文 | 楊麗
編輯 | 李陽陽
頭圖圖源 | 圖蟲
2020年315晚會點名多款APP上演“竊聽風雲”,違規盜取個人隱私信息,讓人不寒而慄!
它們是怎麼竊取你的個人隱私的?
315晚會報道,在某些手機APP裏,暗藏着一個竊賊,一個由第三方公司提供的一個插件。
什麼是插件?
插件本來是可以讓手機實現某些特定功能和免費成為一個SDK包。問題在於,某些第三方公司開發的SDK包卻在背地裏偷偷摸摸地幹着見不得人的事。
315晚會截圖
相關技術人員檢測了50多款手機軟件,發現暗藏玄機。
一些手機軟件中的SDK插件存在沒有經過用户許可、用户不知情的情況,偷偷竊取用户手機中的隱私信息,包括短信、通話記錄、聯繫人等。
這些APP包括國美易卡、最強手電、愛轉轉、91極速購在內的50多款,這些APP會獲取移動設備的IMEI號(移動設備標識號)、電話號碼、聊天記錄、通訊記錄等隱私信息。
IMEI號是手機的唯一識別碼,相當於手機的身份證。不管是否經過用户同意,APP一旦獲得了移動設備標識,就為個性化推送墊定了基礎。
315晚會截圖
讀取用户的隱私信息,只是竊取用户隱私的第一步,讀取完成後,還會將數據悄悄傳送到指定的服務器存儲起來。
除了竊取電話號碼、位置、通訊錄這樣的個人隱私,甚至通過菜譜、家長幫、動態壁紙等多款APP竊取用户更加隱私的信息。
比如手機中的短信內容,“驗證碼是XX,請勿告知他人……”用户如此重要而私密的短信內容都會被傳送至第三方服務器。
這些信息一旦被別有用心的人獲取,極有可能造成嚴重的經濟損失。
此外,SDK看似只是一個普通的插件,但它卻對所有手機所有APP都具有通用性,很多手機軟件可能都嵌入了同一個SDK,因此,一旦某個SDK竊取了某個人的隱私,將會涉及眾多手機軟件,帶來的損失難以想象。
此外,315晚會報道,除了內嵌SDK以外,工作人員還發現,一些知名手機APP也有蒐集用户隱私的現象,涉及酷音鈴聲、手機鈴聲、鈴聲大全等多款APP。
“你我的個人隱私,在這些軟件開發商眼中都是唐僧肉,人人見了都想吃一口。於是乎,在手機軟件裏的這些功能插件綿裏藏針,變成他們竊取我們個人資料的渠道……”
隱私問題老生常談
越界APP卻得寸進尺
實際上,4天前,央視財經已經曝光,部分用户在線下閒聊時出現的詞語,之後會出現在手機應用的推送中,由此懷疑手機APP存在竊聽的行徑。
另外,報道還指出了一些不合理的信息授權行為、以及利用手機驗證碼方式獲取個人信息等問題。
在央視曝光之後,網友紛紛表示同感,“自己和朋友閒聊到椰棗,但從來沒有搜索過,第二天手機上出現椰棗的推送……”“遇到這種情況不是一次兩次了……”
實際上,在央視財經曝光之前,5月15日,工信部就曾經公佈過“侵害用户權益行為的APP名單”。主要包括噹噹、租租車、WiFi管家等16款App。
2020年第一批存在問題的應用軟件名單
過了不到兩個月,7月3日,工信部又公佈了第二批侵害用户權益的APP名單,主要包括智慧樹、納米盒、悟飯遊戲廳等15款App。
2020年第二批存在問題的應用軟件名單
從工信部公佈的APP名單中可以看出,其中涉及的問題,主要包括“私自獲取用户個人信息;超範圍收取個人信息;私自共享給第三方;過度獲取權限……”
APP專項治理工作組專家揭露,一些APP剛剛安裝進手機,一次都還沒有打開,它卻已經開始向外悄悄傳輸數據。
這些APP在隱私政策裏沒有告知用户,是完全自啓動的方式,悄悄地把用户信息傳到了自己的服務器上。
“幾分鐘過去了……第二個數據包也出現了,點開這個數據包看,這裏面就有一個是IMEI號(移動設備標識號)的標識符……”
視頻截圖
從被傳輸的數據包中可以看出,APP第一個獲取的信息就是手機的IMEI號,也就是移動設備標識號。
更可怕的是,專家通過對大量APP測試後發現,APP獲取的信息不僅給自己用,甚至有部分APP會把信息傳給第三方。
據瞭解,在個別APP內嵌入的第三方軟件開發工具包就超過了50個,這些有着消息推送等功能的第三方工具包的盜竊行為更是隱蔽,監管起來更難。
這就是為什麼很多人會在自己賬號密碼都只有自己知曉的情況下,微博關注列表上卻突然多了些不知名的營銷號,微信、QQ被陌生人加好友並拉進羣,手機接收各種亂七八糟的短信的原因。
黑色產業鏈
有人靠你的隱私年賺千萬
個人信息之所以頻繁遭受竊取,除了APP個性化推送的需要,還離不開一條規模大、鏈條長、利益大的黑色產業鏈。
這個產業鏈在業界有一個專業名詞,叫網絡黑色產業鏈,簡稱黑產。
據不完全統計,早在2017年,中國黑產(網絡黑色產業鏈)的從業人員就已經達到了百萬級以上,每年造成的損失達千億元級規模。
黑產,團隊分工明確、銜接密切。
產業鏈上游負責“源頭供貨”;中游負責信息處理與再加工,形成規模化市場;下游負責“應用變現”,通過電信詐騙、惡意營銷等非法渠道牟取高額利潤。產業鏈結構完整,各種信息明碼標價。
1.上游供貨端
除了前面提到的開發山寨版APP,引誘不明真相的用户上鈎,進而竊取並販賣用户地址、通訊錄、身份證照片等數據,信息來源還有哪些?
① 非法“打劫”
2018年,紹興越城公安偵破了一起特大流量劫持案:北京瑞智華勝公司因涉嫌非法竊取用户個人信息30億條,全國96家互聯網公司都曾被非法“打劫”過,其中不乏涉及互聯網巨頭公司。
30億條用户個人信息,它是如何盜取到手的?
第一步,瑞智華勝通過競標,以合作的方式為運營商提供營銷服務,初期目標達到後,獲得遠程登陸權限。
接着,偷偷在運營商系統上做手腳,裝上能採集用户cookie信息(意指儲存在用户本地終端上的數據,比如賬號和密碼)的木馬和插件,達到清洗、採集用户cookie還有訪問記錄等目的。
有了用户cookie,無需再次輸入賬號密碼,就可以登錄用户的賬號,隨意獲取家庭信息、購物開房記錄等。
更讓人瞠目結舌的是,在掌握了用户cookie後,如果將數據存放於境外服務器,用户賬號全然透明,就沒有任何隱私可言了,這時,他們就能進一步為所欲為,操控任何事。
據瞭解,2017年內,上市剛滿一年的瑞智華勝,通過操縱賬户進行微博、抖音、公眾號等平台的加粉、刷量,年盈利超過了千萬元。
② 網絡爬蟲
據《新京報》此前報道,一些機構以“大數據營銷”為名,依靠銷售非法爬蟲工具獲利,通過人們常用的一些電商平台爬取用户數據,或是通過網頁等方式獲取用户手機等個人信息,再通過數據販賣和流量牽引牟利。
③ 內鬼
能夠接觸到個人數據信息的工作人員也是泄露數據的“主力軍”,他們利用職務的便利,高價出售客户隱私信息。
2.中游加工端
這些灰色數據採集後,中游環節負責對其進行處理與再加工,通過買賣、交換等形式形成規模市場,隨後便將所獲個人信息應用於電信詐騙、惡意營銷等不法渠道牟取高額利潤。
3.下游變現端
“要的話5毛一張打包帶走,總共兩萬套,不議價。”
近日,“一起公開、明碼標價兜售人臉數據”的新聞衝上微博熱搜榜,引來很多網友一陣調侃:“好難過,我這張帥氣的臉原來只值5毛”。
據新華社報道,在淘寶、閒魚等交易平台上,部分賣家以“人臉全國各地區各行業可做,信譽第一”“出售人臉四件套,懂的來”等暗語攬“客”。
除了售賣人臉數據外,一些膽大的交易平台還出售“照片活化”工具,有了這套工具,可以將靜態的人臉照片修改為動態的“眨眨眼、張張嘴、點點頭”等操作人臉驗證視頻。
一套(照片活化)工具加教程售價35元,買家付款後,賣家就會將軟件和教學鏈接發給你,“包你學會”。
除了這種慣用的倒賣變現外,蘇寧金融研究院發佈的報告指出,個人數據變現的獲利模式還有工作室合作與僱傭兩種。
有關組織在QQ羣、論壇、暗網等各種渠道出售個人信息,同時,不同僱員之間又存在信息倒賣關係。
更復雜的變現手段是使用網絡技術獲取用户私有財產。只要掌握姓名、身份證號、銀行卡號、預留手機號等敏感信息,尋找銀行網上支付、第三方快捷支付等支付漏洞,就能盜取銀行卡信息進行盜刷或轉賬。
比如,2019年末央視網報道稱,有QQ羣提供技術手段幫別人破解各類APP人臉認證的付費服務,來破解並倒賣對方的實名社交賬號。相比於推銷與騷擾,這無疑對用户利益造成了實質性損害。
沒有買,就沒有賣
誰在買你的隱私,到底用來幹什麼?
人臉,是一個人最直觀最獨一無二的生物特徵,人臉上有大量的細節,來幫助我們辨認彼此,眼睛、鼻樑、耳朵……甚至面部表情,是開心、難過還是生氣……
在數字化時代,包括人臉信息在內的所有信息都會變成數據,通過數據,機器認識了人類。
因此,“喂”給算法,是這些個人信息的第一站。
在正當使用的情況下,且個人信息擁有者同意並知情,風險並不大。但這些個人數據一旦落在居心不良的人的手上,情況會變得極其複雜。
這個問題分為兩種情況:
一種是,如果只是單純的買了一張臉的數據,而沒有獲得你的身份證、銀行卡號、手機號等其他一系列敏感信息,這時,風險也不大。
另一種,則是既買了人臉信息,又獲得了你的個人信息包括身份證、銀行卡號、手機號等其他信息,此時,就危險了。
當前網絡黑市中大多屬於這一類,售賣人臉信息並非單純的“人臉照片”,而是將公民個人關鍵信息打包售賣。
一旦人臉信息和身份證、銀行卡號、手機號等其他信息相匹配,就可能被不法分子用於違法犯罪活動。可能通過這些信息盜取網絡社交平台賬號和竊取金融賬户內財產,也能被用於精準詐騙、敲詐勒索等違法犯罪活動。
有的不法分子還會使用AI換臉,繞開多個社交服務平台或系統的人臉認證機制,為違法犯罪團伙提供虛假註冊、刷臉支付等黑產服務。
也有一些不法分子會利用非法手段將你的照片進行“活化”處理,通過“照片活化”軟件生成動態視頻,騙過人臉核驗機制。
而後,在網上大量購買私人社交賬號登陸各大網絡服務平台,註冊會員或進行實名認證。
例如,7月15日,福克斯新聞網報道,包括比爾.蓋茨、特拉斯CEO馬斯克及美國前副總統拜登、蘋果公司官方推特等多位名人及企業均遭黑客攻擊,有人在推特上發佈了下面這些推文。
圖源:微博
更讓人驚掉下巴的是,通過“照片活化”軟件生成的人臉數據,還可以幫助他人解封微信和支付寶凍結賬號。
這也意味着,你的手機丟失後,即使凍結了各大賬號,你的錢依然可能在短時間內被轉走。
綜上,毫無疑問,一旦你的臉、指紋、虹膜等個人生物信息,落在了不法分子手上,他們再將這些生物數據和身份證號、銀行卡號、密碼等進行匹配,就等於你向不法分子敞開了家門、保險櫃門和銀行卡……
更嚴重的是,你的個人信息一旦泄露,就是終身泄露。
“個人生物信息最為獨特的特性就是它的不可再生性,手機號泄露了,可以再換一個,而人臉、指紋天生只有一個。”全國政協委員上海眾人網絡安全技術有限公司創始人談劍鋒曾在一次採訪中透露,一旦泄露,作為生物主體的你我他,只能眼睜睜看着它們各種‘奇幻漂流’而無能為力。
沒有秘密的世界
隱私何處安放?
李彥宏曾説:“我們中國人都願意用隱私換取便利。”
這句話曾經引起了極大的爭議,因為他在這裏把個人信息等同於隱私,用户願意出讓的是自己的信息,而非自己的隱私。
我們願意出讓自己的信息,進而享受到信息化時代帶來的便利性、智能性,而非出讓自己的隱私,讓它成為信息化時代的一件商品。
因此,個人隱私的保護戰,需要集所有個體、整個行業、整個社會共同力量去戰鬥。
1.個人層面:提高信息保護意識
兩個月前,有媒體曝光,河南鶴崗有一個村出現了全村人排隊賣“臉”現象,他們大部分是中老年人,以女性居多,一些還是頭髮花白的奶奶們手裏抱着孫子孫女,像趕集一樣,幾十塊錢,就把自己的“臉”賣了。
禁不住幾十元的誘惑,被忽悠着就把“臉”弄丟了,這種行為真是讓人又無奈又好笑。
除了不要主動出售自己個人信息外,專家提示,目前市面上APP層出不窮,你在使用APP開啓相關權限時,要謹慎勾選涉及個人信息的選項,包括手機通訊錄、地理位置等。
另外,涉及麥克風、攝像頭功能,在非必要情況下也不要輕易授權。
在使用APP的過程中,還需多留意是否存在信息泄露、後台自動啓動等問題,一旦發現相關違規現象,及時採取措施,加強權限,並向有關部門反饋。
一旦發現隱私侵權問題,還可以起訴這些單位。
同時,在使用面部識別支付時,為了避免個人隱私暴露,專家建議,可以添加手勢並張合嘴巴,提高刷臉支付“密碼”的複雜度。在開啓人臉驗證時,儘可能多重驗證方式,減輕人臉驗證風險。
2. 企業層面:加強改善現狀的決心
這一點,已經有企業正在發力做了。
據創業邦瞭解,在手機系統蘋果和安卓兩大陣營中,蘋果最新的系統ios14,安卓端小米最新的miui12都強化了隱私保護功能。
在ios14裏,蘋果把它的價值觀做成了可視化的功能,在相冊中,你可以指定APP可訪問哪些照片,在地圖APP中,你可以選擇模糊定位。
此外,蘋果還要求每一款上架App Store的軟件,必須攜帶隱私協議,指明APP會使用和存儲用户的哪些信息,如果有APP正在訪問你的麥克風或者攝像頭權限,你還會看到屏幕上有明顯的提示。
複製/粘貼也會隨時告訴你哪兩個APP正在訪問你的剪貼板,有了這些功能,ios14儼然成為了一塊照妖鏡,甚至還曝出了一批問題APP。
在小米的MIUI12中,提供了一個空白通行證(隱匿面具),支持返回空的虛擬ID。
這有什麼作用?
這意味着虛擬ID生成了一個新的你,當有一些強制讀取你手機IMEI碼的APP,你可以採用虛擬ID接入。
另一功能稱為照明彈。簡而言之,它可以顯示每個APP的後台調用記錄,面對自動啓動的APP(實際上,每天都有不少APP在偷偷自動啓動),系統會幫你拒絕這個行為。
在MIUI12的隱私保護功能中,還有一項操作,“僅本次運行中允許獲取權限”意味着系統支持將定位、拍照、錄音等權限設置為本次允許,當應用再次啓動時,需要再次獲取權限……
蘋果端的ios14系統和安卓端的小米MIUI12系統的這些功能,確實給用户帶來了體驗上的安全感,但也有用户苦惱,“操作起來實在繁瑣”,可能因為BUG,同一個APP照片權限時常都會問候你,每次複製粘貼,手機頭頂都會沒完沒了地彈窗……
同時,蘋果和小米這一系列保護隱私功能的出現,可能會導致蘋果與小米應用商店中基於廣告的免費APP數量“大幅減少”,對此,蘋果表示,如果更多的應用都需要付費,蘋果將從中受益,可以彌補廣告收入的損失。
3. 法律層面:更規範、更標準
技術發展倒逼法律完善。
目前,我國已發佈了《網絡安全法》《電信條例》《電信和互聯網用户個人信息保護規定》等法律法規,在多個方面進行具體規範。
360 公司家庭安全大腦產品線某工程師曾建議:“相關部門應該建立一個審核機構以及一套認證標準,人臉識別機器、模塊和數據庫安全性只有經過機構和標準認證之後才能被市場應用,進而淘汰一部分存在風險的人臉識別公司。
就像合格的指紋識別公司在市場上只有幾十家,有問題容易查。如果人臉識別能做到可溯源的話,問題就會簡單很多。”
同時,立法機關應該進一步完善有關法律法規,探索個人信息分類保護體系,收集個人重要數據或敏感數據需備案。
進一步規範網絡爬蟲等自動化手段收集網站數據,對於對於妨礙網站運營或非法侵佔數據的行為,制定明確的處罰措施。
寫在最後
隱私是一個人與生俱來的本能需求,必要的需求,它是跨國界、跨文化、跨地域、跨宗教的。
很多用户是沒辦法、被迫、被忽悠、被糊弄中,不知不覺被某些惡意的APP或其他平台把隱私弄丟了。
因此,要找回隱私,在某些點上,無論是企業、個人還是整個行業,都要用最高的標準要求自己,避免信息泄露,加強數據安全閥。