你的个人信息是如何泄露的?APP正窥伺你的隐私

2018-01-18 10:20 北京晨报

打印 放大 缩小

来源标题:小心!APP正窥伺你的隐私

用着GPS,连着免费WiFi,守着验证码,注册着各种APP,享受着智能手机带来的便利生活。但同时,骚扰电话、诈骗短信、精准到恐怖的推送,让你在不知不觉中也承担着隐私信息泄露所带来的风险。离不开智能手机的都市人正在面临一种困境:既不知道自己的信息流向何处,也不知道黑暗中有什么正在窥伺着你的个人隐私。

应用索取的权限合理吗?你的个人信息是如何泄露的?该如何在移动互联网时代主动保护我们的个人隐私?昨天,腾讯联合DCCI发布《2017年度隐私安全及网络欺诈行为分析报告》,通过统计1129款APP获取用户手机隐私权限的情况,评估移动端隐私安全性,并对近期肆虐网络的欺诈现象,剖析手法,提出应对措施。

现象:

APP越界获取信息

一款手机壁纸应用竟然要读取你的通讯录,一个浏览器应用竟能随时给你录音。别觉得不可思议,通过越界索权获取用户个人信息的APP不在少数,个人隐私泄露问题也日趋严重。北京晨报记者打开自己手机中的应用商店,随机搜索安装了几款软件,发现绝大部分软件都要求用户开放存储、位置信息、电话等权限,还有的要求开通访问通讯录的权限。如果选择不同意,就无法安装这些应用。

根据《2017年度隐私安全及网络欺诈行为分析报告》(以下简称《报告》),移动网络隐私的泄露主要有手机软件获取、免费WiFi窃取、旧手机设备泄露,以及黑客盗取企业大数据等渠道。报告指出,针对手机软件获取情况,研究团队共选取了852个Android手机APP、275个iOS手机APP,对三类隐私权限的获取情况进行逐一分析,包括核心隐私权限、重要隐私权限及普通隐私权限。

“核心隐私权限”包括获取位置信息、读取手机号、读取短信记录、通话记录等;“重要隐私权限”包括打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话等;“普通隐私权限”则包括打开WiFi开关、打开蓝牙开关、获取设备信息等、打开数据网络等。

《报告》隐私安全测试结果显示,2017年下半年,852个Android手机APP中有98.5%都要获取用户隐私权限,这比去年一季度增长了2%。其中,网络游戏与常用工具是获取用户手机隐私权限占比最高的两类应用,分别达到获取隐私权限总数的24.4%和18.8%。

一个良性的变化是,与2017年一季度测评结果相比,Android手机APP对核心隐私权限的获取情况有所降低。特别是读取手机号码、读取彩信两个权限大幅度下降,下半年测评中所占比例分别为10.9%和0.8%。此外,Android应用在下半年越界获取用户隐私权限的比例也有明显下降,从25.3%降至9%。

测评还发现,对隐私权限管理相对完善的iOS系统,同样也存在隐私泄露问题。

《报告》显示,2017年下半年iOS应用获取的用户手机隐私权限比例相较于第一季度有所上升,达到81.9%,提高了12.6%个百分点。其中,通讯社区、影音娱乐类APP为100%获取手机隐私权限,此外,常用工具、图像美化、投资理财类的软件获取比例也有所上升,均达到90%以上。

支招:

对来路不明程序说不

大家该如何保护好自己的隐私呢?《报告》建议可从以下五点着手:

一是下载软件选择正规渠道,如应用宝、安卓市场等;二是谨慎填写个人隐私信息,防止信息被无谓采集;三是管理手机软件中的隐私权限,了解软件权限行为,关闭不必要的授权;四是防范公共WiFi,转账与支付时改用数据流量;五是通过“恢复出厂设置-格式化-反复拷入大文件并删除”三步骤,彻底清理旧手机信息。

此外,对于来路不明的WiFi、链接、程序……即便再有吸引力,为了安全起见,用户最好说不;短信验证码、身份证信息,也万万不可贸然交给别人;不要为了好记将不同账户设置相同密码,否则一个被攻破全部都遭殃;也不要使用纯数字、生日等特别简单的密码。

“有多少人在手机里存了身份证的照片,一旦隐私泄露,后果不堪设想。”胡延平建议,用户应当养成关闭不必要的授权的习惯。“即使安装了安全软件,也应该随时关闭不必要的授权,不要怕麻烦。涉及转账时,最好不要使用公共WiFi而是采用移动基站。手机上的安全还得是靠自己保护。”

记者手记

培养保护个人隐私好习惯

养成好习惯,生活必然受益。这些好习惯不仅是饭前洗手、睡前刷牙,也包括保护你自己的个人隐私。

在如今互联网+大环境中,隐私的安全一方面体现在主观能动,一方面也必须客观创造。在日前由知名网络安全在线教育平台i春秋发起的2018首届互联网安全责任峰会上,滴滴出行信息安全部战略副总裁弓峰敏表示,做好数据隐私保障是网络运营者的重要安全责任,弓峰敏认为做好数据隐私保障是每个互联网企业都必须担负起来的责任,而有效处理好漏洞就是网络运营者对用户负责的一种表现。尽早修复漏洞,尽量帮助用户应对安全威胁减少安全风险,是每一个互联网企业最基本也是最重要的工作。永信至诚高级副总裁潘柱廷也表示,在物联网、大数据、人工智能粗放发展的今天,互联网的安全责任问题,不同群体互联网安全责任的界限问题变得更加重要。

而作为隐私信息产生的源头,用户自己更需要加强安全防范意识,杜绝一切隐私数据被泄露的可能,培养保护个人隐私的习惯。对眼花缭乱的APP谨慎选择使用,看似有趣的测试游戏别太好奇,太过优惠的朋友圈团购想想再加入……清醒些,让自己从坏习惯养成的路上及时退回安全地带。

分析:

一切源于对数据的渴求

在移动互联网时代,为了实现更准确、更全面的服务,一些APP在使用期间往往需要调取用户的位置、相册等隐私信息而实现定位、扫码等功能。然而,越界掌握用户隐私的行为却在肆意蔓延,隐私泄露也往往在用户不知情的情况下发生。今年1月3日,支付宝开放年度个人账单查询之后,其APP存在默认选项诱使用户授权芝麻信用使用个人信息事实在网上曝光,引发热议。支付宝随后表示道歉,并称这个做法“肯定是错了”、“愚蠢至极”。随后,百度、今日头条也相继因涉及用户隐私问题陷入舆论漩涡而被工信部约谈,引发了社会对使用手机APP时存储个人信息安全问题的讨论。

“从行业看,都在尽一切可能收集用户信息。”移动互联网系统与应用安全国家工程实验室高级安全研究员朱易翔指出,本质上就是一些APP开发商没底线。北京晨报记者发现,近日,不少应用在升级后都会弹出用户协议,会对调取的用户隐私权限作出说明。但如果想继续使用这些应用,用户必须选择同意。“一个地图应用,提示需要读取用户的短信记录、通信录。这到底算不算越界获取用户隐私?有可能它的确是为了提供生活服务而给用户发送短信验证,但基于地图的社交真的到了需要读取用户短信记录的时候吗?这是值得商讨的。”

DCCI互联网数据中心创始人胡延平表示,大数据时代,数据对商家变得越来越重要,但对数据的渴求和对用户的隐私保护之间的这个度,是值得商讨的。应用更新后弹出用户协议的变化,一方面体现了从“拿了白拿”到“告诉你我要拿”的变化,这是积极的一面。但另一方面,也存在应用在用户协议中把所有有可能要调取用户的隐私权限都进行穷举,反倒是用户只能选择同意。“现在一些中小应用开发者会尽可能地获取用户的隐私权限,即便很多隐私权限他们只是放在服务器上,不去立即使用,但为了以后的不时之需,还是会过度地索取用户的隐私权限。如果没有针对用户隐私获取的规范,没有立法保护,用户早晚被扒个精光。”

责任编辑:杨承渊(QN0044)  作者:韩元佳

猜你喜欢