小心!APP正窺伺你的隱私
用著GPS,連著免費WiFi,守著驗證碼,註冊著各種APP,享受著智慧手機帶來的便利生活。但同時,騷擾電話、詐騙短信、精準到恐怖的推送,讓你在不知不覺中也承擔著隱私資訊洩露所帶來的風險。離不開智慧手機的都市人正在面臨一種困境:既不知道自己的資訊流向何處,也不知道黑暗中有什麼正在窺伺著你的個人隱私。
應用索取的許可權合理嗎?你的個人資訊是如何洩露的?該如何在移動網際網路時代主動保護我們的個人隱私?昨天,騰訊聯合DCCI發佈《2017年度隱私安全及網路欺詐行為分析報告》,通過統計1129款APP獲取用戶手機隱私許可權的情況,評估移動端隱私安全性,並對近期肆虐網路的欺詐現象,剖析手法,提出應對措施。
現象:
APP越界獲取資訊
一款手機壁紙應用竟然要讀取你的通訊錄,一個瀏覽器應用竟能隨時給你錄音。別覺得不可思議,通過越界索權獲取用戶個人資訊的APP不在少數,個人隱私洩露問題也日趨嚴重。北京晨報記者打開自己手機中的應用商店,隨機搜索安裝了幾款軟體,發現絕大部分軟體都要求用戶開放存儲、位置資訊、電話等許可權,還有的要求開通訪問通訊錄的許可權。如果選擇不同意,就無法安裝這些應用。
根據《2017年度隱私安全及網路欺詐行為分析報告》(以下簡稱《報告》),移動網路隱私的洩露主要有手機軟體獲取、免費WiFi竊取、舊手機設備洩露,以及駭客盜取企業大數據等渠道。報告指出,針對手機軟體獲取情況,研究團隊共選取了852個Android手機APP、275個iOS手機APP,對三類隱私許可權的獲取情況進行逐一分析,包括核心隱私許可權、重要隱私許可權及普通隱私許可權。
“核心隱私許可權”包括獲取位置資訊、讀取手機號、讀取短信記錄、通話記錄等;“重要隱私許可權”包括打開攝像頭、使用話筒錄音、發送短信、發送彩信、撥打電話等;“普通隱私許可權”則包括打開WiFi開關、打開藍芽開關、獲取設備資訊等、打開數據網路等。
《報告》隱私安全測試結果顯示,2017年下半年,852個Android手機APP中有98.5%都要獲取用戶隱私許可權,這比去年一季度增長了2%。其中,網路遊戲與常用工具是獲取用戶手機隱私許可權佔比最高的兩類應用,分別達到獲取隱私許可權總數的24.4%和18.8%。
一個良性的變化是,與2017年一季度測評結果相比,Android手機APP對核心隱私許可權的獲取情況有所降低。特別是讀取手機號碼、讀取彩信兩個許可權大幅度下降,下半年測評中所佔比例分別為10.9%和0.8%。此外,Android應用在下半年越界獲取用戶隱私許可權的比例也有明顯下降,從25.3%降至9%。
測評還發現,對隱私許可權管理相對完善的iOS系統,同樣也存在隱私洩露問題。
《報告》顯示,2017年下半年iOS應用獲取的用戶手機隱私許可權比例相較于第一季度有所上升,達到81.9%,提高了12.6%個百分點。其中,通訊社區、影音娛樂類APP為100%獲取手機隱私許可權,此外,常用工具、圖像美化、投資理財類的軟體獲取比例也有所上升,均達到90%以上。
支招:
對來路不明程式説不
大家該如何保護好自己的隱私呢?《報告》建議可從以下五點著手:
一是下載軟體選擇正規渠道,如應用寶、安卓市場等;二是謹慎填寫個人隱私資訊,防止資訊被無謂採集;三是管理手機軟體中的隱私許可權,了解軟體許可權行為,關閉不必要的授權;四是防範公共WiFi,轉賬與支付時改用數據流量;五是通過“恢復出廠設置-格式化-反覆拷入大文件並刪除”三步驟,徹底清理舊手機資訊。
此外,對於來路不明的WiFi、連結、程式……即便再有吸引力,為了安全起見,用戶最好説不;短信驗證碼、身份證資訊,也萬萬不可貿然交給別人;不要為了好記將不同賬戶設置相同密碼,否則一個被攻破全部都遭殃;也不要使用純數字、生日等特別簡單的密碼。
“有多少人在手機裏存了身份證的照片,一旦隱私洩露,後果不堪設想。”胡延平建議,用戶應當養成關閉不必要的授權的習慣。“即使安裝了安全軟體,也應該隨時關閉不必要的授權,不要怕麻煩。涉及轉賬時,最好不要使用公共WiFi而是採用移動基站。手機上的安全還得是靠自己保護。”
■記者手記
培養保護個人隱私好習慣
養成好習慣,生活必然受益。這些好習慣不僅是飯前洗手、睡前刷牙,也包括保護你自己的個人隱私。
在如今網際網路+大環境中,隱私的安全一方面體現在主觀能動,一方面也必須客觀創造。在日前由知名網路安全線上教育平臺i春秋發起的2018首屆網際網路安全責任峰會上,滴滴出行資訊安全部戰略副總裁弓峰敏表示,做好數據隱私保障是網路運營者的重要安全責任,弓峰敏認為做好數據隱私保障是每個網際網路企業都必須擔負起來的責任,而有效處理好漏洞就是網路運營者對用戶負責的一種表現。儘早修復漏洞,儘量幫助用戶應對安全威脅減少安全風險,是每一個網際網路企業最基本也是最重要的工作。永信至誠高級副總裁潘柱廷也表示,在物聯網、大數據、人工智慧粗放發展的今天,網際網路的安全責任問題,不同群體網際網路安全責任的界限問題變得更加重要。
而作為隱私資訊産生的源頭,用戶自己更需要加強安全防範意識,杜絕一切隱私數據被洩露的可能,培養保護個人隱私的習慣。對眼花繚亂的APP謹慎選擇使用,看似有趣的測試遊戲別太好奇,太過優惠的朋友圈團購想想再加入……清醒些,讓自己從壞習慣養成的路上及時退回安全地帶。
分析:
一切源於對數據的渴求
在移動網際網路時代,為了實現更準確、更全面的服務,一些APP在使用期間往往需要調取用戶的位置、相冊等隱私資訊而實現定位、掃碼等功能。然而,越界掌握用戶隱私的行為卻在肆意蔓延,隱私洩露也往往在用戶不知情的情況下發生。今年1月3日,支付寶開放年度個人帳單查詢之後,其APP存在默認選項誘使用戶授權芝麻信用使用個人資訊事實在網上曝光,引發熱議。支付寶隨後表示道歉,並稱這個做法“肯定是錯了”、“愚蠢至極”。隨後,百度、今日頭條也相繼因涉及用戶隱私問題陷入輿論漩渦而被工信部約談,引發了社會對使用手機APP時存儲個人資訊安全問題的討論。
“從行業看,都在盡一切可能收集用戶資訊。”移動網際網路系統與應用安全國家工程實驗室高級安全研究員朱易翔指出,本質上就是一些APP開發商沒底線。北京晨報記者發現,近日,不少應用在升級後都會彈出用戶協議,會對調取的用戶隱私許可權作出説明。但如果想繼續使用這些應用,用戶必須選擇同意。“一個地圖應用,提示需要讀取用戶的短信記錄、通信錄。這到底算不算越界獲取用戶隱私?有可能它的確是為了提供生活服務而給用戶發送短信驗證,但基於地圖的社交真的到了需要讀取用戶短信記錄的時候嗎?這是值得商討的。”
DCCI網際網路數據中心創始人胡延平表示,大數據時代,數據對商家變得越來越重要,但對數據的渴求和對用戶的隱私保護之間的這個度,是值得商討的。應用更新後彈出用戶協議的變化,一方面體現了從“拿了白拿”到“告訴你我要拿”的變化,這是積極的一面。但另一方面,也存在應用在用戶協議中把所有有可能要調取用戶的隱私許可權都進行窮舉,反倒是用戶只能選擇同意。“現在一些中小應用開發者會盡可能地獲取用戶的隱私許可權,即便很多隱私許可權他們只是放在伺服器上,不去立即使用,但為了以後的不時之需,還是會過度地索取用戶的隱私許可權。如果沒有針對用戶隱私獲取的規範,沒有立法保護,用戶早晚被扒個精光。”
(責任編輯:王擎宇)