APP偷窥“恶习难改”,谁动了你的“奶酪”?

 



◎ 科技日报记者 张蕴


关闭软件读取权限,你会发现APP强制要求授权,否则无法使用软件;打开权限,它则在你不知情的情况下频繁“偷窥”手机中的照片、通讯录、信息、位置,还会召唤手机中其他软件“小伙伴”来一场“组团偷窥秀”;正在APP中浏览一款车,销售人员就打来咨询电话;打开摄像头拍摄了一款包,购物网站就会为你推送相关产品......小朋友,你是否有很多问号?

没错,正是你的手机软件在“搞事情”。近日,央视新闻曝光的手机APP“偷窥”乱象调查,有APP十几分钟内访问照片和文件两万多次,涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。目前,工信部旗下中国信通院泰尔终端实验室已经对曝光的问题APP进行了检测。



图片来源:央视新闻

固然,公民对个人隐私的重视程度正不断加大,但软件手机软件窃取用户信息的技术亦是“魔高一丈”。手机APP窃取用户隐私为何屡禁不止?作为用户,如何保护个人隐私?面对一系列疑问,科技日报记者专访相关专家。

违规收集用户信息,已是“公开的秘密

事实上,关于手机软件“秘密访问”个人信息的事件近年来屡见不鲜。手机软件是如何频繁窃取用户信息的?

北京理工大学计算机网络及对抗技术研究所所长闫怀志接受科技日报记者采访时表示,随着信息技术的发展,移动网络及其应用日益普及,在人们的生产生活中的地位越发重要。包括智能手机在内的移动智能终端给人们带来的方便快捷的功能,主要是通过手机APP软件实现的。

闫怀志表示,APP窃取用户信息,通常是通过对移动手机的‘正常’操作而非攻击手段实现的。只不过这种操作权限,通常是APP采取‘瞒天过海’‘暗渡陈仓’等各种违法违规手段获得的。广义来讲,用户所有的数据及APP行为均需操作系统支持,换言之,对于操作系统来说,获取或利用用户所有的信息正是其本身功能所在,同时为了保护用户的信息,操作系统在不同层面设置了各种权限等安全机制以防止信息被恶意读取或滥用。如果APP获得了某种权限,就可以轻松读取该权限项下的所有信息。“而且,正常的APP通常不会‘冒天下之大不韪’,利用漏洞提权,窃取用户信息。”闫怀志如是说。

那么,不少人津津乐道的iOS系统真的安全吗?闫怀志认为,APP软件违法违规收集用户信息,早已是“公开的秘密”,这个问题不仅仅出现在安卓平台,包括iOS在内的一众智能终端系统概莫能外。

闫怀志解读,手机APP软件违法违规收集个人信息或是窃取用户信息,主要途径有:

未明确告知而收集信息。有些APP在收集信息之前未予明示,有的则是羞答答的“黑不提白不提”语焉不详,有的干脆是玩起文字游戏诱导用户同意;

未以清晰权限限定收集的目的、方式及范围。比如,通过正常渠道收集了用户信息,但是却因各种目的而超范围使用,给用户隐私和利益带来潜在风险和危害;

未以最小特权原则收集用户信息。通常来说,用户信息应该遵循“收所必需、用所必需”的基本准则,也就是说,所收集的信息应该是完成用户某项业务所必需的信息,而且这些信息应该在该业务范围内被正当使用。

至于用户信息被APP收集后向第三方转让或以此牟利,有的甚至是在网络空间中“裸奔”,这属于APP窃取用户信息的次生风险和危害。

“需要注意的是,APP窃取信息与黑客窃取用户信息导大量信息泄漏,这是两个性质不同的事件。一款正规上架的APP软件,在用户不知情的情况下或超出用户授权的情况下来获取用户信息,在手机上的操作不会利用任何攻击手段或者利用漏洞来实现,APP不可能通过漏洞来获取用户信息。”闫怀志还表示。

暗自“偷窥”背后是强大的利益链条

目前,我国已明确将数据纳入生产要素。很多APP过度收集隐私,即是为了商业目的。

那么,频繁访问用户信息,是软件需要还是别有他用?软件开发商彼此之间是否有着利益交换?

闫怀志对此表示:“一般来说,用户信息分为两类,一类是准静态信息,比如用户姓名、年龄、住址等,通常不会频繁变更,APP采集一次即可一劳永逸。另一类是动态信息,比如用户的位置、移动支付情况、个人健康状态等信息,经常或随时处于变化之中。动态信息就需要APP频繁访问方可获取。从技术上来看,APP频繁访问用户信息有的是确因业务需要,比如导航路径规划,自然需要了解用户的实时位置;健康监测业务,可能会需要随时获取用户的运动数据信息。当然,有的APP在用户未知情的情况下频繁访问用户信息,就是醉翁之意不在酒了。用户信息具有特殊重要价值,有些APP开发商会为了提升注册量、提供用户有用数据等方式进行用户信息交换。这种操作的前提自然是有利益交换。”



图片来源:央视新闻

根据调查,很多手机软件下载之后,还会频繁唤起其他软件自启动,进而在后台窥视用户照片、购物习惯等,技术层面如何解读这一现象?闫怀志认为,APP软件自启动具有较强的隐蔽性,非专业人士通常难以察觉。很多知名的办公、娱乐、社交类APP都有在后台频繁偷窥用户信息的“恶习”。更有甚者,有的软件不仅自身偷窥,还会频繁唤起其他软件在后台自启动偷窥用户信息,以获取用户精准画像,这种“表面买薯条,暗拿“全家桶””的行为具有更大的隐蔽性和危害性。APP唤起其他软件的技术实现途径很多,常见的有Intent唤起、包名唤起、ACTION唤起、URL唤起等方式。简单来说,就是通过后台通信协议来私自启动,而用户方可能会毫不知情。

“利”字当头 如何保护个人隐私?

事实上,手机APP过度收集个人信息现象,国家已相继出台《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,对APP超范围收集、强制授权、过度索权等个人信息安全问题进行了明确规定。

然而,很多手机软件依然无视国家法律法规,甚至铤而走险窃取公民隐私,手机APP窃取用户隐私为何屡禁不止?作为用户,如何保护个人隐私?



图片来源:央视新闻

对此,闫怀志称,手机APP违法违规收集或窃取个人隐私,不仅令APP用户深受其害、苦不堪言,更是“过节老鼠人人喊打”。但这种行为屡禁不止、屡打不绝的本质原因,无非是“利”字当头。“在信息时代和网络空间,个人信息也是一种资产,本身具有一定的价值,更会带来衍生的价值,在某种意义上来说,属于利益链的最前端。谁掌握了用户信息,谁就掌握了用户资源,就能够实现精准推广、精准营销甚至是精准诈骗。因此,APP‘越界’收集用户信息乱象丛生的现象自然就不难理解了。”

我国在相关领域,已经出台了一系列法律法规和标准规范对个人信息保护进行了规范,比如网络安全法、民法典、个人信息和重要数据出境安全评估办法、个人信息安全规范等,我国个人信息保护法正在加紧制定过程当中。

闫怀志还建议,作为用户,保护个人隐私,最重要的是提高安全意识和隐私保护理念。比如在安装APP时,应仔细阅读其数据收集请求,根据个人情况来选择是否提供。而且在提供信息的时候,要遵循“供所必需”的原则,不提供超出业务需求之外的信息。其次是注意采用适当的技术检测手段,通过APP监测工具来发现哪些APP偷偷在后台频繁运行。若出现隐私数据被恶意收集或滥用的情况,要及时保存证据,向有关部门举报维权。

来源:科技日报

编辑:张琦琪

审核:管晶晶

终审:冷文生


    关注 科技日报


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册