信息化觀察網(wǎng)

本文由微信公眾號蘇寧金融研究院（ID：SIF-2015）原創(chuàng)，作者為蘇寧金融研究院高級研究員劉培彬，首圖來自壹圖網(wǎng)。

每天只讓你選擇一件物品出門，你會選擇什么呢？

相信大家心里已經(jīng)有了答案，那就是手機(jī)。

你的工作生活是不是已經(jīng)被手機(jī)填滿？早上起來查看天氣，手機(jī)APP自動提醒你注意防曬；開車經(jīng)過某一個(gè)城市，手機(jī)APP馬上推薦相關(guān)城市的衣食住行。作為資深手機(jī)控，我們充分享受各類APP帶來的便利。

另外，你的手機(jī)是否頻繁收到一堆優(yōu)惠活動的垃圾短信；除了快遞小哥給你打電話，更多時(shí)候?qū)Ψ街苯訄?bào)上你的大名，當(dāng)你以為是老朋友或者同事時(shí)，卻發(fā)現(xiàn)對方讓你帶上小孩來參加課程體驗(yàn)，或者某某房源又有優(yōu)惠。對于個(gè)人隱私泄露，你是否深惡痛絕呢？

對于越來越懂你的手機(jī)，你懂它嗎？

本文起底惡意APP如何竊取你的隱私，以及教你如何防范。

隱私泄露屢禁不止，精準(zhǔn)詐騙頻發(fā)

2020年5月15日，工信部發(fā)布關(guān)于侵害用戶權(quán)益行為的APP通報(bào)（2020年第一批）。依據(jù)《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)，工業(yè)和信息化部近期組織第三方檢測機(jī)構(gòu)對手機(jī)應(yīng)用軟件進(jìn)行檢查，對發(fā)現(xiàn)存在問題的企業(yè)進(jìn)行督促整改。

到底有哪些APP？它們涉及到的違法違規(guī)行為是什么？

據(jù)通報(bào)，當(dāng)當(dāng)、店長直聘、e代駕、大街等16款A(yù)PP在列，這些應(yīng)用軟件均涉及私自收集個(gè)人信息問題，另外還包括私自共享給第三方、超范圍收集個(gè)人信息、不給權(quán)限不讓用、強(qiáng)制用戶使用定向推送、過度索取權(quán)限、賬號注銷難等7大類問題。

工信部要求，存在問題的APP應(yīng)在5月25日前完成整改落實(shí)工作，逾期不整改的，工業(yè)和信息化部將依法依規(guī)組織開展相關(guān)處置工作。

2018年8月，中消協(xié)發(fā)布《APP個(gè)人信息泄露情況調(diào)查報(bào)告》稱，APP已經(jīng)成為個(gè)人信息泄露的重災(zāi)區(qū)，遇到過個(gè)人信息泄露情況的人數(shù)占比為85.2%，沒有遇到過個(gè)人信息泄露情況的人數(shù)占比為14.8%。

當(dāng)消費(fèi)者個(gè)人信息泄露后，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件，排名位居前三位。

調(diào)查結(jié)果還顯示，如果手機(jī)APP導(dǎo)致個(gè)人信息泄露，最擔(dān)心的問題是被利用從事詐騙竊取活動，占70.5%；其次是販賣或交換給第三方約占52.4%；被推銷廣告騷擾占比約為37.7%；名譽(yù)受損約占6.6%。

值得關(guān)注的是，最終有大約三分之一的受訪者選擇“自認(rèn)倒霉”，一方面可能是基于無力應(yīng)對的選擇，另一方面也可能是應(yīng)對無效后的接受現(xiàn)狀。

騙子獲取用戶信息以后，最擔(dān)心的是對個(gè)人進(jìn)行“量身定做”的精準(zhǔn)詐騙，這種騙術(shù)很難被當(dāng)事者識破，因?yàn)轵_子往往能夠準(zhǔn)確地說出當(dāng)事者一些較為私密的信息，足以“以假亂真”，讓用戶放松警惕。

2019年9月20日，黑龍江雙鴨山一位劉女士報(bào)警稱，她前幾日在第三方平臺上購買了一張飛機(jī)票，就在飛機(jī)起飛的前一天，她突然收到短信稱行程取消。她電話聯(lián)系退款，結(jié)果被騙15000元。

隱私泄露原因多樣，套路滿滿識別難

用戶個(gè)人隱私泄露原因多樣，本節(jié)主要從黑灰產(chǎn)人員、APP開發(fā)者、APP本身和用戶自身四方面進(jìn)行分析。

1、黑灰產(chǎn)人員通過對系統(tǒng)反編譯、攻擊篡改、植入后門等方式對數(shù)據(jù)進(jìn)行竊取

2013年10月，國內(nèi)安全漏洞監(jiān)測平臺“烏云網(wǎng)”披露，自稱是中國最大的酒店數(shù)字客房服務(wù)商的浙江某某公司，因?yàn)榘踩┒磫栴}，使與其有合作關(guān)系的大批酒店的開房記錄在網(wǎng)上泄露。

數(shù)天后，一個(gè)名為“2000w開房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上，其中包含2000萬條在酒店開房的個(gè)人信息，容量達(dá)1.7G。開房數(shù)據(jù)中，開房時(shí)間介于2010年下半年至2013年上半年，包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機(jī)、固話、傳真、郵箱、公司、住宿時(shí)間14個(gè)字段。

黑客利用平臺漏洞，收集網(wǎng)站和APP應(yīng)用程序泄露的個(gè)人信息，再嘗試登錄其它網(wǎng)站系統(tǒng)進(jìn)行“撞庫”，不斷非法獲取用戶信息。通過手機(jī)號、身份證號將用戶碎片信息不斷關(guān)聯(lián)清洗，再把這些信息“打包”賣給不法分子，以此牟利。

目前，“人肉搜索”已經(jīng)成為一門灰色生意，價(jià)格從數(shù)百元到數(shù)千元不等，而這些信息均來自于黑灰產(chǎn)人士用于儲備個(gè)人信息的“社工庫”。

需要指出的是，社工庫及“人肉搜索”行為嚴(yán)重觸犯了《網(wǎng)絡(luò)安全法》及其他有關(guān)法律、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

2、APP開發(fā)者技術(shù)實(shí)力參差不齊，數(shù)據(jù)管理不善容易造成數(shù)據(jù)泄露

一般中小公司APP開發(fā)者技術(shù)能力薄弱，在數(shù)據(jù)安全技術(shù)力量上欠缺，數(shù)據(jù)保護(hù)意識不強(qiáng)。這給了黑客可趁之機(jī)。

以金融行業(yè)APP為例，這些和“錢”有關(guān)的APP到底安全性幾何？2019年9月11日，中國信通院的報(bào)告團(tuán)隊(duì)從232個(gè)安卓應(yīng)用市場中收錄了 133327 款金融行業(yè)APP。經(jīng)檢測發(fā)現(xiàn)，共有20.48%的金融行業(yè)APP被嵌入了第三方SDK，嵌入的SDK 數(shù)量共計(jì)高達(dá)104005個(gè)。在嵌入SDK的金融行業(yè)APP中，有45%的APP嵌入了5個(gè)及以上的SDK。而第三方SDK存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風(fēng)險(xiǎn)。

而這批APP中僅17.08%進(jìn)行了安全加固，超過 80%的金融行業(yè)APP在應(yīng)用市場“裸奔”，未進(jìn)行任何的安全加固?；?Java 語言編寫的安卓應(yīng)用程序如不進(jìn)行加固，則其打包的 APK 文件很容易被反編譯工具進(jìn)行逆向分析，進(jìn)而暴露風(fēng)險(xiǎn)。

3、APP本身過度索取手機(jī)權(quán)限帶來隱私泄露風(fēng)險(xiǎn)

對APP來說，獲取手機(jī)權(quán)限一部分是因?yàn)楣δ苄枨螅ㄈ鐚?dǎo)航軟件獲取位置信息）；而另一方面也是為了盡可能多地收集用戶數(shù)據(jù)，更加詳盡地了解用戶特性，進(jìn)而有針對性的進(jìn)行推廣，提高用戶體驗(yàn)等。

APP最熱衷收集的就是獲取用戶位置和通訊錄信息。根據(jù)《APP個(gè)人信息泄露情況調(diào)查報(bào)告》，讀取位置信息權(quán)限和訪問聯(lián)系人權(quán)限是安裝和使用手機(jī)APP時(shí)遇到情況最多的，分別占86.8%和62.3%。受訪者被要求讀取通話記錄權(quán)限(47.5%)、讀取短信記錄權(quán)限(39.3%)、打開攝像頭權(quán)限(39.3%)、話筒錄音權(quán)限(24.6%)的比例也相對較高。

APP在安裝的時(shí)候，有一個(gè)服務(wù)協(xié)議與隱私政策，長達(dá)幾頁甚至十幾頁且文字密集。一些軟件不授權(quán)就無法使用，絕大部分用戶沒有興趣閱讀并直接默認(rèn)選擇同意。一些看似“正規(guī)”的APP在條款內(nèi)埋下陷阱，披著“合法”的外衣，以“本人已經(jīng)閱讀且同意履行”為由搜集用戶個(gè)人信息。被發(fā)現(xiàn)維權(quán)時(shí)就以“已經(jīng)在條款中說明要求，用戶已經(jīng)同意”的理由為自己開脫。

4、用戶自身安全意識缺乏，經(jīng)不住“誘惑”容易造成隱私泄露

互聯(lián)網(wǎng)時(shí)代，大量用戶不知道怎么正確管理賬號密碼，普遍存在安全意識缺乏，容易中毒或被釣魚軟件欺騙。

大量高仿低質(zhì)APP充斥在市場。以在IOS Appstore搜索“查社保”為例，出來幾十個(gè)類似APP，普通用戶很難區(qū)分哪一個(gè)APP是官方出品，排名靠前的APP有可能是通過刷評論、刷下載量等手段沖上去的。用戶在注冊使用過程中，其數(shù)據(jù)被這些APP保留下來。2019年315，“社保掌上通”因過度收集用戶信息數(shù)據(jù)被點(diǎn)名，用戶填寫各種資料注冊這款A(yù)PP后，這款A(yù)PP會通過隱藏的用戶條款竊取用戶社保信息，現(xiàn)在這款A(yù)PP已經(jīng)被全網(wǎng)下架。

還有一些APP通過優(yōu)惠短信鏈接、掃碼打折等誘惑信息，吸引用戶直接下載APP。這時(shí)用戶要擦亮雙眼，不要圖方便或只看評價(jià)等，在不清楚APP來源的情況下，不要下載和輸入個(gè)人信息。在使用APP某些功能提示需要讀取通訊錄時(shí)，一定要慎重考慮這個(gè)要求是否合理，增加自身的辨別能力和隱私保護(hù)意識。

熱衷獲取個(gè)人隱私，商業(yè)利益是誘因

商業(yè)的本質(zhì)是逐利的，正確合理地使用數(shù)據(jù)本無可厚非。正如百度CEO李彥宏所說，中國人多數(shù)情況下愿意用隱私換便利，但用戶仍然不希望被過度查看自己的個(gè)人數(shù)據(jù)，例如聊天記錄、通話記錄等。

拋開“販賣和交換個(gè)人信息”、“詐騙竊取活動”等不法行為外，個(gè)人信息是如何被拿來做推銷廣告的呢？讓你收廣告收的明白，本節(jié)為你簡單介紹一下套路。

首先，我們在注冊使用購物或者社交APP時(shí)，你的姓名、手機(jī)號、性別和地址等信息會被記錄下來。

其次，你在使用APP過程中，你的行為數(shù)據(jù)如瀏覽時(shí)間、地理位置、瀏覽路徑、消費(fèi)記錄等上千個(gè)行為都會保存下來。

接下來，系統(tǒng)建立模型，從這些基本數(shù)據(jù)和行為數(shù)據(jù)中構(gòu)建標(biāo)簽，試圖從無數(shù)個(gè)標(biāo)簽中構(gòu)建出你的用戶畫像。

舉個(gè)例子，你看到一款“電視”產(chǎn)品的介紹，系統(tǒng)計(jì)算你對“電視”的購買欲程度。通過一個(gè)簡單的標(biāo)簽加權(quán)算法：

購買欲權(quán)重=行為權(quán)重×停留時(shí)間×衰減因子

當(dāng)你對“電視”產(chǎn)品評論、點(diǎn)贊、轉(zhuǎn)發(fā)和收藏等操作后，你的行為權(quán)重會增加。停留時(shí)間是加分項(xiàng)，如果瀏覽“電視”的時(shí)間長，表示你對其有興趣。短暫的停留無法代表你長期的興趣，單次瀏覽行為的權(quán)重會隨著時(shí)間流逝不斷衰減。

最后，系統(tǒng)根據(jù)這些標(biāo)簽，通過你的瀏覽行為給你推薦商品；也可以將其他跟你相似用戶的瀏覽記錄和購買過的商品推薦給你。

在互聯(lián)網(wǎng)誕生初期，《紐約客》曾有一句聞名全球的俚語：“在互聯(lián)網(wǎng)上，沒有人知道你是一條狗。”而現(xiàn)在，狗比你更了解你自己。

防范隱私泄露，提升個(gè)人安全意識

在互聯(lián)網(wǎng)時(shí)代該如何守護(hù)我們的個(gè)人隱私？需要APP開發(fā)者、應(yīng)用發(fā)行市場和APP使用者共同努力。

1、APP開發(fā)者履行責(zé)任，從源頭上保護(hù)個(gè)人隱私安全

一個(gè)APP上線，要經(jīng)歷設(shè)計(jì)、開發(fā)和上線環(huán)節(jié)。APP開發(fā)者需自覺遵守《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等相關(guān)法律；遵循個(gè)人數(shù)據(jù)采集的基本原則，包括目的明確、最少夠用、公開告知、個(gè)人同意等。對信息泄密建立所謂的“問責(zé)制”，使所有人能更重視數(shù)據(jù)問題的解決之道。

2、應(yīng)用分發(fā)平臺完善審核機(jī)制，幫助用戶守好“最后一道門”

我國境內(nèi)應(yīng)用商店數(shù)量已超過200家，大部分應(yīng)用商店都推出了一定措施來保障用戶的安全體驗(yàn), 嚴(yán)格審核把關(guān)，提升用戶體驗(yàn)尤為重要。一些應(yīng)用分發(fā)平臺已經(jīng)采用“惡意行為檢測”+“隱私泄露檢查”+“安全漏洞掃描”+“人工實(shí)名復(fù)檢”四重檢測體系，以多樣安全審核措施保障上架應(yīng)用的安全合規(guī)。

3、APP使用者加強(qiáng)信息安全保護(hù)意識，不讓非法應(yīng)用“有機(jī)可趁”

APP使用者具體可通過下述四種方法加強(qiáng)個(gè)人信息安全保護(hù)：

（1）對APP分等級管理，設(shè)置不同的賬號密碼。涉及資金類的APP和一般APP，設(shè)置兩套不同的賬戶和密碼可防止連環(huán)盜號。

（2）不要隨意登錄免費(fèi)WiFi，隨意刷二維碼。下載APP時(shí)最好從官方網(wǎng)站上下載，或通過合格經(jīng)營的第三方應(yīng)用市場下載，并適當(dāng)查核發(fā)布者的資質(zhì)。山寨APP，或存在竊取個(gè)人信息、惡意扣費(fèi)等問題的APP，提前了解甄別，以防落入山寨陷阱。

（3）關(guān)閉APP的敏感權(quán)限。查看應(yīng)用索取的權(quán)限，讀取通訊錄、讀取短信通話記錄等敏感權(quán)限盡量關(guān)閉。

對于蘋果手機(jī)，點(diǎn)擊設(shè)置-隱私，查看哪些程序還在使用你的“定位服務(wù)”、“通訊錄”等服務(wù)。關(guān)閉設(shè)置-通用-后臺應(yīng)用刷新功能，有些APP通過后臺應(yīng)用刷新功能收集用戶信息。

對于安卓手機(jī)，慎開USB調(diào)試模式，因?yàn)槭謾C(jī)一旦開啟USB調(diào)試模式，PC端的軟件可以快速地對手機(jī)進(jìn)行root操作。一旦有了root權(quán)限，手機(jī)的鎖屏密碼、綁定賬號等信息很容易被其它軟件隨意調(diào)用，其安全風(fēng)險(xiǎn)不言而喻。

（4）個(gè)人信息不要隨意填寫，不主動泄露。平時(shí)接收快遞，使用X先生/女士，優(yōu)先使用小區(qū)自提柜，不對應(yīng)具體門牌號；使用隱私小號進(jìn)行聯(lián)系等。

“出來混,遲早要還的”。個(gè)人信息保護(hù)已經(jīng)成為兩會熱點(diǎn)話題。5月25日，全國人大常委會工作報(bào)告在下一步主要工作安排中指出，將制定個(gè)人信息保護(hù)法、數(shù)據(jù)安全法。央行將嚴(yán)打無證經(jīng)營違規(guī)獲取個(gè)人隱私數(shù)據(jù)。

個(gè)人隱私數(shù)據(jù)的違規(guī)收集和野蠻使用時(shí)代將會終結(jié)。