在嘗試關(guān)閉軟件讀取權限的時(shí)候����,經(jīng)常有用戶(hù)會(huì )發(fā)現部分APP會(huì )強制要求授權�����,否則無(wú)法繼續使用���,而打開(kāi)權限后�,你就會(huì )發(fā)現���,手機越來(lái)越能讀懂你的心——拿著(zhù)到手的新包來(lái)一張自拍����,打開(kāi)購物網(wǎng)站就會(huì )出現相關(guān)產(chǎn)品推送��;正在A(yíng)PP中瀏覽一款最新車(chē)型����,銷(xiāo)售人員就打來(lái)咨詢(xún)電話(huà)……
沒(méi)錯��,正是你的手機軟件在“搞事情”�。近日�,媒體曝光的手機APP“偷窺”亂象調查顯示�,有的APP能夠在十幾分鐘內訪(fǎng)問(wèn)照片和文件兩萬(wàn)多次���,其中涉及移動(dòng)教學(xué)軟件“優(yōu)學(xué)院”���、辦公軟件“TIM”等多款產(chǎn)品����。手機APP竊取用戶(hù)隱私為何屢禁不止���?作為用戶(hù)�����,如何保護個(gè)人隱私���?面對一系列疑問(wèn)��,科技日報記者采訪(fǎng)了相關(guān)專(zhuān)家���。
APP違規收集信息屢禁不止
近年來(lái)��,關(guān)于手機軟件“秘密訪(fǎng)問(wèn)”個(gè)人信息的事件屢見(jiàn)不鮮��。手機軟件是如何頻繁竊取用戶(hù)信息的��?
北京理工大學(xué)計算機網(wǎng)絡(luò )及對抗技術(shù)研究所所長(cháng)閆懷志接受科技日報記者采訪(fǎng)時(shí)表示���,APP竊取用戶(hù)信息��,通常是通過(guò)對手機的“正����!辈僮鞫枪羰侄螌(shí)現的�����。廣義來(lái)講��,用戶(hù)的數據處理��、APP操作行為均需獲得手機自帶的操作系統支持����!岸僮飨到y會(huì )在不同層面設置各種權限等安全機制���,防止用戶(hù)信息被惡意讀取或濫用�。但如果APP獲得了某種權限�����,就可以輕松讀取該權限項下的所有信息�������!彼f(shuō)����。
閆懷志解讀���,手機APP違法違規收集個(gè)人信息或是竊取用戶(hù)信息���,主要途徑有以下兩種:第一種是未明確告知而收集信息����,例如有些APP在收集信息之前未予明示�����,有的干脆玩起文字游戲誘導用戶(hù)同意��;第二種是未以清晰權限限定收集的目的����、方式及范圍�,比如通過(guò)正常渠道收集了用戶(hù)信息��,但是卻超范圍使用��,給用戶(hù)隱私和利益帶來(lái)潛在風(fēng)險和危害�。
通常來(lái)說(shuō)�����,用戶(hù)信息應該遵循“收所必需�����、用所必需”的基本準則�,也就是說(shuō)���,所收集的信息應該是完成用戶(hù)某項業(yè)務(wù)所必需的信息�,而且這些信息應該在該業(yè)務(wù)范圍內被正當使用��。
“需要注意的是���,APP竊取信息與黑客竊取用戶(hù)信息導致大量信息泄露�,這是兩個(gè)性質(zhì)不同的事件����。一款正規上架的APP軟件���,在用戶(hù)不知情的情況下或超出用戶(hù)授權的情況下來(lái)獲取用戶(hù)信息���,在手機上的操作不必利用任何攻擊手段來(lái)實(shí)現����,即便系統沒(méi)有漏洞��,APP依然可以獲取用戶(hù)信息����!遍Z懷志說(shuō)����。
表面買(mǎi)薯條����,暗拿“全家桶”
目前�����,我國已明確將數據納入生產(chǎn)要素,很多APP過(guò)度收集隱私��,就是為了商業(yè)目的����。那么�,頻繁訪(fǎng)問(wèn)用戶(hù)信息�����,究竟是作何用途��?不同軟件可彼此喚醒�����,共同窺探用戶(hù)隱私��,是否意味著(zhù)開(kāi)發(fā)商彼此之間存在利益交換����?
據了解���,一般來(lái)說(shuō)��,用戶(hù)信息可分為兩類(lèi)�,一類(lèi)是準靜態(tài)信息����,比如用戶(hù)姓名�����、年齡��、住址等�,通常不會(huì )頻繁變更����,APP采集一次即可一勞永逸����。另一類(lèi)是動(dòng)態(tài)信息��,比如用戶(hù)的位置�����、移動(dòng)支付情況�����、個(gè)人健康狀態(tài)等信息�,經(jīng)����;螂S時(shí)處于變化之中�����。動(dòng)態(tài)信息就需要APP頻繁訪(fǎng)問(wèn)方可獲取��。
閆懷志解釋道�,從技術(shù)上來(lái)看���,APP頻繁訪(fǎng)問(wèn)用戶(hù)信息有的是確因業(yè)務(wù)需要���,比如導航路徑規劃���,自然需要了解用戶(hù)的實(shí)時(shí)位置�����;健康監測業(yè)務(wù)�����,可能會(huì )需要隨時(shí)獲取用戶(hù)的運動(dòng)數據信息��。獲取用戶(hù)個(gè)人信息后����,軟件運營(yíng)商會(huì )通過(guò)數據分析�����,對用戶(hù)的活動(dòng)范圍���、消費能力等進(jìn)行標定�����,從而進(jìn)行更為精準的廣告投放或其他營(yíng)銷(xiāo)行為����。
“需要注意的是����,用戶(hù)信息具有特殊重要價(jià)值�,為了提升注冊量�、共享用戶(hù)有用數據���,有些APP開(kāi)發(fā)商之間會(huì )進(jìn)行用戶(hù)信息交換�����,這種操作的前提自然是利益���!遍Z懷志強調��。
根據調查��,很多手機軟件下載之后�����,會(huì )頻繁喚起其他軟件自啟動(dòng)�����,進(jìn)而共同在后臺窺視用戶(hù)照片���、購物記錄等��,技術(shù)層面如何解讀這一現象�����?
閆懷志解釋說(shuō)��,APP喚起其他軟件的技術(shù)實(shí)現途徑很多��,常見(jiàn)的有Intent喚起���、包名喚起����、URL喚起等方式���,簡(jiǎn)單來(lái)說(shuō)�,就是通過(guò)后臺通信協(xié)議來(lái)私自啟動(dòng)��,并且啟動(dòng)后僅在后臺運行數據���,具有較強的隱蔽性���,用戶(hù)很難察覺(jué)到���。閆懷志進(jìn)一步強調�,喚起其他軟件在后臺自啟動(dòng)��,共同偷窺用戶(hù)信息���,目的是最大限度獲取用戶(hù)信息以實(shí)現更為精準地畫(huà)像����,這種表面買(mǎi)薯條��,暗拿“全家桶”的行為具有更大的隱蔽性和危害性��。
軟件“偷窺癖”該如何防治
為保障個(gè)人信息安全�,有關(guān)部門(mén)展開(kāi)了一系列整治市場(chǎng)亂象的行動(dòng)�����。2019年1月��,中央網(wǎng)信辦��、工業(yè)和信息化部�����、公安部�、市場(chǎng)監管總局4部門(mén)����,在全國范圍內聯(lián)合組織開(kāi)展了APP違法違規收集使用個(gè)人信息專(zhuān)項治理活動(dòng)���,并成立APP違法違規收集使用個(gè)人信息專(zhuān)項治理工作組��。工作組根據收到的萬(wàn)余條網(wǎng)民舉報信息����,統計出前五大典型問(wèn)題分別為:超范圍收集與功能無(wú)關(guān)的個(gè)人信息��、強制或頻繁索要無(wú)關(guān)權限�����、存在不合理免責條款����、無(wú)法注銷(xiāo)賬號����、默認捆綁功能并一攬子同意��。
事實(shí)上��,針對手機APP過(guò)度收集個(gè)人信息現象����,國家此前也已經(jīng)相繼出臺《信息安全技術(shù)個(gè)人信息安全規范》和《網(wǎng)絡(luò )安全實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應用基本業(yè)務(wù)功能必要信息規范》��,對APP超范圍收集�、強制授權�、過(guò)度索權等個(gè)人信息安全問(wèn)題進(jìn)行了明確規定���。
然而�����,很多手機軟件依然無(wú)視國家法律法規�����,甚至鋌而走險竊取公民隱私用以非法牟利�����,究竟為何手機APP竊取用戶(hù)隱私屢禁不止�����?作為用戶(hù)�����,該如何有效保護個(gè)人隱私�?
對此����,閆懷志稱(chēng)����,手機APP違法違規收集或竊取個(gè)人隱私行為屢禁不止���、屢打不絕的本質(zhì)原因��,無(wú)非是“利”字當頭�������!霸谛畔r(shí)代和網(wǎng)絡(luò )空間�,個(gè)人信息也是一種資產(chǎn)�����,本身具有一定的價(jià)值�����,更會(huì )帶來(lái)衍生的價(jià)值���,在某種意義上來(lái)說(shuō)��,屬于利益鏈的最前端�����。誰(shuí)掌握了用戶(hù)信息�����,誰(shuí)就掌握了用戶(hù)資源����,就能夠實(shí)現精準推廣����、精準營(yíng)銷(xiāo)甚至是精準詐騙�。因此��,APP‘越界’收集用戶(hù)信息的現象自然就不難理解了���������!彼f(shuō)���。
近期�����,APP違法違規收集使用個(gè)人信息專(zhuān)項治理工作組發(fā)布了《APP違法違規收集使用個(gè)人信息專(zhuān)項治理報告(2019)》�����,該報告顯示���,有的APP在過(guò)度收集個(gè)人信息時(shí)使用加密數據包�,有的APP對測試環(huán)境進(jìn)行識別以規避檢測工具發(fā)現其異常傳輸行為����,還有的APP繞過(guò)移動(dòng)設備操作系統權限控制機制����,采用讀取外部存儲區方式獲取信息�����。當APP使用上述方式��,現有檢測手段發(fā)現超范圍收集個(gè)人信息問(wèn)題和舉證的難度會(huì )加大不少���。因此�����,需要相關(guān)部門(mén)進(jìn)一步加強深度檢測技術(shù)研究�,在后續持續監督的過(guò)程中占據主動(dòng)權�,有效震懾違法違規行為��。
為此�,閆懷志建議���,作為用戶(hù)����,最重要的是提高安全意識和隱私保護理念����。比如在安裝APP時(shí)�����,應仔細閱讀其數據收集請求��,根據個(gè)人情況來(lái)選擇是否提供����。而且在提供信息的時(shí)候�,要遵循“供所必需”的原則�,不提供超出業(yè)務(wù)需求之外的信息��。其次是注意采用適當的技術(shù)檢測手段���,通過(guò)APP監測工具來(lái)發(fā)現哪些APP偷偷在后臺頻繁運行�����。若出現隱私數據被惡意收集或濫用的情況��,要及時(shí)保存證據�,向有關(guān)部門(mén)舉報維權��。
商務(wù)地帶
