一、小白劇場
大東:小白,你在看什麼呢,笑得這麼樂呵?
小白:我在看網站上對程式員刻闆印象的視訊,笑死我了,最近給我推薦的都是這種視訊。
大東:哈哈,那可能大資料發現你是一個程式員,或者對計算機專業感興趣,就給你推薦這種視訊。
小白:這個我之前了解過,一些廠商或多或少都會收集使用者資訊,以此提供更加精準的數字化服務。
大東:是的,智能手機是當下人們最“離不開”的核心物品之一,也是一個承載着使用者幾乎所有秘密的裝置,也是個我們會随身攜帶的電子裝置。
小白:我基本上全天都要帶着手機,用手機付款,導航。沒有手機我感覺自己都沒辦法在現代社會生活下去,而且許多資訊也存儲在手機上面,包括電子身份證等重要資訊。即使知道自己的資訊會被收集也沒有什麼辦法。
大東:在某些人看來,實際上這是一種監控行為。為了逃避這種監控,一些對技術了解較多的使用者會在他們的智能手機上安裝非官方版本的Android系統。
小白:非官方版本的Android系統?
大東:比如,他們會選擇一台經過改裝的Android手機,其中不包含任何官方的專有(閉源)應用程式或服務。這通常包括安裝一個自定義的ROM,用一個不帶任何官方應用程式的開源Android系統替代标準的Android軟體。
小白:這種系統就完全不會被監視嗎?
大東:從理論上來說是這樣的,使用開源Android系統不會被搜集到位置等資訊。但是,最近德國某安全公司釋出的報告指出,在不需要Android作業系統參與的情況下,帶有某晶片的智能手機會秘密向企業發送個人資料,并且這些資料将會上傳至其在國外部署的伺服器上。
小白:直接從硬體層面搜集使用者資訊?具體是怎麼回事大東能詳細說說嗎?
二、話說事件
大東:具體來說,德國某安全公司釋出了一份報告,稱帶有某品牌晶片的智能手機會向企業發送個人資料,即使在使用無官方的 Android 發行版時也是如此,而且這些資料是在未經使用者同意、未加密的情況下發送的。
小白:真的嗎?這聽起來很不可思議,企業私自收集使用者資訊還是用明文傳輸。那這些資料會被上傳到哪裡?
大東:報告說,這些資料會被上傳到企業部署在境外的伺服器上。而且受影響的智能手機包括絕大部分使用該品牌晶片的 Android 手機以及部分iOS系統手機。
小白:太可怕了。企業有什麼回應嗎?
大東:企業承認存在資料傳輸行為,但否認私自收集使用者隐私資訊,強調該行為符合XTRA服務隐私政策。至于上傳的使用者資料是否涉及國家安全,企業的解釋讓人難以信服。
小白:是啊,這涉及國家安全就不是小事了。如果我們這些資料落入某些境外政府機構或間諜組織的手裡,後果不堪設想。智能手機可是我們随身攜帶的裝置,幾乎包含了所有的個人秘密。他們是如何調查的?
大東:安全研究人員在一款去掉官方安卓系統的手機上進行了實驗,實驗過程中,他們使用了一個隐私保護嚴格的開源系統/e/OS,并關閉了GPS定位服務以避免幹擾實驗。
小白:他們發現了什麼?
大東:他們發現在手機連接配接到網絡後,首先向伺服器發送了DNS請求。接着發現手機與某品牌的伺服器建立了連接配接,這表明它正在悄悄收集使用者的資訊并上傳到他們的伺服器上。
小白:都包括哪些資訊呢?
大東:研究人員列出了可能收集到的資訊,包括裝置的唯一ID、國家代碼、手機營運商代碼(允許識别國家和移動營運商)、作業系統和版本、裝置上的軟體清單和IP位址等等。
小白:這麼多的資訊啊,甚至包括國家和IP位址。
大東:企業否認他們收集IP位址,實際情況是他們很可能也收集了IP位址。在安全研究完成公布後,企業更新了隐私政策,并補充也會收集裝置的IP位址。另外他們還添加了他們将此資料存儲90天以用于“品質目的”的資訊。
小白:這被人發現直接明目張膽地收集使用者資訊了嗎?
大東:按照企業的回複看來是這樣的了。
小白:這豈不是說任何使用他們晶片的手機都可能被企業收集資訊。
三、大話始末
大東:某品牌這樣的處理方法嚴重威脅使用者的個人資訊安全。
小白:是啊,如果報告中提到的情況屬實,使用者的個人資料将在未經同意和未加密的情況下發送給企業并上傳至境外的伺服器。這将對使用者的隐私造成嚴重威脅,個人資訊可能會落入不當的手中,導緻身份盜竊、資訊洩露和其他潛在的安全風險。
大東:不僅如此,私自收集使用者資訊一直都是違法的行為,某品牌此舉違反了相關的隐私法律和監管要求,可能會面臨法律訴訟和調查。此事件可能引發對資料隐私保護的更嚴格監管措施,以確定使用者資料的安全和隐私權的保護。
資料隐私保護(圖檔來自網絡)
小白:這樣來看的話,使用某品牌晶片手機的品牌,都可能受到影響。
大東:某品牌晶片廣泛應用于許多智能手機品牌,包括知名品牌和一些開源手機。任何使用該晶片的手機廠商都可能在不知情的情況下幫助其違法搜集使用者資料。
小白:供應鍊安全也會受到威脅。
供應鍊安全(圖檔來自網絡)
大東:是的,該事件可能會對整個智能手機供應鍊的安全性産生影響。這暴露了供應鍊中某些環節的安全漏洞,可能導緻使用者資料被洩露或濫用。供應鍊中的其他參與方,如手機制造商和營運商,可能需要加強對供應鍊環節的審查和監控,以確定供應鍊中的各個環節都符合資料隐私和安全的要求。
小白:國家是要加強供應鍊環節的審查和監控了。
大東:該事件已經威脅到國家安全了。
小白:晶片私自收集使用者資訊,資料被上傳到境外的伺服器上,可能引起其他國家情報機構的關注。這些國家可能會試圖擷取這些資料,以獲得有關特定個人、組織或國家的情報資訊。這可能涉及間諜活動和資訊戰。
大東:是以國家要加強對技術供應商的監管,以確定其産品和服務不會對國家安全造成威脅。需要更嚴格的安全審查的同時要求供應商提供更多的透明度。
四、小白内心說
小白:該熱點事件揭示了一些與網絡安全相關的問題,主要涉及資料隐私和供應鍊安全。如何保護資料隐私安全和供應鍊安全是一個值得思考的問題,以下是一些解決辦法和預防措施:
資料隐私保護方面,企業群組織應該遵守适用的資料隐私法規和最佳實踐,確定收集、存儲和處理使用者資料時遵循合适的權限和安全措施;使用者應該保持警惕,仔細閱讀并了解隐私政策和條款,以便知道個人資料的使用方式和範圍,并對分享個人資訊保持謹慎。
安全供應鍊加強方面,企業群組織應該對供應鍊中的各個環節進行審查和監控,確定所有合作夥伴和供應商都符合安全标準,并與他們建立可信任的關系;引入供應鍊安全評估和稽核機制,包括對硬體、軟體和資料傳輸過程的安全性進行全面檢查;采用安全認證和加密技術,確定資料在傳輸和存儲過程中得到充分的保護。
當然國家也要加強監管,政府和監管機構應該關注和監測技術公司和供應鍊中的安全問題,并制定适用的法律法規來保護使用者資料和網絡安全;加大對企業群組織的監管力度,確定其遵守相關的安全标準和規定,同時對違規行為進行調查和處罰。
個人也要加強隐私保護意識,使用者應該加強對網絡安全的意識,了解個人資料的價值和風險,并采取相應的措施來保護自己的隐私;學習如何識别和應對網絡威脅,包括釣魚郵件、惡意軟體等,以免受到個人資訊洩露或其他安全問題的影響。
參考資料:
1.實錘了?晶片巨頭高通的隐蔽後門被發現,私密收集使用者資料https://mp.weixin.qq.com/s/gRIP9NzvTMBfSrsCWvT4Ew
2.大資料時代,如何保護資料安全與資料隐私?https://zhuanlan.zhihu.com/p/87557927
3.聊聊供應鍊安全:建議與方法https://www.freebuf.com/articles/neopoints/261681.html
4.資料安全關乎國家安全http://www.npc.gov.cn/npc/c30834/202107/39abeb5d40744aeaa65e17794714c559.shtml
來源:中國科學院資訊工程研究所
本賬号稿件預設開啟微信“快捷轉載”
轉載請注明出處
其他管道轉載請聯系 [email protected]