#你的聊天內容可能“被竊聽”#

導讀:你是否遇到過“不給授權就不讓用”的霸王APP授權條款?你是否驚訝於某些“廣告推送”過於精準?你是否懷疑過自己的線下對話遭到竊聽?你是否頻繁接到陌生的推廣電話，懷疑自己的個人資訊遭到洩露?

在這個便利的網際網路時代，為了獲取更便捷的服務和精準的資訊，個人隱私似乎是被出賣的那個!當年驚歎於所謂的精準推送演算法時，可能你的個人資訊已經在網上“裸奔”!

2020年上半年， 國家工業與資訊化部就已經公佈了兩批“關於侵害使用者權益行為的APP”名單。同時，央視也報道相關違規獲取使用者許可權、非法傳播使用者個人資訊的APP亂象。

國家工信部公佈的第一批違規APP名單

從工信部公佈的名單中可以看出，部分APP涉及到的問題包括以下幾個方面：

1.未獲得使用者授權私自收取個人資訊。

2.超過其功能範圍收取個人資訊。

3.個人資訊保護不當，私自共享、出售給第三方。

4.頻繁自啟動，甚至不給許可權不讓使用。

5.賬號登出難。

為什麼在社會福斯和各職能部門的密切關注和監督下，這些APP亂象仍然屢禁不止、越演越烈?了解這些問題是如何發生的，以及其背後蘊藏的巨大經濟利益，或許可以解開這些祕密。

國家工信部公佈的第二批違規APP名單

據@科技日報 報道，北京理工大學計算機網路及對抗技術研究所所長閆懷志在接受採訪時表示，APP獲取使用者資訊，通常是通過對手機的“正常、合法”操作而非攻擊手段實現的。雖然也有耍小聰明的方式，但都算是在框架下“合法”地規避“隱私協議”達到其目的。

廣義來講，使用者的資料處理、APP操作行為均需獲得手機自帶的作業系統支援。“而作業系統會在不同層面設定各種系統許可權等安全防護機制，防止使用者資訊被第三方軟體、使用者軟體惡意讀取或濫用。所以如果該APP通過引導使用者授權獲得了某種許可權或者繞過授權協議獲得系統許可權，就可以輕鬆讀取該許可權項下的所有資訊。”他說。

比如：根據浙江大學的最新研究成果，手機APP可以利用手機內建的加速度感測器，採集手機揚聲器所發出的聲音振動頻率，在使用者不知情的情況下繞開隱私協議，合法地獲取使用者語言訊息!看到這，小夥伴們是否驚恐;還可以通過聲波震動頻率來竊聽語音資訊!真的是無所不用其極!雖然說通過這種方式來獲取相關資訊並進行精準廣告推送的成本較高，且容易被使用者和監管機構察覺，但同樣值得我們警惕。

另外，APP專項治理工作組專家何彥哲通過具體實驗指出：儘管沒有開啟應用介面，違規的手機APP仍然會在後臺嘗試自啟動或者關聯啟動並且傳輸資料。據實驗表明，APP會率先獲取手機的IMEI號(移動裝置標識號，相當於手機的“身份證”)，然後在根據該裝置標識號進行個性化資訊推送。專家指出，因為這類APP極強的隱蔽性，給監管方面帶來很大的困難下

通常來說，使用者資訊應該遵循“收所必需、用所必需”的基本準則，也就是說，所收集的資訊應該是完成使用者某項業務所必需的資訊，而且這些資訊應該在該業務範圍內被正當使用。但是被曝光的軟體APP大多違背這一準則，違規獲取更多超出其完成服務所必需的資訊!

表面買薯條，暗拿“全家桶”。沒有資訊買賣，就不存在個人資訊共享、隱私洩露傷害!

目前，中國已明確將資料納入生產要素。很多APP過度收集隱私，無非是為了商業目的。那麼，頻繁訪問使用者資訊，究竟是作何用途？不同軟體可彼此喚醒，共同窺探使用者隱私，是否意味著開發商彼此之間存在利益交換？

閆懷志解釋道，從技術上來看，APP頻繁訪問使用者資訊有的是確因業務需要，比如導航路徑規劃，自然需要了解使用者的實時位置；健康監測業務，可能會需要隨時獲取使用者的運動資料資訊。獲取使用者個人資訊後，軟體運營商會通過資料分析，對使用者的活動範圍、消費能力等進行標定，從而進行更為精準的廣告投放或其他營銷行為。

“需要注意的是，使用者資訊具有特殊重要價值，為了提升註冊量、共享使用者有用資料，有些APP開發商之間會進行使用者資訊交換，這種操作的前提自然是利益。”閆懷志強調。

根據調查，很多手機軟體下載之後，會頻繁喚起其他軟體自啟動，進而共同在後臺窺視使用者照片、購物記錄等。閆懷志對軟體關聯啟動現象的解釋：APP喚起其他軟體的技術實現途徑很多，常見的有Intent喚起、包名喚起、URL喚起等方式，簡單來說，就是通過後臺通訊協議來私自啟動，並且啟動後僅在後臺執行資料，具有較強的隱蔽性，使用者很難察覺到。閆懷志進一步強調，喚起其他軟體在後臺自啟動，共同偷窺使用者資訊，目的是最大限度獲取使用者資訊以實現更為精準地畫像，這種表面買薯條，暗拿“全家桶”的行為具有更大的隱蔽性和危害性。

APP“偷窺癖”該如何防治，國家層面、普通使用者，手機廠商能做什麼?

為保障個人資訊保安，有關部門展開了一系列整治市場亂象的行動。

2020年1月，中央網信辦、工業和資訊化部、公安部、市場監管總局4部門，在全國範圍內聯合組織開展了APP違法違規收集使用個人資訊專項治理活動，併成立APP違法違規收集使用個人資訊專項治理工作組。

事實上，針對手機APP過度收集個人資訊現象，國家此前也已經相繼出臺《資訊保安技術個人資訊保安規範》和《網路安全實踐指南——移動網際網路應用基本業務功能必要資訊規範》，對APP超範圍收集、強制授權、過度索權等個人資訊保安問題進行了明確規定。

然而，很多手機軟體依然無視國家法律法規，甚至鋌而走險竊取公民隱私用以非法牟利。作為普通使用者，我們能夠做些什麼?可以有效保護個人隱私避免在網上“裸奔”？

1.提高個人資訊保護意識

在開啟相關許可權時，要謹慎勾選涉及個人資訊的選項，包括手機通訊錄、地理位置等等。在沒有必要的情況下不要輕易授權麥克風、攝像頭等許可權。發現手機存在資訊洩露、後臺自啟動等等違規問題，應及時採取措施，留下證據並向有關部門舉報。

2.技術層面——手機廠商

提高加速度感測器的許可權級別，避免各類應用在非必要的情況下采集、使用加速度感測器資料。與此同時，增強作業系統安全防護能力，設定相關內建濾波和視覺化監視功能——監視有自啟動嫌疑的軟體，並提示使用者;同時基於網路層和應用層開發新的安全協議。

總之，資訊化帶給我們便捷、智慧的同時，也不能將個人隱私出賣——它不應該成為資訊化時代的商品!

不過，保護個人隱私不僅僅是手機廠商的責任和靠軟體開發商自覺，更多還需要每一位使用者的參與，同時整個行業，乃至國家立法、執法層面都需要強力地措施。

只有多方力量聚合，才能真正地破解強制授權、違規收集個人資訊的APP亂象。

資料參考：

1.科技日報 《自己竊取資料還不夠 部分APP竟組團“偷窺”》

2.浙江大學 《關於部分手機軟體通過加速度感測器避開隱私協議竊聽使用者語音的研究》

3.國家工業與資訊化部 《網路與資訊保安6月調研資料報告》

作者說：沒啥好說的，今天看到關於這個的話題討論，然後結合前幾天確實看到央視對某些APP亂象的報道。本想好好查查資料，從專業技術角度闡述一下該事件，並且找到一些普通使用者就能操作的應對之法分享出來，但是找了半天都沒有找到。而我本人也不是資訊通訊和資料通訊專業的，只能淺顯地寫一寫自己的看法。