导读:你是否遇到过“不给授权就不让用”的霸王APP授权条款?你是否惊讶于某些“广告推送”过于精准?你是否怀疑过自己的线下对话遭到窃听?你是否频繁接到陌生的推广电话,怀疑自己的个人信息遭到泄露?
在这个便利的互联网时代,为了获取更便捷的服务和精准的信息,个人隐私似乎是被出卖的那个!当年惊叹于所谓的精准推送算法时,可能你的个人信息已经在网上“裸奔”!
2020年上半年, 国家工业与信息化部就已经公布了两批“关于侵害用户权益行为的APP”名单。同时,央视也报道相关违规获取用户权限、非法传播用户个人信息的APP乱象。
国家工信部公布的第一批违规APP名单
从工信部公布的名单中可以看出,部分APP涉及到的问题包括以下几个方面:
1.未获得用户授权私自收取个人信息。
2.超过其功能范围收取个人信息。
3.个人信息保护不当,私自共享、出售给第三方。
4.频繁自启动,甚至不给权限不让使用。
5.账号注销难。
为什么在社会大众和各职能部门的密切关注和监督下,这些APP乱象仍然屡禁不止、越演越烈?了解这些问题是如何发生的,以及其背后蕴藏的巨大经济利益,或许可以解开这些秘密。
国家工信部公布的第二批违规APP名单
据@科技日报 报道,北京理工大学计算机网络及对抗技术研究所所长闫怀志在接受采访时表示,APP获取用户信息,通常是通过对手机的“正常、合法”操作而非攻击手段实现的。虽然也有耍小聪明的方式,但都算是在框架下“合法”地规避“隐私协议”达到其目的。
广义来讲,用户的数据处理、APP操作行为均需获得手机自带的操作系统支持。“而操作系统会在不同层面设置各种系统权限等安全防护机制,防止用户信息被第三方软件、用户软件恶意读取或滥用。所以如果该APP通过引导用户授权获得了某种权限或者绕过授权协议获得系统权限,就可以轻松读取该权限项下的所有信息。”他说。
比如:根据浙江大学的最新研究成果,手机APP可以利用手机内置的加速度传感器,采集手机扬声器所发出的声音振动频率,在用户不知情的情况下绕开隐私协议,合法地获取用户语言消息!看到这,小伙伴们是否惊恐;还可以通过声波震动频率来窃听语音信息!真的是无所不用其极!虽然说通过这种方式来获取相关信息并进行精准广告推送的成本较高,且容易被用户和监管机构察觉,但同样值得我们警惕。
另外,APP专项治理工作组专家何彦哲通过具体实验指出:尽管没有开启应用界面,违规的手机APP仍然会在后台尝试自启动或者关联启动并且传输数据。据实验表明,APP会率先获取手机的IMEI号(移动设备标识号,相当于手机的“身份证”),然后在根据该设备标识号进行个性化信息推送。专家指出,因为这类APP极强的隐蔽性,给监管方面带来很大的困难下
通常来说,用户信息应该遵循“收所必需、用所必需”的基本准则,也就是说,所收集的信息应该是完成用户某项业务所必需的信息,而且这些信息应该在该业务范围内被正当使用。但是被曝光的软件APP大多违背这一准则,违规获取更多超出其完成服务所必需的信息!
表面买薯条,暗拿“全家桶”。没有信息买卖,就不存在个人信息共享、隐私泄露伤害!
目前,我国已明确将数据纳入生产要素。很多APP过度收集隐私,无非是为了商业目的。那么,频繁访问用户信息,究竟是作何用途?不同软件可彼此唤醒,共同窥探用户隐私,是否意味着开发商彼此之间存在利益交换?
闫怀志解释道,从技术上来看,APP频繁访问用户信息有的是确因业务需要,比如导航路径规划,自然需要了解用户的实时位置;健康监测业务,可能会需要随时获取用户的运动数据信息。获取用户个人信息后,软件运营商会通过数据分析,对用户的活动范围、消费能力等进行标定,从而进行更为精准的广告投放或其他营销行为。
“需要注意的是,用户信息具有特殊重要价值,为了提升注册量、共享用户有用数据,有些APP开发商之间会进行用户信息交换,这种操作的前提自然是利益。”闫怀志强调。
根据调查,很多手机软件下载之后,会频繁唤起其他软件自启动,进而共同在后台窥视用户照片、购物记录等。闫怀志对软件关联启动现象的解释:APP唤起其他软件的技术实现途径很多,常见的有Intent唤起、包名唤起、URL唤起等方式,简单来说,就是通过后台通信协议来私自启动,并且启动后仅在后台运行数据,具有较强的隐蔽性,用户很难察觉到。闫怀志进一步强调,唤起其他软件在后台自启动,共同偷窥用户信息,目的是最大限度获取用户信息以实现更为精准地画像,这种表面买薯条,暗拿“全家桶”的行为具有更大的隐蔽性和危害性。
APP“偷窥癖”该如何防治,国家层面、普通用户,手机厂商能做什么?
为保障个人信息安全,有关部门展开了一系列整治市场乱象的行动。
2020年1月,中央网信办、工业和信息化部、公安部、市场监管总局4部门,在全国范围内联合组织开展了APP违法违规收集使用个人信息专项治理活动,并成立APP违法违规收集使用个人信息专项治理工作组。
事实上,针对手机APP过度收集个人信息现象,国家此前也已经相继出台《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,对APP超范围收集、强制授权、过度索权等个人信息安全问题进行了明确规定。
然而,很多手机软件依然无视国家法律法规,甚至铤而走险窃取公民隐私用以非法牟利。作为普通用户,我们能够做些什么?可以有效保护个人隐私避免在网上“裸奔”?
1.提高个人信息保护意识
在开启相关权限时,要谨慎勾选涉及个人信息的选项,包括手机通讯录、地理位置等等。在没有必要的情况下不要轻易授权麦克风、摄像头等权限。发现手机存在信息泄露、后台自启动等等违规问题,应及时采取措施,留下证据并向有关部门举报。
2.技术层面——手机厂商
提高加速度传感器的权限级别,避免各类应用在非必要的情况下采集、使用加速度传感器数据。与此同时,增强操作系统安全防护能力,设置相关内置滤波和可视化监视功能——监视有自启动嫌疑的软件,并提示用户;同时基于网络层和应用层开发新的安全协议。
总之,信息化带给我们便捷、智能的同时,也不能将个人隐私出卖——它不应该成为信息化时代的商品!
不过,保护个人隐私不仅仅是手机厂商的责任和靠软件开发商自觉,更多还需要每一位用户的参与,同时整个行业,乃至国家立法、执法层面都需要强力地措施。
只有多方力量聚合,才能真正地破解强制授权、违规收集个人信息的APP乱象。
数据参考:
1.科技日报 《自己窃取数据还不够 部分APP竟组团“偷窥”》
2.浙江大学 《关于部分手机软件通过加速度传感器避开隐私协议窃听用户语音的研究》
3.国家工业与信息化部 《网络与信息安全6月调研数据报告》
作者说:没啥好说的,今天看到关于这个的话题讨论,然后结合前几天确实看到央视对某些APP乱象的报道。本想好好查查资料,从专业技术角度阐述一下该事件,并且找到一些普通用户就能操作的应对之法分享出来,但是找了半天都没有找到。而我本人也不是信息通信和数据通讯专业的,只能浅显地写一写自己的看法。