(原標題:315晚會曝光手機App泄露個人隱私信息 只是冰山一角)
圖片來源:視覺中國
原標題:3?15晚會曝光手機App泄露個人隱私信息,這只是冰山一角
文丨《中國企業家》 王雪琦
編輯丨齊介侖
“我家的智能機器人會不會一直在聽我說話?”
自從智能機器人開始流行,葛健就經常接到朋友的咨詢,“有些人為了防止泄密,不用的時候,就把機器人的插銷拔了”。
葛健是360手機衛士的安全專家,經常去學校和電視臺做網絡安全方面的科普講座。
有一次,他去一所學校辦講座。結束后,一位老師問他:“我家的冰箱能用語音,那它會不會一直都在偷聽我說話?”
葛健詳細地給對方分析了相關授權原理,并安慰道:“如果它時刻記錄,是很容易被檢測出來的。一旦出問題,企業將承擔巨大損失。因此它們盡量避免此類風險,會設定專門的觸發機制。”
這樣的恐慌并非空穴來風。
僅在2018年就發生了多起嚴重的個人隱私信息泄露事件。年中,華住酒店集團有5億條用戶信息疑似遭到泄露,來自圓通和順豐的總計十幾億條個人信息在暗網被出售。年底,約410萬條旅客信息在網上被出售,隨后,中國鐵路總公司發布聲明表示,信息泄露與中國鐵路總公司12306平臺無關,是用戶通過第三方搶票平臺訂票后發生的。
2019年央視3?15晚會也介紹了個人隱私信息通過手機App泄露的案例。主持人現場使用一款名為“社保掌上通”的App查詢個人社保信息,一旁的網絡安全專家通過抓取分析數據包發現,查詢時,用戶的信息已被發送至一家大數據公司的服務器。
萬千信息匯于手機
近年來,隨著移動互聯網的高歌猛進,手機已成為大眾生活必需品。手機在承擔越來越多生活服務功能的同時,也因匯集大量個人隱私信息如衣食住行、社交關系等,安全問題凸顯。
根據2018年8月29日中國消費者協會發布的《App個人信息泄露情況調查報告》,目前個人信息泄露總體情況比較嚴重,在共計5458份有效問卷中,有此遭遇的受訪者占比達85.2%。
報告顯示,個人信息泄露的主要途徑包括經營者未經本人同意收集個人信息,經營者或不法分子故意泄露、出售或者非法向他人提供個人信息,網絡服務系統存有漏洞,不法分子通過木馬病毒、釣魚網站等手段盜取、騙取個人信息和經營者收集不必要的個人信息等。
App過度索要授權是個人信息泄露的導火索之一。
在接受《中國企業家》記者采訪時,葛健認為,過度索要體現在App所需的功能和它所要請求的權限不匹配,比如,圖片修改類軟件,索要麥克風或者通訊錄權限。
“如果新聞和購物類App在安裝時索要通訊錄授權,那明顯是過度索要授權。”網易易盾移動安全資深工程師侯海飛對《中國企業家》記者表示。他還提到了幾個生活中容易泄露個人信息的場景,比如周圍朋友來拉票,但如果投票時需要填寫手機號甚至身份證號,這個拉票場景的目的很可能是獲取個人信息。
作為移動安全領域的專家,侯海飛經常給父母進行安全領域的科普。有段時間,他發現老人的手機里多了不少來源不明的App,幾經詢問才得知,老人參與了路邊掃二維碼獲取優惠的活動,并點擊了彈出的下載鏈接。
“要盡量避免從不正規途徑,比如群組分享、掃不明來源二維碼等方式下載App。”侯海飛補充道。
葛健曾專門做過一個小實驗。
一天,某兒童培訓機構在路邊免費發放氣球,葛健給孩子領了一個,并在對方的要求下,留了電話號碼,“我就想看他是不是真的會給我打電話”。很快,他“如愿以償”,幾乎每周都會收到好幾個推銷電話。過了一段時間,這家機構終于不打了。但,另外一家培訓機構開始打電話了。
侯海飛強調,在公共場合,連接不安全Wi-Fi也是高風險行為。“如果上網的流量被控制,你所有的訪問內容都可以被獲取。安全層面做得好的應用,會加密上網信息;如果沒有加密,你所有的信息都是對外暴露的。”他建議家中路由器最好也設置比較復雜的密碼,以防被劫持。
另外,用戶在使用App時,不經意間同意的一些授權協議,也會導致個人信息泄露。
在央視3?15晚會提到的“社保掌上通”案例中,用戶在查詢信息時,被默認同意了一份授權協議,協議中包括“您在此充分地、有效地、不可撤銷地、明示同意并授權我們使用您的社保賬戶密碼為您提供服務”,以及“在遵循本協議的條件下,對您的信息進行采集、分析、處理和模擬您登錄人行征信、學信網、社保、公積金、運營商網站等獲取您的個人信息”等條款。
金融借貸類App由于需要用戶提供更多個人信息作為征信和還款的保證,一直以來都是隱私泄露的高風險重災區。
最近的一場風波來自京東金融。
2月16日,有微博網友上傳視頻稱,京東金融安卓版App在后臺運行時會自動獲取用戶使用手機時的截圖并上傳保存到該App相關文件中。京東金融回復稱,京東金融絕不會收集未經用戶授權的任何信息,更不會竊取用戶信息,將邀請權威機構對京東金融App進行全面安全性檢測。
3月8日,京東金融App在官方微博進一步予以澄清:已通過工信部下屬中國信息通信研究院中國泰爾實驗室安全性定向檢測,未見用戶非授權情況下上傳圖片緩存文件夾中的拍照或截屏圖片,但京東金融會以此次事件為戒,建立長期的安全自律審查和外部監督機制,為用戶創造更加安全、更加放心的使用環境。
法律仍需再完善
中國政法大學知識產權中心特約研究員趙占領向《中國企業家》記者表示,國家雖已高度重視,但客觀而言,懲戒力度仍顯不夠,個人信息被非法收集和盜取的現象仍十分普遍,許多知名互聯網公司也未能幸免。
企業加強自律、用戶提高警惕,都是防止個人信息泄露的有效途徑,與此同時,相關法律的完善也必不可少。
2019年1月1日開始實施的《電子商務法》已經強化了個人信息保護的相關規定。2019年3月4日舉行的十三屆全國人大二次會議新聞發布會上,大會發言人張業遂表示,全國人大常委會已將制定個人信息保護法列入本屆立法規劃,相關部門正在抓緊研究和起草。
在趙占領看來,目前中國個人信息保護在法律層面主要存在三點不足。
其一,個人信息的界定標準。能確認個人真實身份的信息有直接識別和間接識別兩類,間接識別的定義還比較模糊,容易產生爭議,比如IP地址到底算不算個人信息。
其二,法律對個人信息的收集使用采取三個原則,正當、合法、必要,其中必要性原則最容易產生爭議,比如新聞類App到底有沒有必要收集用戶的地理位置。直觀而言,地理位置不是使用新聞類App的必要信息,但現在流行個性化推薦,部分公司可能會以根據地理位置變化推薦不同的內容作為索要地理位置授權的理由。
其三,在個人信息保護方面,沒有實施舉證責任倒置。也就是說,當用戶個人信息被泄露之后,還要自己承擔舉證責任,但多數情況下,用戶很難取證。
在全球層面,個人隱私信息保護立法也已成為重要事項。
2018年5月25日,歐盟《通用數據保護條例》(以下簡稱GDPR)生效。GDPR被認為是目前數據保護的最嚴苛標準,全球多云數據管理解決方案領導廠商Veritas Technologies的研究顯示,全球諸多企業誤認為自身符合了GDPR的標準和要求。但根據調查,真正滿足條例合規要求的企業只有2%。
GDPR雖然是歐盟的立法,但對全球化布局的科技公司均有不小的影響力。2019年年初,谷歌因為在廣告個性化方面缺乏透明度和有效同意,被法國國家數據保護委員會的限制委員會依據GDPR相關規定,罰款5000萬歐元。
專家支你一招
雖然泄露途徑眾多,幾近防不勝防,但用戶仍然可以在日常使用中養成一些好習慣,降低泄露風險。對此,葛健和侯海飛提供了一些簡單易操作的建議。
區分賬號體系,注冊不同平臺時,使用不同的郵箱和密碼。用安全系數高的郵箱綁定金融類平臺,切勿把金融相關平臺的密碼和其他平臺的密碼通用。
謹慎使用手機作為登錄賬號,可以注冊專門的郵箱。
避免連接不明來源的Wi-Fi,在公共場合連接Wi-Fi時,盡量跟Wi-Fi提供方確認后再連接。
在相關平臺填寫信息時,非必須提供的信息,盡量不要填寫。
授權信息查詢類平臺時,仔細閱讀用戶協議。
不要給App過多權限以及不符合需求的權限,特別是IMEI權限。
下載應用時,盡量從正規的應用商店下載知名廠商的應用。避免點擊各類群組,或者不明來源二維碼傳播的下載鏈接。
此外,侯海飛還專門提醒,老年人是隱私信息泄露的重災區,要時常跟家中老人做安全方面的科普,盡量多保持溝通。