蘇寧金融研究院 / 待分類 / 這些APP在偷窺你的隱私!

分享

   

【順豐深圳集運倉地址】這些APP在偷窺你的隱私!

2020-10-22  蘇寧金融...


每天只讓你選擇一件物品出門,你會選擇什麼呢?

相信大家心裏已經有了答案,那就是手機。

你的工作生活是不是已經被手機填滿?早上起來查看天氣,手機APP自動提醒你注意防曬;開車經過某一個城市,手機APP馬上推薦相關城市的衣食住行。作為資深手機控,我們充分享受各類APP帶來的便利。

另外,你的手機是否頻繁收到一堆優惠活動的垃圾短信;除了快遞小哥給你打電話,更多時候對方直接報上你的大名,當你以為是老朋友或者同事時,卻發現對方讓你帶上小孩來參加課程體驗,或者某某房源又有優惠。對於個人隱私泄露,你是否深惡痛絕呢?

對於越來越懂你的手機,你懂它嗎?

本文起底惡意APP如何竊取你的隱私,以及教你如何防範。



隱私泄露屢禁不止,精準詐騙頻發


2020年5月15日,工信部發布關於侵害用户權益行為的APP通報(2020年第一批)。依據《網絡安全法》《電信條例》《電信和互聯網用户個人信息保護規定》等法律法規,工業和信息化部近期組織第三方檢測機構對手機應用軟件進行檢查,對發現存在問題的企業進行督促整改。

到底有哪些APP?它們涉及到的違法違規行為是什麼?

據通報,噹噹、店長直聘、e代駕、大街等16款APP在列,這些應用軟件均涉及私自收集個人信息問題,另外還包括私自共享給第三方、超範圍收集個人信息、不給權限不讓用、強制用户使用定向推送、過度索取權限、賬號註銷難等7大類問題。

工信部要求,存在問題的APP應在5月25日前完成整改落實工作,逾期不整改的,工業和信息化部將依法依規組織開展相關處置工作。

2018年8月,中消協發佈《APP個人信息泄露情況調查報告》稱,APP已經成為個人信息泄露的重災區,遇到過個人信息泄露情況的人數佔比為85.2%,沒有遇到過個人信息泄露情況的人數佔比為14.8%。

當消費者個人信息泄露後,約86.5%的受訪者曾收到推銷電話或短信的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件,排名位居前三位。

調查結果還顯示,如果手機APP導致個人信息泄露,最擔心的問題是被利用從事詐騙竊取活動,佔70.5%;其次是販賣或交換給第三方約佔52.4%;被推銷廣告騷擾佔比約為37.7%;名譽受損約佔6.6%。

值得關注的是,最終有大約三分之一的受訪者選擇“自認倒黴”,一方面可能是基於無力應對的選擇,另一方面也可能是應對無效後的接受現狀。

騙子獲取用户信息以後,最擔心的是對個人進行“量身定做”的精準詐騙,這種騙術很難被當事者識破,因為騙子往往能夠準確地説出當事者一些較為私密的信息,足以“以假亂真”,讓用户放鬆警惕。

2019年9月20日,黑龍江雙鴨山一位劉女士報警稱,她前幾日在第三方平台上購買了一張飛機票,就在飛機起飛的前一天,她突然收到短信稱行程取消。她電話聯繫退款,結果被騙15000元。




隱私泄露原因多樣,套路滿滿識別難


用户個人隱私泄露原因多樣,本節主要從黑灰產人員、APP開發者、APP本身和用户自身四方面進行分析。

1、黑灰產人員通過對系統反編譯、攻擊篡改、植入後門等方式對數據進行竊取

2013年10月,國內安全漏洞監測平台“烏雲網”披露,自稱是中國最大的酒店數字客房服務商的浙江某某公司,因為安全漏洞問題,使與其有合作關係的大批酒店的開房記錄在網上泄露。

數天後,一個名為“2000w開房數據”的文件出現在網上,其中包含2000萬條在酒店開房的個人信息,容量達1.7G。開房數據中,開房時間介於2010年下半年至2013年上半年,包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間14個字段。

黑客利用平台漏洞,收集網站和APP應用程序泄露的個人信息,再嘗試登錄其它網站系統進行“撞庫”,不斷非法獲取用户信息。通過手機號、身份證號將用户碎片信息不斷關聯清洗,再把這些信息“打包”賣給不法分子,以此牟利。

目前,“人肉搜索”已經成為一門灰色生意,價格從數百元到數千元不等,而這些信息均來自於黑灰產人士用於儲備個人信息的“社工庫”。


需要指出的是,社工庫及“人肉搜索”行為嚴重觸犯了《網絡安全法》及其他有關法律、行政法規關於個人信息保護的規定。

2、APP開發者技術實力參差不齊,數據管理不善容易造成數據泄露

一般中小公司APP開發者技術能力薄弱,在數據安全技術力量上欠缺,數據保護意識不強。這給了黑客可趁之機。

以金融行業APP為例,這些和“錢”有關的APP到底安全性幾何?2019年9月11日,中國信通院的報告團隊從232個安卓應用市場中收錄了 133327 款金融行業APP。經檢測發現,共有20.48%的金融行業APP被嵌入了第三方SDK,嵌入的SDK 數量共計高達104005個。在嵌入SDK的金融行業APP中,有45%的APP嵌入了5個及以上的SDK。而第三方SDK存在隱蔽收集用户信息、自身安全漏洞易被不法分子利用等安全風險。

而這批APP中僅17.08%進行了安全加固,超過 80%的金融行業APP在應用市場“裸奔”,未進行任何的安全加固。基於 Java 語言編寫的安卓應用程序如不進行加固,則其打包的 APK 文件很容易被反編譯工具進行逆向分析,進而暴露風險。

3、APP本身過度索取手機權限帶來隱私泄露風險

對APP來説,獲取手機權限一部分是因為功能需求(如導航軟件獲取位置信息);而另一方面也是為了儘可能多地收集用户數據,更加詳盡地瞭解用户特性,進而有針對性的進行推廣,提高用户體驗等。

APP最熱衷收集的就是獲取用户位置和通訊錄信息。根據《APP個人信息泄露情況調查報告》,讀取位置信息權限和訪問聯繫人權限是安裝和使用手機APP時遇到情況最多的,分別佔86.8%和62.3%。受訪者被要求讀取通話記錄權限(47.5%)、讀取短信記錄權限(39.3%)、打開攝像頭權限(39.3%)、話筒錄音權限(24.6%)的比例也相對較高。


APP在安裝的時候,有一個服務協議與隱私政策,長達幾頁甚至十幾頁且文字密集。一些軟件不授權就無法使用,絕大部分用户沒有興趣閲讀並直接默認選擇同意。一些看似“正規”的APP在條款內埋下陷阱,披着“合法”的外衣,以“本人已經閲讀且同意履行”為由蒐集用户個人信息。被發現維權時就以“已經在條款中説明要求,用户已經同意”的理由為自己開脱。

4、用户自身安全意識缺乏,經不住“誘惑”容易造成隱私泄露

互聯網時代,大量用户不知道怎麼正確管理賬號密碼,普遍存在安全意識缺乏,容易中毒或被釣魚軟件欺騙。

大量高仿低質APP充斥在市場。以在IOS Appstore搜索“查社保”為例,出來幾十個類似APP,普通用户很難區分哪一個APP是官方出品,排名靠前的APP有可能是通過刷評論、刷下載量等手段衝上去的。用户在註冊使用過程中,其數據被這些APP保留下來。2019年315,“社保掌上通”因過度收集用户信息數據被點名,用户填寫各種資料註冊這款APP後,這款APP會通過隱藏的用户條款竊取用户社保信息,現在這款APP已經被全網下架。

還有一些APP通過優惠短信鏈接、掃碼打折等誘惑信息,吸引用户直接下載APP。這時用户要擦亮雙眼,不要圖方便或只看評價等,在不清楚APP來源的情況下,不要下載和輸入個人信息。在使用APP某些功能提示需要讀取通訊錄時,一定要慎重考慮這個要求是否合理,增加自身的辨別能力和隱私保護意識。



熱衷獲取個人隱私,商業利益是誘因


商業的本質是逐利的,正確合理地使用數據本無可厚非。正如百度CEO李彥宏所説,中國人多數情況下願意用隱私換便利,但用户仍然不希望被過度查看自己的個人數據,例如聊天記錄、通話記錄等。

拋開“販賣和交換個人信息”、“詐騙竊取活動”等不法行為外,個人信息是如何被拿來做推銷廣告的呢?讓你收廣告收的明白,本節為你簡單介紹一下套路。

首先,我們在註冊使用購物或者社交APP時,你的姓名、手機號、性別和地址等信息會被記錄下來。

其次,你在使用APP過程中,你的行為數據如瀏覽時間、地理位置、瀏覽路徑、消費記錄等上千個行為都會保存下來。

接下來,系統建立模型,從這些基本數據和行為數據中構建標籤,試圖從無數個標籤中構建出你的用户畫像。

舉個例子,你看到一款“電視”產品的介紹,系統計算你對“電視”的購買慾程度。通過一個簡單的標籤加權算法:

購買慾權重=行為權重×停留時間×衰減因子

當你對“電視”產品評論、點贊、轉發和收藏等操作後,你的行為權重會增加。停留時間是加分項,如果瀏覽“電視”的時間長,表示你對其有興趣。短暫的停留無法代表你長期的興趣,單次瀏覽行為的權重會隨着時間流逝不斷衰減。

最後,系統根據這些標籤,通過你的瀏覽行為給你推薦商品;也可以將其他跟你相似用户的瀏覽記錄和購買過的商品推薦給你。

在互聯網誕生初期,《紐約客》曾有一句聞名全球的俚語:“在互聯網上,沒有人知道你是一條狗。”而現在,狗比你更瞭解你自己。



防範隱私泄露,提升個人安全意識


在互聯網時代該如何守護我們的個人隱私?需要APP開發者、應用發行市場和APP使用者共同努力。

1、APP開發者履行責任,從源頭上保護個人隱私安全

一個APP上線,要經歷設計、開發和上線環節。APP開發者需自覺遵守《APP違法違規收集使用個人信息行為認定方法》等相關法律;遵循個人數據採集的基本原則,包括目的明確、最少夠用、公開告知、個人同意等。對信息泄密建立所謂的“問責制”,使所有人能更重視數據問題的解決之道。

2、應用分發平台完善審核機制,幫助用户守好“最後一道門”

我國境內應用商店數量已超過200家,大部分應用商店都推出了一定措施來保障用户的安全體驗, 嚴格審核把關,提升用户體驗尤為重要。一些應用分發平台已經採用“惡意行為檢測”+“隱私泄露檢查”+“安全漏洞掃描”+“人工實名複檢”四重檢測體系,以多樣安全審核措施保障上架應用的安全合規。

3、APP使用者加強信息安全保護意識,不讓非法應用“有機可趁”

APP使用者具體可通過下述四種方法加強個人信息安全保護:

(1)對APP分等級管理,設置不同的賬號密碼。涉及資金類的APP和一般APP,設置兩套不同的賬户和密碼可防止連環盜號。

(2)不要隨意登錄免費WiFi,隨意刷二維碼。下載APP時最好從官方網站上下載,或通過合格經營的第三方應用市場下載,並適當查核發佈者的資質。山寨APP,或存在竊取個人信息、惡意扣費等問題的APP,提前瞭解甄別,以防落入山寨陷阱。

(3)關閉APP的敏感權限。查看應用索取的權限,讀取通訊錄、讀取短信通話記錄等敏感權限盡量關閉。

對於蘋果手機,點擊設置-隱私,查看哪些程序還在使用你的“定位服務”、“通訊錄”等服務。關閉設置-通用-後台應用刷新功能,有些APP通過後台應用刷新功能收集用户信息。

對於安卓手機,慎開USB調試模式,因為手機一旦開啓USB調試模式,PC端的軟件可以快速地對手機進行root操作。一旦有了root權限,手機的鎖屏密碼、綁定賬號等信息很容易被其它軟件隨意調用,其安全風險不言而喻。

(4)個人信息不要隨意填寫,不主動泄露。平時接收快遞,使用X先生/女士,優先使用小區自提櫃,不對應具體門牌號;使用隱私小號進行聯繫等。

“出來混,遲早要還的”。個人信息保護已經成為兩會熱點話題。5月25日,全國人大常委會工作報告在下一步主要工作安排中指出,將制定個人信息保護法、數據安全法。央行將嚴打無證經營違規獲取個人隱私數據。

個人隱私數據的違規收集和野蠻使用時代將會終結。

    0條評論

    發表

    請遵守用户 評論公約

    類似文章 更多
    喜歡該文的人也喜歡 更多

    ×
    ×

    ¥.00

    微信或支付寶掃碼支付:

    開通即同意《個圖VIP服務協議》

    全部>>