隨著科技的發展,我們的使用的電子裝置越來越先進,很多軟體像是十分了解我們的需求,總是能第一時間精準的推送我們需要的東西。你以為是大資料的功勞?NO!此刻更應該警惕,你的手機可能正在“被竊聽”!
App獲取個人資訊 使用者感覺“被竊聽”
北京的苑慶攀最近有個疑惑,和朋友只在線下閒聊過的東西,第二天就出現在自己手機應用的推送裡。
手機使用者 苑慶攀:朋友說椰棗,過了一天我就刷到了關於椰棗的推薦視訊。我覺得很驚訝,我除了說,沒有任何搜尋記錄,咋就給我推薦了?
過於精準的推送內容,讓苑慶攀感覺“後背發涼”。而這並不是苑慶攀一個人的感受。
手機使用者 李先生:有的App使用的話就要把通訊錄等資訊都授權,我都不知道為什麼要授權這些資訊。
手機使用者 紀女士:輸入自己的手機號傳送驗證碼之類的,第二天或者過幾天就會有不知名的一些電話打進來,推銷一些東西。
就在上週,工信部公佈了2020年第二批侵害使用者權益行為的App名單。在被點名的15個App中,有13個都涉及個人資訊的過度收集,包括“私自收集個人資訊”“超範圍收集個人資訊”“私自共享給第三方”等等,個人資訊保安依然受到威脅。
中國資訊通訊研究院泰爾終端實驗室資訊保安部主任 寧華:在後臺執行時,未經使用者同意,按照一定的時間間隔定期呼叫系統API介面,頻繁獲取位置、應用列表等使用者個人資訊。這些新現象新問題已成為今年App個人資訊保護治理的新重點。
而一些非法網路推廣團伙也盯上了個人的資訊。今年以來,公安部在15個省份開展打擊貸款類網路詐騙犯罪,發現非法團伙就是將矛頭指向有明確貸款意向的人員,根據他們在網際網路、手機App等的瀏覽、搜尋記錄,分析其貸款意向,從而精準推送大量虛假貸款廣告,並實施詐騙。
360集團安全研究員 俞奎:他拿到你的通訊錄,又拿到簡訊,他可能知道你近段時間有借貸需求,這個時候他就可能會把這些資料進行二次販賣,比如賣給一些專門做詐騙的人員。
手段隱蔽 多款App違規收集個人資訊
面對越來越精準的推送,使用者有著擔心“被竊聽”的焦慮,個人資訊也確實存在過度獲取的可能。為此,國家有關部門專門組建了App專項治理工作組,對強制授權、過度索權、超範圍收集個人資訊等現象進行專業的監管。精準推送怎麼實現?過度獲取怎麼界定?
App專項治理工作組專家 何延哲:第一個資料包出現了,我們再等等,第二個資料包也出來了,我點開資料包,這裡面就有一個是裝置的IMEI號(移動裝置標識號)的識別符號。
在App專項治理工作組,針對個人資訊保護的測試正在緊張地進行。檢測工具顯示,這款社交類App剛安裝進手機,一次都還沒有開啟,卻已經開始悄悄地向外傳輸資料。
App專項治理工作組專家 何延哲:App在隱私政策裡沒有提這件事,而且完全是隱瞞了它的自啟動的方式,自己又把資訊傳到了自己的伺服器上,是有實證的。明確是違法、違規收集的一種行為。
專家告訴記者,App獲取的第一個資訊,往往就是手機的IMEI號,也就是移動裝置標識號。這個唯一的識別碼,相當於手機的身份證。不管是經過使用者同意“拿走”,還是不經允許“偷走”,App一旦獲得了移動裝置標識號,就為個性化推送奠定了基礎。更可怕的是,專項治理工作組對大量App測試後發現,App獲取的資訊,不僅能自己用,甚至有部分App,會把資訊傳給第三方。
App專項治理工作組專家 何延哲:這是一款第三方SDK(軟體開發工具包),它通過自啟動之後的機制,把使用者手機上的IMEI號這樣的資訊傳走了。
專家介紹,在個別App內嵌入的第三方軟體開發工具包超過50個。這些有著訊息推送等功能的第三方工具包,行為更隱蔽,也是目前監管的難點。
360集團首席安全官 杜躍進:法律在一般情況下有一些認定,比如通訊錄資料、簡訊的資料、點對點通訊資料,是絕對不能被採集的,但是其他有一些地方其實就不那麼清楚。
浙江大學網路空間安全研究中心研究員 周亞金:有一個所謂叫最小特權原則,就是說如果你不這麼做,或者你把某一項你需要的許可權給拿掉,或者你把你目前在後臺做的某一個操作給拿掉,它不影響你App的正常功能,這個許可權你實際上就不應該獲取。
專家:獲取技術在進步 資訊保護在加碼
近年來,有關部門定期針對App違法獲取個人資訊的行為進行曝光,針對App的各項隱私政策也在不斷細化和規範。
App專項治理工作組專家 何延哲:完全沒必要用竊聽這麼複雜高階的手段,去針對某一個人的購物需求去做這樣的事。造成精準推送的原因有很多,有可能是你的好友搜了一個商品,它可能知道你們是好友關係,可能就會給這些人都會推這樣的資訊,但是你感覺好像是自己的原因,好像被“竊聽”了。
不過,專家也提醒,越來越多新的技術手段正在降低使用者資訊獲取的成本和風險。今年,浙江大學的最新研究成果顯示,手機App甚至可以利用手機內建的加速度感測器,採集手機揚聲器所發出的聲音振動頻率。這樣的技術,可以在使用者不知情的情況下,繞開隱私協議,合法地獲取語音資訊。
360集團首席安全官 杜躍進 :普通使用者能做的很有限,最多就是看一看App裡面的隱私宣告,但是稍微大一點的App,也都會知道在法規上文字上是不會有問題的。
浙江大學網路空間安全研究中心研究員 周亞金 :一些廠商可以提出繞過隱私協議的一些機制,來繼續訪問使用者的隱私行為,但是也不彈窗,也不會被發現,這個其實技術上的攻防是一直存在的。
與此同時,個人資訊的保護也一直在不斷加強。去年12月,國家網信辦出臺《App違法違規收集使用個人資訊行為認定方法》,強化使用者的知情權和決定權。
App專項治理工作組專家 何延哲:能夠關閉這也是一種控制,廣告太精準了,恐怕最後起到的效果不一定很好,這裡面就需要制定一些規則,比如使用者畫像,不一定做一些直接的畫像,比如可能這一群人喜歡足球、喜歡讀書,這是一種愛好習慣,就用這種寬泛性的愛好習慣來代替對於個人的精準的需求。
如何防止被惡意監控?
01
注意後臺的隱藏軟體
惡意的軟體被安裝後,是會隱藏桌面上的圖示,如果你不自查,根本發現不了。所以第一步需要做的就是,進入手機設定,檢視應用程式的後臺執行情況,看一看有沒有陌生的應用,如果有就需要提高警惕及時解除安裝。
02
注意流量電量的使用
當被惡意軟體監控時,資訊會向外傳送,這是需要消耗自身手機的流量和電量的。所以當發現手機的流量和電量莫名開始大量消耗時就要自查一下了。
03
注意軟體下載渠道
軟體下載的平臺也很重要,千萬不要到不知名的網站下載軟體。現在的手機都有自帶的第三方應用市場,如果需要下載軟體,可以在裡面下載,都是非常安全可靠的。
04
注意Root
Root是系統的最高許可權,它可以修改和訪問手機的所有檔案,手機Root後更容易被惡意軟體破壞,且破壞程度也更加嚴重,所以不要輕易獲取系統的最高許可權。
05
注意應用許可權
在下載軟體登入時,都會彈出要求開通許可權的頁面,這個時候需要仔細檢視一下,對於該軟體根本沒有必要的許可權就要進行關閉。
如一個美食APP卻要求地區定位許可權,這就是完全沒有必要的。同時,對於長期不用的第三方網站,取消賬號授權。
06
注意公共WIFI
無需驗資的公共WiFi是資訊洩露的一大途徑,一旦連線此類WiFi可能會導致裝置的定位和個人資訊被截獲。
END