互联网的发展速度远快于法规政策的更新出台,各大应用程序收集用户数据早已不是秘密。或许你会觉得,反正大家都在数据海洋里裸泳,没什么隐私可言,有什么好怕的。
可是你自己不在乎,真的没人会替你着急。
本文希望能为你讲清楚,手机App是怎么悄咪咪拿走你个人数据的?背后形成了怎样的产业链?以及以后遇到一些侵犯个人隐私的情况时,你能拿出知识的武器,给不正当分子一顿胖揍。
信息泄漏的元凶,就是我们的智能手机,尤其是能收集、记录、传输各种数据的App。
近期,央视报道了一则手机APP在后台偷窥用户隐私的新闻,令人触目惊心:
移动教学软件“优学院”十几分钟访问手机照片和文件近25000次;一款办公软件“TIM”1小时内,自启动近7000次,并不停读取通讯录。
一些广泛使用的App,比如“拼多多”、“美图秀秀”、“王者荣耀” 、“新浪微博”等也在频繁自启动、唤醒同类App等,这些都属于超权限行为。
这些App收集到的个人信息,可以逐渐形成你的精准画像,往好里说,可以帮助商业社会完成“商品找人”的转变过程;往坏里说,犯罪分子要想对你的资产有什么企图,只有想不想,没有做不做得到的说法。
手机App如何获取个人数据?
以占据大多市场份额(75.44%)的安卓手机为例。
一般情况App不能作妖,不能执行任何对其他应用、操作系统、用户,有不利的影响操作,除非你有功能需求——比如不打开GPS,你就无法用百度地图、滴滴打车;不打开语音输入,你就用不了微信、电话等。
也就是一款App要想获得更多数据,就要向其他应用、操作系统、用户进行权限申请,获得允许后才能获得他们的数据、功能支持等。
App在系统中的权限根据不同级别有4种——普通级别、危险级别、签名级别及系统签名级别。
普通级别的权限:App申请就可以获得,不需要用户确认;比如一款App下载后会自动占用你的存储空间、获得你的时区信息等;
危险级别权限:安卓官方网站公布的权限分析得出,主要是指收集个人信息相关的权限,共计 26 个;包括手机通讯录、地理位置、照相机等这些比较常见的权限;
签名级别权限、系统/签名级别权限:每个App都需要一个签名以防止文件被篡改,你可以理解为一个对头的暗号,对上了,才能进场嗨。
要注意的是,一些普通级别的签名,是没法获取危险级别权限的,但如果是系统签名权限,能自动获得一些危险级别权限——比如很多手机系统内置的地图软件,都直接具有定位权限。
我们要着重关注的是,必须获得用户授权的危险权限。
去年App专项治理工作组做了一项调查,列出26项危险权限,然后对比100款常用App到底收集了哪些信息?
结果并不乐观。
从分布比例上看,大多数App要收集5~10项危险权限;超过1/4的App是要收集10个以上的危险权限。
其中有超过70%的App 都申请了读取通讯录,还有相机、位置、录音、设备号、存储信息几乎是所有App都要求开通的权限。这些权限已然成为一款 App 的标配。
不给App权限会怎样?
如果不给权限呢?
一种情况是,这些App就会罢工、躺尸,表示你不给我走后门,我就不让你上车,你一看,没办法,只好把他需要的权限都给他。
这个时候,你往往会忽略一个问题,那就是App向你申请权限的原因,到底合不合理?
比如一款P图软件,要读取你的短信记录,就会以用户可能发图片短信给好友为由;一款导航软件要访问相册,理由可能是,有时候用户会用图像识别功能,来辨别路标和位置。
总之,App会拿出各种原因,让你给权限。另外一种情况是,你不给权限也没关系,反正它也有别的门道获得你的信息。
每个人的手机都有一些数据是独一无二且几乎完全公开的——比如 IMSI、IMEI 号,内存等。这些相当于手机的“身份证号”。
只要这款App知道你硬件设备信息,也能通过其他渠道获得你的数据。
举个例子。某电商平台想知道你的位置信息,你拒绝了它,没关系,你总会把位置权限开放给某社交平台、某出行平台。
这些社交平台、出行平台,获得你的位置权限后,就开始行动了,赶紧调用自己后台的数据、广告平台的数据、第三方数据平台的数据等,分析得出你此时的行为趋势是——玩够了,要滚回单位工作了,于是马上找出几款你90%会用到的产品:机票、醒酒汤、风油精,但这几类产品有很多商家都想卖给你,怎么办呢?
竞价系统就站出来开始拍卖——看到没有,这个人下一秒马上就要看到这个广告位了,你们谁给出的价格高,我就让谁家的产品出现在他的面前,经过0.01秒的比拼,家大业大的航空公司胜出了,于是你就看到了一个关于机票促销的广告。
这个过程中,坐收渔翁之利的是谁?某电商平台啊。
因为某社交平台、某出行平台把你的位置已经在“数据集市”中曝光啦,尽管他们不会直接把你的位置暴露出去,但经过多方数据流转,某电商平台根据你的设备号、内存信息等,一下就定位到,这个位置信息是你的。
这种信息流转的方式,已成为常态,大多情况下,处于法律管辖的黑灰地带。
泄漏的个人信息形成了怎样的产业链?
各类App泄漏的信息,逐渐流入黑灰产人士专门储备个人信息的数据库——也俗称“社工库”,其中还包括黑客、大数据服务商等经过各种手段获得的信息。
于是一条数据产业链就形成了——拥有“社工库”的黑灰产,将各种账号信息、身份信息、交易信息等,通过QQ群、论坛、暗网等渠道,进行交易。
商业模式主要有三种:合作模式、收费模式和雇佣分成。然后个人数据会被应用在精准营销、网络诈骗等环节。
这样的产业到底有多大?没办法估计,因为很多数据交易上不了台面。
根据2017年发布的《电子商务生态安全白皮书》推测,中国“网络黑产”从业人员已经超过150万,市场规模高达千亿级别。
以黑产中较为重要的交易产品——个人App账号密码为例。数十亿账号密码,被黑灰产业所掌握,他们大多数都是通过撞库、刷库造成账号被盗,而盗号衍生的产业链年获利超百亿元。
在数据的源头,有着多少App?
有数据统计,每个人手机中平均有56款App,少一点的可能十多个,多一点的,上百都有可能。中国应用商店数量有200多家,上架的App有500多万款。
这些App有可能停止收集你的数据吗?
答案是:不可能。
App不去挖掘用户的数据,就很难获得用户痛点和喜好,没有对用户痛点和喜好的洞察,就无法提供合适的产品和解决方案,也就无法创造商业价值。
就以互联网行业重要的收益来源——广告来说。
手机APP收集你的信息之后,精准营销的不只是你一个人,而是跟你有关系网的人、跟你属于同一类型的人,辐射范围会越来越广、越来越精准,这背后巨大的利益岂能轻易放弃?
如何防范个人信息被App泄漏?
有什么办法阻止App的骚操作吗?
答案也是:几乎不可能。很多情况下,你甚至很难分辨这款App到底是不是侵犯了你的权限。
好在,移动互联网行业蒙眼狂奔多年,从去年年底开始,也逐渐受到监管机构颇具规模和力度的整顿。
去年12月,工信部发布通知,点名了41款较为常用的App,包括QQ、新浪体育、小米金融、36Kr、闪送、起点直播等,因为它们存在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等问题。
这一批通报后,有3款没能在规定时间内完成整改的App,随后终身下架。
今年1月份,工信部又点名了15款App,包括拉钩招聘、瑞幸咖啡、天涯社区等;5月份,信息通信管理局发布通知,点名16款App,因为他们存在不合理索取用户权限行为,包括当当、e代驾、千千音乐、七猫免费小说、WiFi管家等。
相对于欧盟的GDPR、美国的《加州消费者隐私法》等从2018年开始陆续出台,国内涉及到个人信息保护的法规还分散在近40部法律、30余部法规以及近200部规章中,未形成体系。
今年两会上,《个人信息保护法》草 案被提出,正式法案出台相信也指日可待。
政策监管加大力度外,其实防止个人敏感信息泄漏,靠的还是自己的隐私意识。
首先,下载App时,最好选择恶意密度较低的应用商店,比如苹果的Appstore、安卓手机的应用商店,不要在一些恶意App密度高的应用商店下载。
去年一项调查列出了恶意密度最高的 5 大应用商店,大家可以留意下:
(1)9Game;
(2) Feral 应用程序商店;
(3) 华为 Vmall 应用程序商店;
(4)小米应用程序商店;
(5)助手应用商店
其次,在安装App时,会弹出各种权限申请,此时一定要注意位置信息、手机通讯录等26隐私权限,不常用的不要给。
此外,要定期清理手机内存数据,不要把身份证照片、银行卡号等关键信息留在手机内,定期查看手机应用权限。
还要警惕来源不明的二维码扫描、注册申请等,一些补贴、礼品很有可能是黑灰产为了收集个人信息的诱饵,2块钱获得的数据被转手就能卖出10块钱。
最后,信息被泄露后,也不要自认倒霉。按相关规定,消费者有权要求网络服务提供者删除个人隐私信息,还能向公安和互联网管理部门进行投诉举报。
总结起来,应对App偷走你的个人信息的关键在于——不断地告诫自己:我,很重要!我的信息,很重要!