酷应用

3·15特辑 | 陷阱！你的隐私被偷窥！揭秘App推送背后的秘密

百家作者：微型计算机 2019-03-15 13:27:55

互联网发展至今，伴随着大数据的广泛应用，我们的生活质量正在飞速提升，个人日常生活变得更加便捷。常用的浏览器已经知道我们正想购买的物品，外卖平台在我们下单前就知道你的口味……然而便捷生活的背后是大量的个人信息被不断收集和分析，行为偏好、购物记录、住址电话等信息频繁暴露。我们正在以隐私换取便利，而那些免费的App也正在依靠这些隐私谋取更大的利益。

隐私条款成“霸王条款”

个人隐私不可侵犯，无论出于何种目都不应该在未经本人同意的情况下被使用。不过互联网上的每一条数据，都可以说是被“合法”征用了。当你在手机上下载一个个好玩又好用的App时,总会被询问“是否同意服务条款”,此时，你是否会看都不看、想都不想就点“同意”按钮？隐私条款看起来是用来保护我们隐私的条款，却成为了App“合法”征用个人信息的“卖身契”。

诸如“为改进服务，我们需要收集、分析您使用手机的情况，并可能与第三方共享”等语焉不详、笼统不清的条款内容比比皆是，实际上是企业利用自己的优势地位“强迫”用户同意，导致的结果用户提供授权后再也无法享受隐私权。

《网络安全法》规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，并经被收集者同意，不得收集与其提供的服务无关的个人信息”。但在现实中，就连天气类应用都会提取用户的通信录，手电筒应用在安装时询问是否调用手机的位置信息，这些与App功能无关的小动作，很让人怀疑那些互联网企业的真实目的。

“世上本没有路，当走的人多了，也便成了路”，几乎所有的App都在这么做，我们已经习以为常，只要不突破手机核心隐私数据的底线就好。然而，正是有人突破这条线，完全扒掉用户的衣服。2月16日，数码博主“@瘦出的肋骨已经消失的大侠阿木”在微博称《京东金融》App获取用户截图且私自上传，并发布了相关视频举证。

▲网曝《京东金融》App会将系统截图复制到自己名下的文件夹中

从曝光的演示视频中我们可以看到，用户在《招商银行》App中截图后，图片的确被自动复制到了《京东金融》的文件夹中。京东方面很快做出回应，表示该功能原本是为了让用户在使用《京东金融》的过程中遇到问题时，可直接截图向客服反馈，并强调如果用户没有发送图片，图片并不会上传至服务器。为了平息争议，《京东金融》暂时下线了该功能。

▲京东金融客服微博回应，并暂时下线了复制截图的功能。

需要注意的是，此次曝出问题的是Android版本的《京东金融》App，与此相对的iOS版本由于对底层权限有严格的管理，App很难绕过苹果的防御机制。尽管Android已经逐渐重视这一问题，不断地改进Android 的权限管理机制，但依然存在不少漏洞可钻。

2018年11月28日，中国消费者协会发布的100款App个人信息收集与隐私政策测评情况显示，47款App隐私条款内容不达标，其中34款App没有隐私条款。典型问题有“收集敏感信息时未明确告知用户信息的用途、对外提供个人信息时不单独告知并征得用户同意、隐私政策存在默认同意或未提示阅读等问题、存在‘自行承担风险’等不合理免责条款”等。《中国工商银行》、《中国建设银行》、《支付宝》、《美图秀秀》、《去哪儿网》、《拼多多》等知名App均存在一些问题。

▲根据中国消费者协会评估，多达91款App列出的权限涉嫌“越界”，存在过度收集用户个人信息的问题。

用大数据“割韭菜”

许多移动互联网产业，明明看着是赔本赚吆喝的买卖，为什么热钱前仆后继地往里汇聚？原因在于我们身处大数据时代，一切为了数据。商业公司获取的数据量越多，类别越丰富，产生的价值越大。当你的交易记录、网页浏览记录、地理位置、兴趣爱好等数据足够生成虚拟画像后，就成为了成为了待割的“韭菜”，商家通过这些数据信息来预测你未来的行为。

▲智能短信功能能够根据银行短信生成账单，便于用户查看，但同样能够获取用户的消费地点、消费习惯、信用卡信息等敏感隐私。

比如，浏览器Cookie里保存着你的浏览记录和搜索记录，根据你的搜索记录推送给你相应的广告，还被美其名为“优化你的网络体验”。恰恰是这样的浏览器，成为了“最了解你的人”。数据显示，有35%的亚马逊客户是通过推荐商品引流而来，而在Netflix上，这个数据达到了75%。

2018年3月，“大数据杀熟”一词开始进入大众视野。不少用户投诉携程、滴滴等平台使用大数据杀熟。日前，微博网友“陈利人”（前谷歌技术负责人和软件工程师）发文称，他通过携程购买了一张总价为17548元的机票，发现没有选择报销凭证退回重选，却提示已无票。待重新搜索，价格猛涨到18987元，贵了近1500元，而同样的航班，在航空公司官网还有充足余票，还只需16890元。

针对此事，从不对消费者回应的携程发布了道歉声明，表示在陈先生订单复盘中发现了新版本App在机票预定程序中存在Bug，这是陈先生再次搜索出现无票情况的原因，但否认存在“大数据杀熟”。这已不是携程第一次陷入“大数据杀熟”的舆论旋涡。

商家利用隐私信息推测出客户的需求和心理承受价格的上下限，从而展示出不同的商品价格，以实现商家最大的利润。和“啤酒超市卖5元，在KTV里卖20元”不同，大数据杀熟在不知情的情况下，让消费者承担更贵的价格，侵犯我们的知情权、公平交易权、自主选择权、隐私权等正当权益。

在不知不觉中购买了更多的东西、花掉了更多的钱，这还是次要的。问题在于，被收集的隐私数据不一定被妥善保存，不少App的隐私条款甚至允许与其他平台共享，还有更多的数据在未经允许的情况下被出售。在《拼多多》App的隐私条款里，就明目张胆地让客户“自愿授权我们共享您的个人信息”，一旦你点击同意，向第三方"出卖"用户个人信息的行为就获得了授权。

▲拼多多的隐私条款包含了转让和共享用户信息

无独有偶，2018年8月28日，暗网中文论坛中出现售卖华住旗下所有酒店数据的帖子，出售的数据包括华住官网注册资料、酒店入住登记身份信息酒店开房记录。发帖人声称，所有数据脱库时间是8月14日，每部分数据都提供10000条测试数据。所有数据打包售卖8比特币，按照当天比特币价格约合 37 万人民币。

令人震惊的是，测试结果显示数据真实，所有信息通过哈希加密存储，且测试数据都清晰无码。我们已经无法得知我们的隐私数据在谁的手里，他们打算用这些数据做什么，一切变得不可控了。

潘多拉的魔盒如何关闭？

每一个App，都具备了对“大数据”的收集能力，却很少具备对其应用正当性的管理能力。他们用非常低的成本获取隐私数据，往往还没有明确的目的和使用数据的成熟技术，但是仍然抱着“数据不怕多，收集了再说”的念头下手。

这样的窥探行为从未停止，汇总后还被反复持续地分析，甚至与“合作伙伴”分享，美其名为“挖掘潜在价值”。然而，数据的所有权是谁的，价值是谁的？推荐的商品让客户很中意，是给买卖双方创造了价值；但如果你天天接到卖房、办信用卡、办小额贷款的推销电话，恐怕也会不胜其烦。

互联网隐私的问题由来已久，并非一日之寒。虽然我国相关法律法规对个人信息保护有较为笼统的规定，但存在着适应性差、不系统不全面的问题，大数据产业纳入法治轨道短期内很难实现。另一方面，依靠以营利为目的的互联网企业遵守价值观和职业道德更不靠谱。一旦大数据能够产生足够的利润，他们必然会突破道德的底线。我们能做的就是不泄露那么多数据，不让泄露的数据被串联起来，生成我们的虚拟画像。

1.申请专门的手机号，用于注册App。几乎所有App的注册都需要收集用户的手机号，申请一个专门的手机号，专门用于注册App很有必要。如今各大运营商都推了不少含有副卡的套餐，直接申请个副卡很方便。

2.为不同账号设置不同的密码。我们可为不同App设置不同的“动态密码”，密码的一部分是固定的，另一部分则可以根据不同App随机应变。

3.善用浏览器的隐身模式。许多浏览器都提供了隐身模式，会在关闭时自动清理使用过程中产生的Cookie信息，避免数据被广告边栏采集的情况。

4.仔细检查手机里每个App调用的系统权限。比如地图App就没必要使用通讯录和发短信的权限。关掉这些权限，它也可以正常运行。

智能设备背后的安全思考

智能设备是继智能手机之后的一个科技概念，通过软硬结合的方式对传统设备进行改造，进而让其拥有智能化的功能。不过在智能化之后，不断爆出的产品安全问题却引发了公众对智能设备的深切忧虑，也阻碍了行业的健康发展。现如今，智能设备的发展已经到了一个十字路口，一边通向更便捷和智能，一边却通向更隐蔽和危险。

智能摄像头藏隐患

在日益成熟的AI技术和物联网的推动下，智能设备正迎来自己的“黄金时代”。据统计，我国智能家居潜在用户量已达1亿，预计2020年产业规模将突破1万亿元。其发展速度之快，经济潜力之大，吸引各类厂商纷纷布局。语音识别、人工智能、5G等技术与传统设备深入融合，使得智能摄像头，智能扫地机器人等产品深入人们的生活。

以最常见的摄像头举例，国内很多用户会购买智能摄像头放在家中以起到“看家护院”的作用，人在室外也能通过App查看家中的动态，特别是对有宠物和小孩的家庭来说尤为有用。不过随着摄像头的增多，摄像头内部的漏洞也呈爆发式增长。据白帽汇安全研究院发布的《2018年摄像头安全报告》显示，2018年的摄像头漏洞较上年增长了19%，由摄像头激增引发的安全问题已经变成全世界共同面临的挑战。

在国内关于摄像头最火热的讨论应属360的水滴摄像头事件。360水滴直播上线于2015年，其定位是基于360智能摄像机的用户分享平台。购买了360智能摄像头的用户可以用该摄像头直播，而其他的用户则可以通过手机或PC进行观看。问题在于大多数用户对直播条款和直播协议并没有详细了解，未经仔细考虑便开始了直播。并且直播的场景除了商场、教室、店铺这类场所外，还包括很多诸如酒店、按摩馆等隐私场所，极大地侵犯了他人的隐私权。虽然事件的最后是360关闭了水滴直播平台，但那些由于水滴平台泄露出去的画面却永远在互联网上留存。

▲360水滴平台宣布永久关闭

数据显示，截止到2017年，世界上的摄像头总数约为14万亿个。到2022年，全球摄像头总量将增至44万亿个。海量的摄像头虽然为用户们带来了更好的安防能力，但如果落入攻击者手中也成了最直接监控手段。特别是一些廉价的智能摄像头和监视器等物联网产品的大量出现，往往没有经过安全性上的检验，极易被黑客控制。

智能家居泄露敏感信息

除摄像头外，电视盒子、智能路由器和智能音箱，这或许是一般家庭中最常见的三种智能设备了。或许用户会想：一个电视盒子会泄露什么呢？事实上，某些电视盒子由于敏感数据存储未加密或采用明文传输，攻击者能远程查看用户电视设备播放的节目列表、历史记录，甚至还有可能造成用户的视频网站账号密码泄露。

另外，作为地位更重要的路由器，它通常作为家庭的入口，而它的安全性将涉及家庭中更多设备。2018年5月，美国联邦调查局发出警告称，某国黑客已经入侵了数十万台家庭和办公室路由器，以收集用户信息或劫持网络流量。去年早些时候，思科也警告说黑客正在利用Linksys、NETGEAR、TP-Link和其他公司生产的主流路由器产品进行非法活动。

▲IoT智能设备如果被入侵，用户会损失很多隐私信息，甚至还会危害到人身安全。

当然，智能设备市场最火热的智能音箱作为家庭的“中控台”，其地位也尤为重要。它不仅可以控制家中的智能设备，还始终保持了监听的状态。例如，美国俄勒冈洲的一对夫妇最近就发现，他们的亚马逊Echo智能音箱一直在他们不知情的情况下录制音频。并且还将音频发送到了他们联系人名单上的人员。

亚马逊将这一错误归咎于在夫妇平时背景对话中“Alexa”（Alexa为亚马逊Echo智能音箱的唤醒词）的误解。而在国内，以天猫精灵和小爱同学为代表的智能AI音箱也经常被无故唤醒，即便你根本没有说相关唤醒词，而这也从侧面证明了智能音箱一直保持了监听的状态。

另外，使用智能音箱还将增加你被黑客攻击的可能性。由于大部分智能音箱并没有生物安全识别系统，其他人可以随意利用声音控制家中的设备。即使拥有拥有声纹识别，黑客也可能设法或许你的语音录音，这是身份盗用的另一个分支。

不安全行为太危险

不过在大多数信息或账号被盗取的案例中，用户的不安全使用行为要承担主要责任。用户的不安全使用行为主要包括：不修改默认密码、设置弱密码、不升级补丁、安装过多插件等。

常见的默认密码为admin、password、12345678等，而常见的弱密码如姓名、生日、手机号码等，极易被盗取。根据某安全软件对用户的调研显示，61.7%的用户会修改密码并设置较高防护密码，30.5%的用户使用弱密码，剩下的6.8%用户则根本不去修改密码。

另外，定期升级软件系统或给漏洞打补丁，也是确保IoT设备安全性的重要举措。安装漏洞补丁可以修复硬件的错误、完善性能，并提高安全性，所以当智能设备固件有更新时还需及时更新。值得一提的是，许多用户热衷于为智能设备安装插件以拓展更多的功能，但从安全层面来说，每增加一个插件，就相当于新增一个入口，如果插件中存在漏洞的话，则会危害用户的隐私安全。

隐私泄露如何防范

在IoT时代，想要完全规避这些智能设备的漏洞是很难的事情，但是我们可以通过几个小方法来将安全隐患降到最低。

1.在产品的选用上，尽量选择质量可靠的大品牌。

2.在使用诸如摄像头和音箱时，尽量在使用时才接入电源，并且避免放置在浴室、卧室等敏感空间里。

3.在厂商推出固件版本更新或漏洞补丁时用户需要及时更新。

4.用户在使用时应当设置较复杂的秘钥且阅读使用须知，避免360水滴事件的重现。

写在最后

智能设备为人们带来了更智慧、更便捷的生活，也拥有广阔的未来，但这一切都要以强大的安全防护能力作为基石。传统的信息安全和数据安全如今已经升级到了隐私安全、社会安全和人生安全，没有安全保障的智能设备只会是“海市蜃楼”。对于普通消费者而言，面对智能化的浪潮，应该提高警惕，多对各方面的安全问题留个心。同时我们也呼吁智能设备生产厂商做好隐私安全保护工作，防止类似问题重现。