本文轉自【科技日報】;
在嘗試關閉軟體讀取許可權的時候,經常有使用者會發現部分APP會強制要求授權,否則無法繼續使用,而開啟許可權後,你就會發現,手機越來越能讀懂你的心——拿著到手的新包來一張自拍,開啟購物網站就會出現相關產品推送;正在APP中瀏覽一款最新車型,銷售人員就打來諮詢電話……
沒錯,正是你的手機軟體在“搞事情”。近日,媒體曝光的手機APP“偷窺”亂象調查顯示,有的APP能夠在十幾分鍾內訪問照片和檔案兩萬多次,其中涉及移動教學軟體“優學院”、辦公軟體“TIM”等多款產品。手機APP竊取使用者隱私為何屢禁不止?作為使用者,如何保護個人隱私?面對一系列疑問,科技日報記者採訪了相關專家。
APP違規收集資訊屢禁不止
近年來,關於手機軟體“秘密訪問”個人資訊的事件屢見不鮮。手機軟體是如何頻繁竊取使用者資訊的?
北京理工大學計算機網路及對抗技術研究所所長閆懷志接受科技日報記者採訪時表示,APP竊取使用者資訊,通常是透過對手機的“正常”操作而非攻擊手段實現的。廣義來講,使用者的資料處理、APP操作行為均需獲得手機自帶的作業系統支援。“而作業系統會在不同層面設定各種許可權等安全機制,防止使用者資訊被惡意讀取或濫用。但如果APP獲得了某種許可權,就可以輕鬆讀取該許可權項下的所有資訊。”他說。
閆懷志解讀,手機APP違法違規收集個人資訊或是竊取使用者資訊,主要途徑有以下兩種:第一種是未明確告知而收集資訊,例如有些APP在收集資訊之前未予明示,有的乾脆玩起文字遊戲誘導使用者同意;第二種是未以清晰許可權限定收集的目的、方式及範圍,比如透過正常渠道收集了使用者資訊,但是卻超範圍使用,給使用者隱私和利益帶來潛在風險和危害。
通常來說,使用者資訊應該遵循“收所必需、用所必需”的基本準則,也就是說,所收集的資訊應該是完成使用者某項業務所必需的資訊,而且這些資訊應該在該業務範圍內被正當使用。
“需要注意的是,APP竊取資訊與駭客竊取使用者資訊導致大量資訊洩露,這是兩個性質不同的事件。一款正規上架的APP軟體,在使用者不知情的情況下或超出使用者授權的情況下來獲取使用者資訊,在手機上的操作不必利用任何攻擊手段來實現,即便系統沒有漏洞,APP依然可以獲取使用者資訊。”閆懷志說。
表面買薯條,暗拿“全家桶”
目前,我國已明確將資料納入生產要素,很多APP過度收集隱私,就是為了商業目的。那麼,頻繁訪問使用者資訊,究竟是作何用途?不同軟體可彼此喚醒,共同窺探使用者隱私,是否意味著開發商彼此之間存在利益交換?
據瞭解,一般來說,使用者資訊可分為兩類,一類是準靜態資訊,比如使用者姓名、年齡、住址等,通常不會頻繁變更,APP採集一次即可一勞永逸。另一類是動態資訊,比如使用者的位置、移動支付情況、個人健康狀態等資訊,經常或隨時處於變化之中。動態資訊就需要APP頻繁訪問方可獲取。
閆懷志解釋道,從技術上來看,APP頻繁訪問使用者資訊有的是確因業務需要,比如導航路徑規劃,自然需要了解使用者的實時位置;健康監測業務,可能會需要隨時獲取使用者的運動資料資訊。獲取使用者個人資訊後,軟體運營商會透過資料分析,對使用者的活動範圍、消費能力等進行標定,從而進行更為精準的廣告投放或其他營銷行為。
“需要注意的是,使用者資訊具有特殊重要價值,為了提升註冊量、共享使用者有用資料,有些APP開發商之間會進行使用者資訊交換,這種操作的前提自然是利益。”閆懷志強調。
根據調查,很多手機軟體下載之後,會頻繁喚起其他軟體自啟動,進而共同在後臺窺視使用者照片、購物記錄等,技術層面如何解讀這一現象?
閆懷志解釋說,APP喚起其他軟體的技術實現途徑很多,常見的有Intent喚起、包名喚起、URL喚起等方式,簡單來說,就是通過後臺通訊協議來私自啟動,並且啟動後僅在後臺執行資料,具有較強的隱蔽性,使用者很難察覺到。閆懷志進一步強調,喚起其他軟體在後臺自啟動,共同偷窺使用者資訊,目的是最大限度獲取使用者資訊以實現更為精準地畫像,這種表面買薯條,暗拿“全家桶”的行為具有更大的隱蔽性和危害性。
軟體“偷窺癖”該如何防治
為保障個人資訊保安,有關部門展開了一系列整治市場亂象的行動。2019年1月,中央網信辦、工業和資訊化部、公安部、市場監管總局4部門,在全國範圍內聯合組織開展了APP違法違規收集使用個人資訊專項治理活動,併成立APP違法違規收集使用個人資訊專項治理工作組。工作組根據收到的萬餘條網民舉報資訊,統計出前五大典型問題分別為:超範圍收集與功能無關的個人資訊、強制或頻繁索要無關許可權、存在不合理免責條款、無法登出賬號、預設捆綁功能並一攬子同意。
事實上,針對手機APP過度收集個人資訊現象,國家此前也已經相繼出臺《資訊保安技術個人資訊保安規範》和《網路安全實踐指南——移動網際網路應用基本業務功能必要資訊規範》,對APP超範圍收集、強制授權、過度索權等個人資訊保安問題進行了明確規定。
然而,很多手機軟體依然無視國家法律法規,甚至鋌而走險竊取公民隱私用以非法牟利,究竟為何手機APP竊取使用者隱私屢禁不止?作為使用者,該如何有效保護個人隱私?
對此,閆懷志稱,手機APP違法違規收集或竊取個人隱私行為屢禁不止、屢打不絕的本質原因,無非是“利”字當頭。“在資訊時代和網路空間,個人資訊也是一種資產,本身具有一定的價值,更會帶來衍生的價值,在某種意義上來說,屬於利益鏈的最前端。誰掌握了使用者資訊,誰就掌握了使用者資源,就能夠實現精準推廣、精準營銷甚至是精準詐騙。因此,APP‘越界’收集使用者資訊的現象自然就不難理解了。”他說。
近期,APP違法違規收集使用個人資訊專項治理工作組釋出了《APP違法違規收集使用個人資訊專項治理報告(2019)》,該報告顯示,有的APP在過度收集個人資訊時使用加密資料包,有的APP對測試環境進行識別以規避檢測工具發現其異常傳輸行為,還有的APP繞過移動裝置作業系統許可權控制機制,採用讀取外部儲存區方式獲取資訊。當APP使用上述方式,現有檢測手段發現超範圍收集個人資訊問題和舉證的難度會加大不少。因此,需要相關部門進一步加強深度檢測技術研究,在後續持續監督的過程中佔據主動權,有效震懾違法違規行為。
為此,閆懷志建議,作為使用者,最重要的是提高安全意識和隱私保護理念。比如在安裝APP時,應仔細閱讀其資料收集請求,根據個人情況來選擇是否提供。而且在提供資訊的時候,要遵循“供所必需”的原則,不提供超出業務需求之外的資訊。其次是注意採用適當的技術檢測手段,透過APP監測工具來發現哪些APP偷偷在後臺頻繁執行。若出現隱私資料被惡意收集或濫用的情況,要及時儲存證據,向有關部門舉報維權。