跟好友闲谈中提到的小东西,发短信跟自己丢钱钱,或者他们脱口讹传的货品,下一秒钟就会精确再次出现在智能手机其它APP的所推荐条目里。
用他们的智能手机,还得警惕着被智能手机里的APP偷偷地到访谈文本,这世界有点儿梦幻。
译者/ 青蓉
撰稿/ 李安安
作者/ 创业者邦(ID:rancaijing)
创业者所见所闻(ID:chuangribao)许可转发
2020年315文艺晚会严厉批评数款APP拉开序幕“监听无间道”,违法盗取隐私重要信息,让人毛骨悚然!
它是是不是盗取你的隐私的?
315文艺晚会报导,在这类智能手机APP里,暗含着两个小偷,两个由服务器端子公司提供更多的两个应用程序。
甚么是应用程序?
应用程序原本是能让智能手机同时实现这类某一机能和完全免费正式成为两个SDK包。难题是,这类服务器端子公司开发的SDK包却在背地里偷偷摸摸地干着见不得人的事。
315文艺晚会截图
相关技术人员检测了50数款智能手机应用软件,发现暗含玄机。
一些智能手机应用软件中的SDK应用程序存在没有经过用户许可、用户不知情的情况,偷偷盗取用户手机中的隐私重要信息,包括短信、通话记录、联系人等。
这些APP包括国美易卡、最强手电、爱转转、91极速购在内的50数款,这些APP会获取移动设备的IMEI号(移动设备标识号)、电话号码、聊天记录、通讯记录等隐私重要信息。
IMEI号是智能手机的唯一识别码,相当于智能手机的身份证。不管是否经过用户同意,APP一旦获得了移动设备标识,就为个性化推送垫定了基础。
315文艺晚会截图
读取用户的隐私重要信息,只是盗取用户隐私的第一步,读取完成后,还会将数据悄悄传送到指定的服务器存储起来。
除了盗取电话号码、位置、通讯录这样的隐私,甚至通过菜谱、家长帮、动态壁纸等数款APP盗取用户更加隐私的重要信息。
比如智能手机中的短信文本,“验证码是XX,请勿告知自己……”用户如此重要而私密的短信文本都会被传送至服务器端服务器。
这些重要信息一旦被别有用心的人获取,极有可能造成严重的经济损失。
此外,SDK看似只是两个普通的应用程序,但它却对所有智能手机所有APP都具有通用性,很多智能手机应用软件可能都嵌入了同两个SDK,因此,一旦某个SDK盗取了某个人的隐私,将会涉及众多智能手机应用软件,带来的损失难以想象。
此外,315文艺晚会报导,除了内嵌SDK以外,工作人员还发现,一些知名智能手机APP也有搜集用户隐私的现象,涉及酷音铃声、智能手机铃声、铃声大全等数款APP。
“你我的隐私,在这些应用软件开发商眼中都是唐僧肉,人人见了都想吃一口。于是乎,在智能手机应用软件里的这些机能应用程序绵里藏针,变成他们窃取我们个人资料的渠道……”
1
隐私难题老生常谈
越界APP却得寸进尺
实际上,4天前,央视财经已经曝光,部分用户在线下闲谈时再次出现的词语,之后会再次出现在智能手机应用的推送中,由此怀疑智能手机APP存在监听的行径。
另外,报导还指出了一些不合理的重要信息许可行为、以及利用智能手机验证码方式获取个人重要信息等难题。
在央视曝光之后,网友纷纷表示同感,“他们和好友闲谈到椰枣,但从来没有搜索过,第二天智能手机上再次出现椰枣的推送……”“遇到这种情况不是一次两次了……”
实际上,在央视财经曝光之前,5月15日,工信部就曾经公布过“侵害用户权益行为的APP名单”。主要包括当当、租租车、WiFi管家等16款App。
2020年第一批存在难题的应用应用软件名单
过了不到两个月,7月3日,工信部又公布了第二批侵害用户权益的APP名单,主要包括智慧树、纳米盒、悟饭游戏厅等15款App。
2020年第二批存在难题的应用应用软件名单
从工信部公布的APP名单中能看出,其中涉及的难题,主要包括“私自获取用户个人重要信息;超范围收取个人重要信息;私自共享给服务器端;过度获取权限……”
APP专项治理工作组专家揭露,一些APP刚刚安装进智能手机,一次都还没有打开,它却已经开始向外悄悄传输数据。
这些APP在隐私政策里没有告知用户,是完全自启动的方式,悄悄地把用户重要信息传到了他们的服务器上。
“几分钟过去了……第二个数据包也再次出现了,点开这个数据包看,这里面就有两个是IMEI号(移动设备标识号)的标识符……”
视频截图
从被传输的数据包中能看出,APP第两个获取的重要信息就是智能手机的IMEI号,也就是移动设备标识号。
更可怕的是,专家通过对大量APP测试后发现,APP获取的重要信息不仅给他们用,甚至有部分APP会把重要信息传给服务器端。
据了解,在个别APP内嵌入的服务器端应用软件开发工具包就超过了50个,这些有着消息推送等机能的服务器端工具包的盗窃行为更是隐蔽,监管起来更难。
这就是为甚么很多人会在他们账号密码都只有他们知晓的情况下,微博关注条目上却突然多了些不知名的营销号,微信、QQ被陌生人加好友并拉进群,智能手机接收各种乱七八糟的短信的原因。
2
黑色产业链
没人靠你的隐私年赚一千万
个人重要信息之所以频繁遭受盗取,除了APP个性化推送的需要,还离不开一条规模大、链条长、利益大的黑色产业链。
这个产业链在业界有两个专业名词,叫网络黑色产业链,简称黑产。
据不完全统计,早在2017年,中国黑产(网络黑色产业链)的从业人员就已经达到了百万级以上,每年造成的损失达千亿元级规模。
黑产,团队分工明确、衔接密切。
道牟取高额利润。产业链结构完整,各种重要信息明码标价。
1.上游供货端
除了前面提到的开发山寨版APP,引诱不明真相的用户上钩,进而盗取并贩卖用户地址、通讯录、身份证照片等数据,重要信息作者还有哪些?
① 非法“打劫”
30亿条用户个人重要信息,它是如何盗取到手的?
第一步,瑞智华胜通过竞标,以合作的方式为运营商提供更多营销服务,初期目标达到后,获得远程登陆权限。
接着,偷偷在运营商系统上做手脚,装上能采集用户cookie重要信息(意指储存在用户本地终端上的数据,比如账号和密码)的木马和应用程序,达到清洗、采集用户cookie还有访问记录等目的。
有了用户cookie,无需再次输入账号密码,就能登录用户的账号,随意获取家庭重要信息、购物开房记录等。
更让人瞠目结舌的是,在掌握了用户cookie后,如果将数据存放于境外服务器,用户账号全然透明,就没有任何隐私可言了,这时,他们就能进一步为所欲为,操控任何事。
据了解,2017年内,上市刚满一年的瑞智华胜,通过操纵账户进行微博、抖音、公众号等平台的加粉、刷量,年盈利超过了一千万元。
② 网络爬虫
据《新京报》此前报导,一些机构以“大数据营销”为名,依靠销售非法爬虫工具获利,通过人们常用的一些电商平台爬取用户数据,或者通过网页等方式获取用户智能手机等个人重要信息,再通过数据贩卖和流量牵引牟利。
③ 内鬼
能够接触到个人数据重要信息的工作人员也是泄露数据的“主力军”,他们利用职务的便利,高价出售客户隐私重要信息。
2.中游加工端
这些灰色数
3.下游变现端
“要的话5毛一张打包带走,总共两万套,不议价。”
几天前,“一起公开、明码标价兜售人脸数据”的新闻冲上微博热搜榜,引来很多网友一阵调侃:“好难过,我这张帅气的脸原来只值5毛”。
据新华社报导,在淘宝、闲鱼等交易平台上,部分卖家以“人脸全国各地区各行业可做,信誉第一”“出售人脸四件套,懂的来”等暗语揽“客”。
除了售卖人脸数据外,一些胆大的交易平台还出售“照片活化”工具,有了这套工具,能将静态的人脸照片修改为动态的“眨眨眼、张张嘴、点点头”等操作人脸验证视频。
一套(照片活化)工具加教程售价35元,买家付款后,卖家就会将应用软件和教学链接发给你,“包你学会”。
除了这种惯用的倒卖变现外,苏宁金融研究院发布的报告指出,个人数据变现的获利模式还有工作室合作与雇佣两种。
有关组织在QQ群、论坛、暗网等各种渠道出售个人重要信息,同时,不同雇员之间又存在重要信息倒卖关系。
更复杂的变现手段是使用网络技术获取用户私有财产。只要掌握姓名、身份证号、银行卡号、预留智能手机号等敏感重要信息,寻找银行网上支付、服务器端快捷支付等支付漏洞,就能盗取银行卡重要信息进行盗刷或转账。
比如,2019年末央视网报导称,有QQ群提供更多技术手段帮自己破解各类APP人脸认证的付费服务,来破解并倒卖对方的实名社交账号。相比于推销与骚扰,这无疑对用户利益造成了实质性损害。
3
没有买,就没用卖
谁在买你的隐私,到底用来干甚么?
人脸,是两个人最直观最独一无二的生物特征,人脸上有大量的细节,来帮助我们辨认彼此,眼睛、鼻梁、耳朵……甚至面部表情,是开心、难过还是生气……
在数字化时代,包括人脸重要信息在内的所有重要信息都会变成数据,通过数据,机器认识了人类。
因此,“喂”给算法,是这些个人重要信息的第一站。
在正当使用的情况下,且个人重要信息拥有者同意并知情,风险并不大。但这些个人数据一旦落在居心不良的人的手上,情况会变得极其复杂。
这个难题分为两种情况:
一种是,如果只是单纯的买了一张脸的数据,而没有获得你的身份证、银行卡号、智能手机号等其它一系列敏感重要信息,这时,风险也不大。
另一种,则是既买了人脸重要信息,又获得了你的个人重要信息包括身份证、银行卡号、智能手机号等其它重要信息,此时,就危险了。
当前网络黑市中大多属于这一类,售卖人脸重要信息并非单纯的“人脸照片”,而是将公民个人关键重要信息打包售卖。
也有一些不法分子会利用非法手段将你的照片进行
而后,在网上大量购买私人社交账号登陆各大网络服务平台,注册会员或进行实名认证。
例如,7月15日,福克斯新闻网报导,包括比尔.盖茨、特拉斯CEO马斯克及美国前副总统拜登、苹果子公司官方推特等多位名人及企业均遭黑客攻击,没人在推特上发布了下面这些推文。
图源:微博
更让人惊掉下巴的是,通过“照片活化”应用软件生成的人脸数据,还能帮助自己解封微信和支付宝冻结账号。
这也意味着,你的智能手机丢失后,即使冻结了各大账号,你的钱依然可能在短时间内被转走。
综上,毫无疑问,一旦你的脸、指纹、虹膜等个人生物重要信息,落在了不法分子手上,他们再将这些生物数据和身份证号、银行卡号、密码等进行匹配,就等于你向不法分子敞开了家门、保险柜门和银行卡……
更严重的是,你的个人重要信息一旦泄露,就是终身泄露。
“个人生物重要信息最为独特的特性就是它的不可再生性,智能手机号泄露了,能再换一个,而人脸、指纹天生只有两个。”全国政协委员上海众人网络安全技术有限子公司创始人谈剑锋曾在一次采访中透露,一旦泄露,作为生物主体的你我他,只能眼睁睁看着它各种‘奇幻漂流’而无能为力。
4
没用秘密的世界
隐私何处安放?
李彦宏曾说:“我们中国人都愿意用隐私换取便利。”
这句话曾经引起了极大的争议,因为他在这里把个人重要信息等同于隐私,用户愿意出让的是他们的重要信息,而非他们的隐私。
我们愿意出让他们的重要信息,进而享受到重要信息化时代带来的便利性、智能性,而非出让他们的隐私,让它正式成为重要信息化时代的一件货品。
因此,隐私的保护战,需要集所有个体、整个行业、整个社会共同力量去战斗。
1.个人层面:提高重要信息保护意识
两个月前,有媒体曝光,河南鹤壁有两个村再次出现了全村人排队卖“脸”现象,他们大部分是中老年人,以女性居多,一些还是头发花白的奶奶们手里抱着孙子孙女,像赶集一样,几十块钱,就把他们的“脸”卖了。
禁不住几十元的诱惑,被忽悠着就把“脸”弄丢了,这种行为真是让人又无奈又好笑。
除了不要主动出售他们个人重要信息外,专家提示,目前市面上APP层出不穷,你在使用APP开启相关权限时,要谨慎勾选涉及个人重要信息的选项,包括智能手机通讯录、地理位置等。
另外,涉及麦克风、摄像头机能,在非必要情况下也不要轻易许可。
在使用APP的过程中,还需多留意是否存在重要信息泄露、后台自动启动等难题,一旦发现相关违法现象,及时采取措施,加强权限,并向有关部门反馈。
一旦发现隐私侵权难题,还能起诉这些单位。
同时,在使用面部识别支付时,为了避免隐私暴露,专家建议,能添加手势并张合嘴巴,提高刷脸支付“密码”的复杂度。在开启人脸验证时,尽可能多重验证方式,减轻人脸验证风险。
2. 企业层面:加强改善现状的决心
这一点,已经有企业正在发力做了。
据创业者邦了解,在智能手机系统苹果和安卓两大阵营中,苹果最新的系统ios14,安卓端小米最新的miui12都强化了隐私保护机能。
在ios14里,苹果把它的价值观做成了可视化的机能,在相册中,你能指定APP可访问哪些照片,在地图APP中,你能选择模糊定位。
此外,苹果还要求每一款上架App Store的应用软件,必须携带隐私协议,指明APP会使用和存储用户的哪些重要信息,如果有APP正在访问你的麦克风或者摄像头权限,你还会看到屏幕上有明显的提示。
复制/粘贴也会随时告诉你哪两个APP正在访问你的剪贴板,有了这些机能,ios14俨然成为了一块照妖镜,甚至还曝出了一批难题APP。
在小米的MIUI12中,提供更多了两个空白通行证(隐匿面具),支持返回空的虚拟ID。
这有甚么作用?
这意味着虚拟ID生成了两个新的你,当有一些强制读取你智能手机IMEI码的APP,你能采用虚拟ID接入。
另一机能称为照明弹。简而言之,它能显示每个APP的后台调用记录,面对自动启动的APP(实际上,每天都有不少APP在偷偷自动启动),系统会帮你拒绝这个行为。
在MIUI12的隐私保护机能中,还有一项操作,“仅本次运行中允许获取权限”意味着系统支持将定位、拍照、录音等权限设置为本次允许,当应用再次启动时,需要再次获取权限……
苹果端的ios14系统和安卓端的小米MIUI12系统的这些机能,确实给用户带来了体验上的安全感,但也有用户苦恼,“操作起来实在繁琐”,可能因为BUG,同两个APP照片权限时常都会问候你,每次复制粘贴,智能手机头顶都会没完没了地弹窗……
同时,苹果和小米这一系列保护隐私机能的再次出现,可能会导致苹果与小米应用商店中基于广告的完全免费APP数量“大幅减少”,对此,苹果表示,如果更多的应用都需要付费,苹果将从中受益,能弥补广告收入的损失。
3. 法律层面:更规范、更标准
技术发展倒逼法律完善。
目前,我国已发布了《网络安全法》《电信条例》《电信和互联网用户个人重要信息保护规定》等法律法规,在多个方面进行具体规范。
360 子公司家庭安全大脑产品线某工程师曾建议:“相关部门应该建立两个审核机构以及一套认证标准,人脸识别机器、模块和数据库安全性只有经过机构和标准认证之后才能被市场应用,进而淘汰一部分存在风险的人脸识别子公司。
就像合格的指纹识别子公司在市场上只有几十家,有难题容易查。如果人脸识别能做到可溯源的话,难题就会简单很多。”
同时,立法机关应该进一步完善有关法律法规,探索个人重要信息分类保护体系,收集个人重要数据或敏感数据需备案。
进一步规范网络爬虫等自动化手段收集网站数据,对于对于妨碍网站运营或非法侵占数据的行为,制定明确的处罚措施。
5
写在最后
隐私是两个人与生俱来的本能需求,必要的需求,它是跨国界、跨文化、跨地域、跨宗教的。
很多用户是没办法、被迫、被忽悠、被糊弄中,不知不觉被这类恶意的APP或其它平台把隐私弄丢了。
因此,要找回隐私,在这类点上,无论是企业、个人还是整个行业,都要用最高的标准要求他们,避免重要信息泄露,加强数据安全阀。
END
创业者所见所闻商务合作、企业专访请联系:15201297736汲取商业能量掌握未来能力