你是否遇见过“不授权不让用”的 App 权限?
你是否怀疑过个人的线下对话遭到窃听?
你是否察觉过自己的个人信息遭到泄露?
这些现象,都属于 App 的越界行为,且这些违规行为,正随着网络的发展不断衍生。
2020 年刚过半程,工信部就已公布了两批“关于侵害用户权益行为的 App”名单。此外,央视财经也对此乱象进行了报道。
不难看出,违规越界的 App,正成为信息化毒瘤。
7 月 12 日,央视财经曝光了一些越界 App 获取个人信息的现象。报道指出,部分用户在线下闲聊时出现的词语,之后会出现在手机应用的推送中,由此怀疑手机 App 存在窃听的行径。
另外,报道还指出了一些不合理的信息授权行为、以及利用手机验证码方式获取个人信息等问题。
在央视曝光之后,网友们纷纷表示同感——“早就有这种感受了”、“有隐私太难了“、”这个问题是很严重了“、“遇到这种情况不是一次两次了,没有秘密的世界”·······
事实上,在央视财经曝光之前,工信部就曾公布过“侵害用户权益行为的 App 名单“。
雷锋网注:图为 2020 年第一批存在问题的应用软件名单
其中,在 5 月 15 日,工信部就公布了 2020 年第一批存在问题的应用软件名单,包括当当、租租车、WiFi 管家等 App。
雷锋网注:图为 2020 年第二批侵害用户权益行为的 App 名单
过了不到两个月,7 月 3 日,工信部就公布了 2020 年第二批侵害用户权益行为的 App 名单,主要包括智慧树、纳米盒、悟饭游戏厅等 15 款 App。
雷锋网了解到,虽名列第一批名单之中,但租租车目前已完成在规定日期内完成整改,并经工信部信息通信管理局确认核实。
另外,从工信部公布的 App 名单中可以看出,其涉及的问题主要包括以下几个方面:
私自收取个人信息;
超范围收取个人信息;
私自共享给第三方;
不给权限不让用;
频繁申请权限;
过度索取权限;
强制用户使用定向推送功能;
账号注销难。
那么,这些问题是如何在手机中发生?并且在各部门的关注之下,为什么这些 App 问题仍屡禁不止?
根据浙江大学的最新研究成果,手机 App 可以利用手机内置的加速度传感器,采集手机扬声器所发出的声音振动频率,在用户不知情的情况下绕开隐私协议,合法地获取语音信息。
雷锋网注:图片截自经济信息联播
另外,App 专项治理工作组专家何延哲通过具体试验指出,尽管没有开启应用界面,但违规的手机 App 仍会在后台传输数据。
从被传输的数据包中卡已看出,App 会率先获取手机的 IMEI 号(移动设备标识号,相当于“手机身份证”)。专家指出,移动设备标识号一旦被窃取,就为个性化推送奠定了基础。
不仅如此,部分 App 不仅自己使用违规获取的信息,还会将这些信息传输给第三方。而包含第三方工具包的 App 行为会更加隐蔽,从而加大了监管的困难性。
没有买卖,就没有伤害。
个人信息之所以频繁遭到窃取,除了 App 个性化推送的需要,还离不开一条灰色产业链。
据此前报道曝光,个人信息买卖已形成一条规模大、链条长、利益大的产业链,即非法获取个人信息—信息再加工—信息贩卖,这一产业链结构完整,各种信息明码标价。
那么,除了 App 内的窃取,还存在哪些非法窃取用户数据的行径呢?
据《新京报》此前报道,利用网络爬虫等方式也是信息窃取的主要行径之一。部分机构通过淘宝、京东等电商平台商家爬取用户数据,或是通过网页等方式获取用户手机号等个人信息,再通过数据贩卖和流量牵引牟利。
再者,能够接触到个人数据信息的工作人员也是泄漏数据的“主力军”,利用职务的便利,高价出售客户隐私信息。
个人信息频频受到侵犯,数据泄漏乱象,亟需规范。
首先,从用户层面来看,要提高个人信息保护意识。
在开启相关权限时,要谨慎勾选涉及个人信息的选项,包括手机通讯录、地理位置等。另外,涉及麦克风、摄像头等功能,在非必要情况下也勿轻易授权。
在使用 App 的过程中,用户还需多留意是否存在信息泄漏、后台自启动等问题。若发现相关违规现象,应即时采取措施,加强权限,并向有关部分反映。
在手机厂商层面,浙江大学网络空间安全学院院长任奎曾在采访中给出了建议,任奎表示:
建议各大手机厂商提高加速度传感器的权限级别,尽量避免各类应用在非必要的情况下采集加速计数据。
与此同时,各大厂商还应对加速计的采样频率进行限制,或通过系统内置滤波器提前过滤掉加速度传感器信号中包含最多语音信息的高频部分。
另外,为了避免将来出现类似的漏洞,各大厂商重新评估各个传感器的安全性和敏感性,修改 Android 操作系统对手机 App 调用各种传感器数据的使用权限,杜绝未来的侧信道攻击路径。
在法律法规层面上,目前我国已发布了《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,在多个方面有进行具体规范。
但随着个人信息收到侵犯的方式逐渐多样化,法律法规也仍待进一步完善。例如,对于不授权不可用的问题,互联网行业专家包冉对“央视财经”表示:
不授权就不让用,这样肯定是不合理的。但是,是不是合法现在在界定上还处于模糊地带,因为我们相关的法律法规,没有对此进行特别精准的描述和界定。
信息化时代带来的应是便利性、智能性,私人数据不应成为信息化时代的商品。并且,个人信息的保护不仅是单人作战,而是整个行业的事情,需要多方力量的参与。
另外,对于那些处于灰色产业链中的人,当你在窃取、贩卖他人数据时,殊不知你的数据也同样被窃取、被贩卖,在这场数据交易游戏中,一旦开始,就没人例外。
为了不让个人信息“裸奔”,最好的方式便是,按下这场非法交易游戏的终止键。
参考资料:
【1】http://www.gov.cn/xinwen/2020-05/17/content_5512332.htm
【2】https://krcom.cn/2258727970/episodes/2358773:4525639269548073
【3】https://baijiahao.baidu.com/s?id=1660947140447279951&wfr=spider&for=pc