如今,我们的手机上安装着各种各样的应用,这些应用确实方便了我们的工作和生活,但同时也获取了我们很多个人信息。有些应用可以“精准”地推送你正在想的内容,推送你想要的内容。应用是如何实现这种“恰如其分”的呢?是否存在个人信息安全风险呢?
//
App获取个人信息,用户感觉被“窃听”
//
△中央电视台财经《第一时间》栏目视频
来自北京的袁庆攀最近遇到了一个疑问:一件他之前和朋友线下聊过的事情,第二天就出现在了手机应用的推送通知中。
手机用户袁庆攀:朋友提到了约会,第二天我就看到了一个关于约会的推荐视频,我很惊讶,因为我除了约会之外,没有任何搜索记录,怎么会推荐给我呢?
过于精准的推送内容,让袁清磐感觉“脊背发凉”,而有这种感觉的,不止袁清磐一人。
手机用户李先生:使用一些应用需要授权通讯录等信息,我不知道为什么要授权这些信息。
手机用户季女士:我输入手机号,发验证码,第二天或者过几天就会接到陌生人打来的推销电话。
就在上周,工信部公布了2020年第二批侵犯用户权益的APP,被点名的15款APP中,有13款涉及过度收集个人信息,包括“私自收集个人信息”“未经授权过度收集个人信息”、“未经授权与第三方共享”等,个人信息安全依然受到威胁。
中国信息通信研究院电信终端实验室信息安全部主任宁华:App在后台运行时,未经用户同意,按一定时间间隔定期调用系统API接口,频繁获取用户位置、应用列表等个人信息。新现象、新问题成为今年App个人信息保护治理的新重点。
一些不法网络推广团伙还将个人信息作为攻击目标。今年以来,公安部在15个省开展了严厉打击贷款类网络诈骗犯罪的行动,发现不法团伙针对贷款意向明确的人员,根据其上网信息、手机APP浏览搜索记录等,分析其贷款意向,从而精准推送大量虚假贷款广告,实施诈骗。
360集团安全研究员余奎:他得到你的通讯录、短信,他可能知道你最近有贷款需求,这个时候他可能会把这些数据转卖,比如卖给一些专门进行诈骗的人。
//
多种应用程序非法收集个人信息的隐蔽方法
//
△中央电视台财经《第一时间》栏目视频
面对越来越精准的推送通知,用户担心被“窃听”,个人信息过度获取的可能性确实存在。为此,国家相关部门专门成立App治理工作组,严厉打击强制授权、过度请求等问题。对维权、个人信息过度采集等现象进行专业监管。如何实现精准推送?如何界定过度获取?
App专项治理工作组专家何彦哲:第一个数据包出现了,我们再等一会,第二个数据包也出来了,我点开数据包窃听软件,发现其中一个是设备的IMEI号(移动设备识别码)标识符。
在App专项治理工作组,个人信息保护方面的测试正在紧锣密鼓地进行。检测工具显示,这款社交App刚在手机上安装,一次都没有打开过,却已经开始悄悄传输数据。
App专项治理工作组专家何彦哲:App在隐私政策中没有提到这一点,并且完全隐瞒了其自启动的方式,将信息传输到自己的服务器上,有证据表明,这明显是违法的,属于非法收集的行为。
专家告诉记者,App最先获取的信息往往是手机的IMEI号,也就是移动设备识别码,这个唯一识别码相当于手机的身份证,无论是在用户同意的情况下“拿走”,还是App未经允许获取移动设备识别码,都为个性化推送通知奠定了基础。更可怕的是,专项治理工作组在对大量App进行测试后发现,App获取的信息不仅能被其自身使用,甚至还能被App自身的移动设备识别码所利用,部分App甚至会将信息传输给第三方。
App专项治理工作组专家何彦哲:这是一个第三方的SDK(软件开发工具包),通过它的自启动机制,把用户手机上的IMEI号码等信息传输出去。
专家表示,部分APP内嵌第三方软件开发工具包多达50个,这些第三方工具包具有消息推送等功能窃听软件,比较隐蔽,也是监管的难点。
360集团首席安全官杜跃进:法律上一般会有一些规定,比如通讯录数据、短信数据、点对点通讯数据等一定不能收集,但还有一些其他领域就没有那么明确了。
浙江大学网络空间安全研究中心研究员 周亚津:有一个所谓的最小特权原则,就是说如果你不这么做,或者你拿走了你需要的某个权限,或者你拿走了你当前正在后台做的某个操作,或者你拿走了某个操作,不影响你的App正常功能的话,你其实就不应该获得这个权限。
//
专家:接入技术不断进步,信息保护不断加强
//
△中央电视台财经《第一时间》栏目视频
近年来,相关部门不断曝光应用程序违法获取个人信息的情况,应用程序的隐私政策不断细化和规范。
专家分析,由于采集成本高、法律风险大,短期内人们还不必过于担心自己的语音、上传的图片等隐私信息被收集。
App专项治理工作组专家何彦哲表示:完全没必要用窃听这种复杂先进的手段来针对一个人的购物需求,精准推送通知的原因有很多,可能是你的朋友搜索了某个产品,它可能会知道你们是好友,可能会把这样的信息推送给所有这些人,但你却感觉好像是自己的错,好像自己被“窃听”了一样。
不过专家也提醒,越来越多的新技术正在降低用户获取信息的成本和风险。今年浙江大学最新研究成果显示,手机应用甚至可以利用手机内置的加速度计采集手机扬声器发出的声音。此类技术可以绕过隐私协议,在用户不知情的情况下合法获取语音信息。
360集团首席安全官杜跃进:普通用户能做的事情很少,最多也就是看一下应用内的隐私声明,不过稍微大一点的应用,就会知道条例或者文字不会有问题。
浙江大学网络空间安全研究中心研究员 周亚锦:有些厂商可以想出一些机制,绕过隐私协议继续访问用户的隐私行为,但是又不弹窗,不被发现,其实这种技术攻防一直都存在。
与此同时,个人信息保护不断加强,国家网信办去年12月发布《应用程序违法违规收集使用个人信息认定方法》,强化用户知情权和决定权。
App专项治理工作组专家何彦哲:能关闭App也是一种管控,广告太精准,恐怕最后的效果可能不太好,需要制定一些规则,比如用户画像,没必要做一些直接的画像,比如这个群体可能喜欢踢足球、看书,这是一种爱好和习惯。这种宽泛的爱好和习惯,可以用来代替个体的精准需求。