雲栖号資訊:【 點選檢視更多行業資訊】
在這裡您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
編者按:本文來自微信公衆号“蘇甯金融研究院”(ID:SIF-2015),作者 劉培彬,36氪經授權釋出。
每天隻讓你選擇一件物品出門,你會選擇什麼呢?
相信大家心裡已經有了答案,那就是手機。
你的工作生活是不是已經被手機填滿?早上起來檢視天氣,手機APP自動提醒你注意防曬;開車經過某一個城市,手機APP馬上推薦相關城市的衣食住行。作為資深手機控,我們充分享受各類APP帶來的便利。
另外,你的手機是否頻繁收到一堆優惠活動的垃圾短信;除了快遞小哥給你打電話,更多時候對方直接報上你的大名,當你以為是老朋友或者同僚時,卻發現對方讓你帶上小孩來參加課程體驗,或者某某房源又有優惠。對于個人隐私洩露,你是否深惡痛絕呢?
對于越來越懂你的手機,你懂它嗎?
本文起底惡意APP如何竊取你的隐私,以及教你如何防範。
隐私洩露屢禁不止,精準詐騙頻發
2020年5月15日,工信部釋出關于侵害使用者權益行為的APP通報(2020年第一批)。依據《網絡安全法》《電信條例》《電信和網際網路使用者個人資訊保護規定》等法律法規,工業和資訊化部近期組織第三方檢測機構對手機應用軟體進行檢查,對發現存在問題的企業進行督促整改。
到底有哪些APP?它們涉及到的違法違規行為是什麼?
據通報,當當、店長直聘、e代駕、大街等16款APP在列,這些應用軟體均涉及私自收集個人資訊問題,另外還包括私自共享給第三方、超範圍收集個人資訊、不給權限不讓用、強制使用者使用定向推送、過度索取權限、賬号登出難等7大類問題。
工信部要求,存在問題的APP應在5月25日前完成整改落實工作,逾期不整改的,工業和資訊化部将依法依規組織開展相關處置工作。
2018年8月,中消協釋出《APP個人資訊洩露情況調查報告》稱,APP已經成為個人資訊洩露的重災區,遇到過個人資訊洩露情況的人數占比為85.2%,沒有遇到過個人資訊洩露情況的人數占比為14.8%。
當消費者個人資訊洩露後,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件,排名位居前三位。
調查結果還顯示,如果手機APP導緻個人資訊洩露,最擔心的問題是被利用從事詐騙竊取活動,占70.5%;其次是販賣或交換給第三方約占52.4%;被推銷廣告騷擾占比約為37.7%;名譽受損約占6.6%。
值得關注的是,最終有大約三分之一的受訪者選擇“自認倒黴”,一方面可能是基于無力應對的選擇,另一方面也可能是應對無效後的接受現狀。
騙子擷取使用者資訊以後,最擔心的是對個人進行“量身定做”的精準詐騙,這種騙術很難被當事者識破,因為騙子往往能夠準确地說出當事者一些較為私密的資訊,足以“以假亂真”,讓使用者放松警惕。
2019年9月20日,黑龍江雙鴨山一位劉女士報警稱,她前幾日在第三方平台上購買了一張飛機票,就在飛機起飛的前一天,她突然收到短信稱行程取消。她電話聯系退款,結果被騙15000元。
隐私洩露原因多樣,套路滿滿識别難
使用者個人隐私洩露原因多樣,本節主要從黑灰産人員、APP開發者、APP本身和使用者自身四方面進行分析。
1、黑灰産人員通過對系統反編譯、攻擊篡改、植入後門等方式對資料進行竊取
2013年10月,國内安全漏洞監測平台“烏雲網”披露,自稱是中國最大的酒店數字客房服務商的浙江某某公司,因為安全漏洞問題,使與其有合作關系的大批酒店的開房記錄在網上洩露。
數天後,一個名為“2000w開房資料”的檔案出現在網上,其中包含2000萬條在酒店開房的個人資訊,容量達1.7G。開房資料中,開房時間介于2010年下半年至2013年上半年,包含姓名、性别、國籍、民族、身份證号、生日、位址、郵編、手機、固話、傳真、郵箱、公司、住宿時間14個字段。
黑客利用平台漏洞,收集網站和APP應用程式洩露的個人資訊,再嘗試登入其它網站系統進行“撞庫”,不斷非法擷取使用者資訊。通過手機号、身份證号将使用者碎片資訊不斷關聯清洗,再把這些資訊“打包”賣給不法分子,以此牟利。
目前,“人肉搜尋”已經成為一門灰色生意,價格從數百元到數千元不等,而這些資訊均來自于黑灰産人士用于儲備個人資訊的“社工庫”。
需要指出的是,社工庫及“人肉搜尋”行為嚴重觸犯了《網絡安全法》及其他有關法律、行政法規關于個人資訊保護的規定。
2、APP開發者技術實力參差不齊,資料管理不善容易造成資料洩露
一般中小公司APP開發者技術能力薄弱,在資料安全技術力量上欠缺,資料保護意識不強。這給了黑客可趁之機。
以金融行業APP為例,這些和“錢”有關的APP到底安全性幾何?2019年9月11日,中國信通院的報告團隊從232個安卓應用市場中收錄了 133327 款金融行業APP。
經檢測發現,共有20.48%的金融行業APP被嵌入了第三方SDK,嵌入的SDK 數量共計高達104005個。在嵌入SDK的金融行業APP中,有45%的APP嵌入了5個及以上的SDK。而第三方SDK存在隐蔽收集使用者資訊、自身安全漏洞易被不法分子利用等安全風險。
而這批APP中僅17.08%進行了安全加強,超過 80%的金融行業APP在應用市場“裸奔”,未進行任何的安全加強。基于 Java 語言編寫的安卓應用程式如不進行加強,則其打包的 APK 檔案很容易被反編譯工具進行逆向分析,進而暴露風險。
3、APP本身過度索取手機權限帶來隐私洩露風險
對APP來說,擷取手機權限一部分是因為功能需求(如導航軟體擷取位置資訊);而另一方面也是為了盡可能多地收集使用者資料,更加詳盡地了解使用者特性,進而有針對性的進行推廣,提高使用者體驗等。
APP最熱衷收集的就是擷取使用者位置和通訊錄資訊。根據《APP個人資訊洩露情況調查報告》,讀取位置資訊權限和通路聯系人權限是安裝和使用手機APP時遇到情況最多的,分别占86.8%和62.3%。受訪者被要求讀取通話記錄權限(47.5%)、讀取短信記錄權限(39.3%)、打開攝像頭權限(39.3%)、話筒錄音權限(24.6%)的比例也相對較高。
APP在安裝的時候,有一個服務協定與隐私政策,長達幾頁甚至十幾頁且文字密集。一些軟體不授權就無法使用,絕大部分使用者沒有興趣閱讀并直接預設選擇同意。一些看似“正規”的APP在條款内埋下陷阱,披着“合法”的外衣,以“本人已經閱讀且同意履行”為由搜集使用者個人資訊。被發現維權時就以“已經在條款中說明要求,使用者已經同意”的理由為自己開脫。
4、使用者自身安全意識缺乏,經不住“誘惑”容易造成隐私洩露
網際網路時代,大量使用者不知道怎麼正确管理賬号密碼,普遍存在安全意識缺乏,容易中毒或被釣魚軟體欺騙。
大量高仿低質APP充斥在市場。以在IOS Appstore搜尋“查社保”為例,出來幾十個類似APP,普通使用者很難區分哪一個APP是官方出品,排名靠前的APP有可能是通過刷評論、刷下載下傳量等手段沖上去的。使用者在注冊使用過程中,其資料被這些APP保留下來。
2019年315,“社保掌上通”因過度收集使用者資訊資料被點名,使用者填寫各種資料注冊這款APP後,這款APP會通過隐藏的使用者條款竊取使用者社保資訊,現在這款APP已經被全網下架。
還有一些APP通過優惠短信連結、掃碼打折等誘惑資訊,吸引使用者直接下載下傳APP。這時使用者要擦亮雙眼,不要圖友善或隻看評價等,在不清楚APP來源的情況下,不要下載下傳和輸入個人資訊。在使用APP某些功能提示需要讀取通訊錄時,一定要慎重考慮這個要求是否合理,增加自身的辨識能力和隐私保護意識。
熱衷擷取個人隐私,商業利益是誘因
商業的本質是逐利的,正确合理地使用資料本無可厚非。正如百度CEO李彥宏所說,中國人多數情況下願意用隐私換便利,但使用者仍然不希望被過度檢視自己的個人資料,例如聊天記錄、通話記錄等。
抛開“販賣和交換個人資訊”、“詐騙竊取活動”等不法行為外,個人資訊是如何被拿來做推銷廣告的呢?讓你收廣告收的明白,本節為你簡單介紹一下套路。
首先,我們在注冊使用購物或者社交APP時,你的姓名、手機号、性别和位址等資訊會被記錄下來。
其次,你在使用APP過程中,你的行為資料如浏覽時間、地理位置、浏覽路徑、消費記錄等上千個行為都會儲存下來。
接下來,系統建立模型,從這些基本資料和行為資料中建構标簽,試圖從無數個标簽中建構出你的使用者畫像。
舉個例子,你看到一款“電視”産品的介紹,系統計算你對“電視”的購買欲程度。通過一個簡單的标簽權重算法:
購買欲權重=行為權重×停留時間×衰減因子
當你對“電視”産品評論、點贊、轉發和收藏等操作後,你的行為權重會增加。停留時間是加分項,如果浏覽“電視”的時間長,表示你對其有興趣。短暫的停留無法代表你長期的興趣,單次浏覽行為的權重會随着時間流逝不斷衰減。
最後,系統根據這些标簽,通過你的浏覽行為給你推薦商品;也可以将其他跟你相似使用者的浏覽記錄和購買過的商品推薦給你。
在網際網路誕生初期,《紐約客》曾有一句聞名全球的俚語:“在網際網路上,沒有人知道你是一條狗。”而現在,狗比你更了解你自己。
防範隐私洩露,提升個人安全意識
在網際網路時代該如何守護我們的個人隐私?需要APP開發者、應用發行市場和APP使用者共同努力。
1、APP開發者履行責任,從源頭上保護個人隐私安全
一個APP上線,要經曆設計、開發和上線環節。APP開發者需自覺遵守《APP違法違規收集使用個人資訊行為認定方法》等相關法律;遵循個人資料采集的基本原則,包括目的明确、最少夠用、公開告知、個人同意等。對資訊洩密建立所謂的“問責制”,使所有人能更重視資料問題的解決之道。
2、應用分發平台完善稽核機制,幫助使用者守好“最後一道門”
我國境内應用商店數量已超過200家,大部分應用商店都推出了一定措施來保障使用者的安全體驗, 嚴格稽核把關,提升使用者體驗尤為重要。一些應用分發平台已經采用“惡意行為檢測”+“隐私洩露檢查”+“安全漏洞掃描”+“人工實名複檢”四重檢測體系,以多樣安全稽核措施保障上架應用的安全合規。
3、APP使用者加強資訊安全保護意識,不讓非法應用“有機可趁”
APP使用者具體可通過下述四種方法加強個人資訊安全保護:
(1)對APP分等級管理,設定不同的賬号密碼。涉及資金類的APP和一般APP,設定兩套不同的賬戶和密碼可防止連環盜号。
(2)不要随意登入免費WiFi,随意刷二維碼。下載下傳APP時最好從官方網站上下載下傳,或通過合格經營的第三方應用市場下載下傳,并适當查核釋出者的資質。山寨APP,或存在竊取個人資訊、惡意扣費等問題的APP,提前了解甄别,以防落入山寨陷阱。
(3)關閉APP的敏感權限。檢視應用索取的權限,讀取通訊錄、讀取短信通話記錄等敏感權限盡量關閉。
對于蘋果手機,點選設定-隐私,檢視哪些程式還在使用你的“定位服務”、“通訊錄”等服務。關閉設定-通用-背景應用重新整理功能,有些APP通過背景應用重新整理功能收集使用者資訊。
對于安卓手機,慎開USB調試模式,因為手機一旦開啟USB調試模式,PC端的軟體可以快速地對手機進行root操作。一旦有了root權限,手機的鎖屏密碼、綁定賬号等資訊很容易被其它軟體随意調用,其安全風險不言而喻。
(4)個人資訊不要随意填寫,不主動洩露。平時接收快遞,使用X先生/女士,優先使用小區自提櫃,不對應具體門牌号;使用隐私小号進行聯系等。
【雲栖号線上課堂】每天都有産品技術專家分享!
課程位址:
https://yqh.aliyun.com/zhibo立即加入社群,與專家面對面,及時了解課程最新動态!
【雲栖号線上課堂 社群】
https://c.tb.cn/F3.Z8gvnK
原文釋出時間:2020-05-29
本文作者: 蘇甯金融研究院
本文來自:“
36kr”,了解相關資訊可以關注“
”