月25日前完成整改落实工作,逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。
2018年8月,中消协发布《APP个人信息泄露情况调查报告》称,APP已经成为个人信息泄露的重灾区,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。
当消费者个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件,排名位居前三位。
调查结果还显示,如果手机APP导致个人信息泄露,最担心的问题是被利用从事诈骗窃取活动,占70.5%;其次是贩卖或交换给第三方约占52.4%;被推销广告骚扰占比约为37.7%;名誉受损约占6.6%。
值得关注的是,最终有大约三分之一的受访者选择“自认倒霉”,一方面可能是基于无力应对的选择,另一方面也可能是应对无效后的接受现状。
骗子获取用户信息以后,最担心的是对个人进行“量身定做”的精准诈骗,这种骗术很难被当事者识破,因为骗子往往能够准确地说出当事者一些较为私密的信息,足以“以假乱真”,让用户放松警惕。
2019年9月20日,黑龙江双鸭山一位刘女士报警称,她前几日在第三方平台上购买了一张飞机票,就在飞机起飞的前一天,她突然收到短信称行程取消。她电话联系退款,结果被骗15000元。
用户个人隐私泄露原因多样,本节主要从黑灰产人员、APP开发者、APP本身和用户自身四方面进行分析。
2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江某某公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。
数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。
黑客利用平台漏洞,收集网站和APP应用程序泄露的个人信息,再尝试登录其它网站系统进行“撞库”,不断非法获取用户信息。通过手机号、身份证号将用户碎片信息不断关联清洗,再把这些信息“打包”卖给不法分子,以此牟利。
目前,“人肉搜索”已经成为一门灰色生意,价格从数百元到数千元不等,而这些信息均来自于黑灰产人士用于储备个人信息的“社工库”。
需要指出的是,社工库及“人肉搜索”行为严重触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。
一般中小公司APP开发者技术能力薄弱,在数据安全技术力量上欠缺,数据保护意识不强。这给了黑客可趁之机。
以金融行业APP为例,这些和“钱”有关的APP到底安全性几何?2019年9月11日,中国信通院的报告团队从232个安卓应用市场中收录了 133327 款金融行业APP。
经检测发现,共有20.48%的金融行业APP被嵌入了第三方SDK,嵌入的SDK 数量共计高达104005个。在嵌入SDK的金融行业APP中,有45%的APP嵌入了5个及以上的SDK。而第三方SDK存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险。
而这批APP中仅17.08%进行了安全加固,超过 80%的金融行业APP在应用市场“裸奔”,未进行任何的安全加固。基于 Java 语言编写的安卓应用程序如不进行加固,则其打包的 APK 文件很容易被反编译工具进行逆向分析,进而暴露风险。
对APP来说,获取手机权限一部分是因为功能需求(如导航软件获取位置信息);而另一方面也是为了尽可能多地收集用户数据,更加详尽地了解用户特性,进而有针对性的进行推广,提高用户体验等。
APP最热衷收集的就是获取用户位置和通讯录信息。根据《APP个人信息泄露情况调查报告》,读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到情况最多的,分别占86.8%和62.3%。受访者被要求读取通话记录权限(47.5%)、读取短信记录权限(39.3%)、打开摄像头权限(39.3%)、话筒录音权限(24.6%)的比例也相对较高。
APP在安装的时候,有一个服务协议与隐私政策,长达几页甚至十几页且文字密集。一些软件不授权就无法使用,绝大部分用户没有兴趣阅读并直接默认选择同意。一些看似“正规”的APP在条款内埋下陷阱,披着“合法”的外衣,以“本人已经阅读且同意履行”为由搜集用户个人信息。被发现维权时就以“已经在条款中说明要求,用户已经同意”的理由为自己开脱。
互联网时代,大量用户不知道怎么正确管理账号密码,普遍存在安全意识缺乏,容易中毒或被钓鱼软件欺骗。
大量高仿低质APP充斥在市场。以在IOS Appstore搜索“查社保”为例,出来几十个类似APP,普通用户很难区分哪一个APP是官方出品,排名靠前的APP有可能是通过刷评论、刷下载量等手段冲上去的。用户在注册使用过程中,其数据被这些APP保留下来。
2019年315,“社保掌上通”因过度收集用户信息数据被点名,用户填写各种资料注册这款APP后,这款APP会通过隐藏的用户条款窃取用户社保信息,现在这款APP已经被全网下架。
还有一些APP通过优惠短信链接、扫码打折等诱惑信息,吸引用户直接下载APP。这时用户要擦亮双眼,不要图方便或只看评价等,在不清楚APP来源的情况下,不要下载和输入个人信息。在使用APP某些功能提示需要读取通讯录时,一定要慎重考虑这个要求是否合理,增加自身的辨别能力和隐私保护意识。
商业的本质是逐利的,正确合理地使用数据本无可厚非。正如百度CEO李彦宏所说,中国人多数情况下愿意用隐私换便利,但用户仍然不希望被过度查看自己的个人数据,例如聊天记录、通话记录等。
抛开“贩卖和交换个人信息”、“诈骗窃取活动”等不法行为外,个人信息是如何被拿来做推销广告的呢?让你收广告收的明白,本节为你简单介绍一下套路。
首先,我们在注册使用购物或者社交APP时,你的姓名、手机号、性别和地址等信息会被记录下来。
其次,你在使用APP过程中,你的行为数据如浏览时间、地理位置、浏览路径、消费记录等上千个行为都会保存下来。
接下来,系统建立模型,从这些基本数据和行为数据中构建标签,试图从无数个标签中构建出你的用户画像。
举个例子,你看到一款“电视”产品的介绍,系统计算你对“电视”的购买欲程度。通过一个简单的标签加权算法:
购买欲权重=行为权重×停留时间×衰减因子
当你对“电视”产品评论、点赞、转发和收藏等操作后,你的行为权重会增加。停留时间是加分项,如果浏览“电视”的时间长,表示你对其有兴趣。短暂的停留无法代表你长期的兴趣,单次浏览行为的权重会随着时间流逝不断衰减。
最后,系统根据这些标签,通过你的浏览行为给你推荐商品;也可以将其他跟你相似用户的浏览记录和购买过的商品推荐给你。
在互联网诞生初期,《纽约客》曾有一句闻名全球的俚语:“在互联网上,没有人知道你是一条狗。”而现在,狗比你更了解你自己。
在互联网时代该如何守护我们的个人隐私?需要APP开发者、应用发行市场和APP使用者共同努力。
一个APP上线,要经历设计、开发和上线环节。APP开发者需自觉遵守《APP违法违规收集使用个人信息行为认定方法》等相关法律;遵循个人数据采集的基本原则,包括目的明确、最少够用、公开告知、个人同意等。对信息泄密建立所谓的“问责制”,使所有人能更重视数据问题的解决之道。
我国境内应用商店数量已超过200家,大部分应用商店都推出了一定措施来保障用户的安全体验, 严格审核把关,提升用户体验尤为重要。一些应用分发平台已经采用“恶意行为检测”+“隐私泄露检查”+“安全漏洞扫描”+“人工实名复检”四重检测体系,以多样安全审核措施保障上架应用的安全合规。
APP使用者具体可通过下述四种方法加强个人信息安全保护:
(1)对APP分等级管理,设置不同的账号密码。涉及资金类的APP和一般APP,设置两套不同的账户和密码可防止连环盗号。
(2)不要随意登录免费WiFi,随意刷二维码。下载APP时最好从官方网站上下载,或通过合格经营的第三方应用市场下载,并适当查核发布者的资质。山寨APP,或存在窃取个人信息、恶意扣费等问题的APP,提前了解甄别,以防落入山寨陷阱。
(3)关闭APP的敏感权限。查看应用索取的权限,读取通讯录、读取短信通话记录等敏感权限尽量关闭。
对于苹果手机,点击设置-隐私,查看哪些程序还在使用你的“定位服务”、“通讯录”等服务。关闭设置-通用-后台应用刷新功能,有些APP通过后台应用刷新功能收集用户信息。
对于安卓手机,慎开USB调试模式,因为手机一旦开启USB调试模式,PC端的软件可以快速地对手机进行root操作。一旦有了root权限,手机的锁屏密码、绑定账号等信息很容易被其它软件随意调用,其安全风险不言而喻。
(4)个人信息不要随意填写,不主动泄露。平时接收快递,使用X先生/女士,优先使用小区自提柜,不对应具体门牌号;使用隐私小号进行联系等。