Google作恶 99.9%的Android手机App都在窃取隐私
消息来源:baojiabao.com 作者: 发布时间:2024-05-21
隐私神经“不敏感”的中国人,还要继续无动于衷吗?
《网络安全法》实施的第二年,成效初显,却也危机四伏。仅近半年,就有大量的 App 们,以前仆后继的英勇姿态在隐私安全的危险边缘疯狂试探。
1 月,12306 因强制用户授权信息而被推上了风口浪尖,只有用户同意 App获取用户的位置信息、相机相册、文件存储和电话等个人信息才能订票。3 月,WiFi 万能钥匙被央视财经《经济半小时》栏目爆出窃取了 9 亿用户隐私,包括用户手机号码、WiFi 密码、IP 地址、子网掩码、路由器、甚至关联的银行卡及密码等,用于营销推广,谋取暴利。6 月,漫天刷屏的足迹地图引发全民贴图狂潮,仅 6 月 1 日当天页面访问次数就突破了 1000 万,在满足了用户攀比心理的同时也轻易获取了大量隐私数据。7 月,QQ 浏览器、百度手机输入法相继中招,涉嫌私自调动摄像头、自动录音等侵权手段......
可以看出来,国内用户的隐私信息似乎十分“廉价”,不胜枚举的 App 们只是再次佐证了这一点罢了。而且国内尚且如此,国外似乎也不遑多让。
今年 3 月,Facebook毫无征兆地爆发了波及甚广的“数据泄露门”,震惊了整个技术圈,5000 万用户信息被窃取用于建立模型和影响选民投票,最终以扎克伯克登报致歉并接受公开质询作结,过了近半年至今还仍有余波。
但是从个人数据收集的角度来讲,另一科技巨头 Google 的做法似乎更为严重——据外媒今日报道,Google 正利用 Android 设备和 iPhone 上的许多旗下服务追踪用户活动,并存储他们的位置数据——即使用户关闭了相关设置,许多Google应用程序也会自动存储有时间戳的位置数据,而无需询问用户。此举直接涉及了数十亿智能手机用户,而这种“流氓做法”今天再一次地把隐私话题推到了公众面前。
但是对比国内,国外的用户、市场抑或是政府对隐私暴露的容忍度似乎都更低一些。无论是欧盟出台的GDPR 隐私法规、Twitter 上掀起的删除 Facebook 舆论活动、还是 Google 此前的军事化项目妥协等等,一系列的“反抗”都彰显了国外人民对于隐私的“不妥协”。那么对于身处信息爆炸时代的国人们,是不是该把隐私保护再次提上日程了?
《网络安全法》的推出是一剂良药,但在立法立规尚不十分完善的情况下,也许用户的随手“同意”,就暴露了所有的隐私数据,无意间为“数据灰黑产”贡献了一份力量——所以,隐私保护意识的提升实属迫在眉睫。
近日,腾讯社会研究中心联合 DCCI 互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告》也披露了严峻的应用隐私市场现状。
报告表示,近两年来中国的移动互联网在快速发展中,2017 年全国数字经济规模达到了 27.2 万亿,占 GDP 总量的 32.9%。但与此同时,隐私泄露、网络诈骗等也愈加泛滥,网络安全问题时有发生。然而,网民在互联网信息保卫战中始终处于弱势地位,网民个体的防御意识也十分薄弱。
为此,这份报告基于869 个Android 手机 App 以及275 个iOS 手机 App 进行了隐私安全评测,全面剖析了移动开发者获取用户手机隐私许可权的情况。
Android 手机 App 评测的隐私许可权包括:6 项核心隐私许可权(获取位置信息、读取手机号、读取简讯记录、读取彩信记录、读取联系人、读取通话记录);5 项重要隐私许可权(打开摄像头、使用话筒录音、发送简讯、发送彩信、拨打电话);4 项普通隐私许可权(打开 WiFi 开关、打开蓝牙开关、获取设备信息等、打开数据网络)。
iOS 手机 App 评测的隐私许可权包括:定位服务、通讯录、日历、提醒事项、照片、蓝牙共享、麦克风、语音识别、相机、健康、Homekit、媒体与APP、运动与健康等共 13 项。
7.53 亿手机网民遭遇隐私泄露的威胁
截止 2017 年 12 月,中国手机网民规模达 7.53 亿。移动开发者可以利用大数据挖掘这些信息更好地为用户服务,而有些不法分子却趁机利用这些信息来发送垃圾简讯、打骚扰电话、窃取手机资费等,甚至发生诈骗勒索事件。
目前通过移动互联网泄露隐私的渠道主要有:手机 App、公共 WiFi、旧手机、企业数据。
如果接入不安全的公共 WiFi,用户的隐私信息也会被不法分子获取。通过公共 WiFi 获取用户隐私信息的方式主要有以下三种:恶意架设 WiFi,通过直接抓取数据包、修改 DNS 地址、或者向手机植入木马等方式获取用户信息;流量劫持,利用公共 WiFi 的漏洞进行攻击,如推送恶意广告、诱导用户进入钓鱼网站等;通过手机验证码获取用户手机号,这是最为常见的一类免费 WiFi 的服务形式。
旧手机处理不当,同样会导致隐私被盗取。如果旧手机通过二手市场或回收环节落入不法分子手中,一旦对方通过技术手段对信息加以恢复了,手机原主人的照片、视频等隐私信息都会被曝光,简讯、通讯录、微信、QQ 的信息会被用来诈骗,银行卡、信用卡或第三方支付会被盗刷等。
企业大数据也成了黑客攻击的主要目标。随着互联网的发展和市场竞争的加剧,用户数据的价值也越来越高。不法分子会利用黑客技术非法攻击、盗取企业大量数据,并逐渐形成了一条从数据盗取、售卖、到数据利用的完整产业链条。例如最近的 A 站数据泄漏事件:黑客攻击并盗取了 A 站近千万用户数据后,这部分数据竟然被明码标价放在暗网上售卖。
99.9% 的 Android 端手机 App 都会获取隐私许可权
Android 6.0 操作系统推出以前,Android 系统中虽然有应用通知管理功能,但更为深入的应用许可权管理只能依靠第三方 App 实现。6.0 版本以上的 Android 系统进一步强化了应用许可权管理,应用许可权管理也成为系统级功能,用户可以方便地自主决定授予 App 哪些隐私许可权。
但是,即便是否授权 App 相关许可权掌握在用户自己手中,手机隐私泄露风险依然存在。App 获取隐私许可权的用途信息不对称,造成用户始终处于弱势地位,普通用户根本难以判断 App 获取相应隐私许可权的目的。
评测发现,2018 年上半年 Android 端获取隐私许可权的手机 App 占比相较于 2017 年下半年提高了 1.4%,达到 99.9%,未获取隐私许可权的手机 App 仅占 0.1%——几乎所有的 Android 端手机 App 都会获取隐私许可权。
2018 年上半年,在获取隐私许可权的 App 类型分布中,网络游戏和常用工具仍是占比最大的两类应用,分别达到 24.8% 和 12.7%。相比 2017 年下半年,网络游戏类 App 占比进一步提高,常用工具类 App 占比继续缩小。
另外,2018 年上半年,随着人们理财观念和消费观念的进一步提升,生活购物类和投资理财类 App 占比明显增大,相比 2017 年下半年,生活购物类 App 占比由 7.6% 增加到了 11.2%,投资理财类由 9.1% 增加到 10%。这一现象与近年移动开发热点向生活购物、投资理财等领域转移有着直接关系。
此外,在所评测的三类隐私许可权中,Android 端手机 App 对部分核心隐私许可权和重要隐私许可权的获取比例大幅提高,它们分别是属于核心隐私许可权的“读取联系人”许可权,属于重要隐私许可权的“打开摄像头”和“使用话筒录音”许可权。
iOS 端获取手机隐私许可权的 App 仅一年增加了 24.5%
iOS 操作系统的口碑一向比较好,但也不是绝对安全。在 2017 年 10 月的 GeekPwn 国际安全极客大赛上,一名中国选手现场演示了自己发现的 iOS11 系统最新漏洞。在演示中,用户打开黑客提供的伪装连接后,黑客就能获得 iPhone 8 的最高许可权,可盗用户手机内的隐私、自由安装 App 等。
调查发现,iOS 端获取手机隐私许可权的 App 比例正在呈现上升趋势,2018 年上半年 iOS 端获取手机隐私许可权的 App 比例已达到 93.8%。仅仅时隔一年左右,iOS 端获取手机隐私许可权的 App 比例增加了 24.5%。
据评测发现,iOS 端获取手机隐私许可权的 App 中,常用工具类、生活购物类和影音娱乐类 App 占比最大,分别占 15.1%、14.7% 和 11.2%。
此外,报告通过针对 iOS 端不同类型 App 获取隐私许可权的情况分析发现,除通讯社区类 App,其他类型的 App 获取隐私许可权的比例都在 80% 以上。其中,图像美化类 App 获取隐私许可权比例最高,达 100%;网络游戏类 App 获取隐私许可权比例增幅最大,由 2017 年下半年的 43.1% 增长到了 2018 年上半年的 88.9%,增幅达 45.8%。
为了确保隐私安全,对于 iOS 用户来说,一方面需要苹果公司及时修复发现的系统漏洞,另一方面用户也需要提高安全意识和能力,尽可能地保护自己的隐私,阻止 App 越界获取不必要的隐私许可权。
写在最后
99.9% 的 Android 端手机 App,93.8%的 iOS 端手机 App——在这两大系统平分天下的移动端,隐私泄露的问题已经不容小觑。高达九成的比例告诉所有用户,“明哲保身”是不切实际的,“侥幸心理”更不能有,或许下一秒,隐私被滥用的火就会烧到自己身上。
用户作为隐私信息的源头和最终受害者,需要大力加强网络安全意识和知识,了解隐私保护手段。在此,附上手机隐私安全保护指南供大家参考。
手机 App 使用安全建议:尽量选择官方渠道,不要下载来历不明的山寨 App;谨慎授予 App 许可权;观察 App 流量使用情况,及时检查和删除;不要设置自动登录,密码定期更换;不再使用 App 时应彻底退出;关闭 App 自启动功能。
公共 WiFi 使用安全建议:在公共场所尽量不去使用没有密码的免费 WiFi;认真核对 WiFi 名,避免接入假冒 WiFi;将手机上的 WiFi 设置为手动连接,避免不经意间连入风险 WiFi。
旧手机安全处理建议:手机操作系统执行文件删除时,仅是对文件做了一个“删除”标记,但存储的数据本身依然存在。如未进行新的数据操作,最上层的数据很容易被恢复。所以建议采取以下措施防止旧手机里的信息泄露:把重要数据备份后,多次存取一些无关紧要的内容或者大型文件(如电影),直至将手机的存储空间全部占满;给手机安装一个“文件粉碎机”,进行全盘擦除;将旧手机低价处理或扔掉前,确保隐私信息已经被妥善处理。
最后,希望大家都能做一个“敏感”的网民,对自己的个人信息负起责来。
本文报告部分摘录整理自《网络隐私安全及网络欺诈行为研究分析报告》,完整报告可点击 https://m.qq.com/security_lab/news_detail_473.html。
相关文章
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状
2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因
2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓
2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?
2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元
2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯
2023-02-17 18:46:15
- 华为mate20pro系列手机首发上市日期价格,屏幕和电池参数配置对比
2023-02-17 18:42:49
- 小米MAX4手机上市日期首发价格 骁龙720打造大屏标准
2023-02-17 18:37:22
- 武汉弘芯遣散!结局是总投资1280亿项目烂尾 光刻机抵押换钱
2023-02-16 15:53:18
- 谷歌GoogleDrive网云盘下载改名“GoogleOne” 容量提升价格优惠
2023-02-16 13:34:45
- 巴斯夫将裁员6000人 众化工巨头裁员潮再度引发关注
2023-02-13 16:49:06
- 人手不足 韵达快递客服回应大量包裹派送异常没有收到
2023-02-07 15:25:20
- 资本微念与李子柒销声匿迹谁赢? 微念公司退出子柒文化股东
2023-02-02 09:24:38
- 三星GalaxyS8 S9 S10系统恢复出厂设置一直卡在正在检查更新怎么办
2023-01-24 10:10:02
- 华为Mate50 RS保时捷最新款顶级手机2022多少钱?1.2万元售价外观图片吊打iPhone14
2023-01-06 20:27:09
- 芯片常见的CPU芯片封装方式 QFP和QFN封装的区别?
2022-12-02 17:25:17
- 华为暂缓招聘停止社招了吗?官方回应来了
2022-11-19 11:53:50
- 热血江湖手游:长枪铁甲 刚猛热血 正派枪客全攻略技能介绍大全
2022-11-16 16:59:09
- 东京把玩了尼康微单相机Z7 尼康Z7现在卖多少钱?
2022-10-22 15:21:55
- 苹果iPhone手机灵动岛大热:安卓灵动岛App应用下载安装量超100万次
2022-10-03 22:13:45