你的手机背叛了你的心

Phoenix Phoenix 2018.2.12 00:00 View(129) Comment (0)

有那么一句话,今天你是冷漠的围观者,明天可能就会成为受害者。

在移动互联网高度发达的今天,尤为如此。

在去年CNNIC公布的《中国互联网络发展状况统计报告》中,截至2017年6月,我国手机网民规模达7.24亿,手机网民占比达96.3%,几乎人手一部手机!

而智能手机为我们带来便利的同时,也让我们的隐私获得了更多被泄露的途径。

各种越来越发达的多媒体技术,让智能手机逐渐成为每个人的信息存储中心。无论是文档、照片还是视频,笔者相信,每个人的手机里,或多或少都存有不愿意为外人所知的隐私信息。

360在2017年9月发布的《2017中国手机安全生态报告》对1000款各类型下载量靠前的应用就隐私越界获取情况做了检测。

除100个游戏类应用之外,其他类型应用分布如下:

数据显示非游戏类App越界获取各种不同隐私权限的比例如下:

大多数人,对于隐私/授权的关系不甚了然,往往在安装应用后第一次使用时,稀里糊涂地同意了该应用所要求的授权。

然而正是这些授权,可能让你的手机背叛了你。

看到这里,免不了会有人指责笔者小题大做、危言耸听——这些获取我们数据的应用都是大公司开发的,难道我们还信不过他们?

 

获取隐私数据,其实很简单

先不提大公司是否值得信赖。退一步讲,从技术层面上,获取这些信息所需要的技术并不复杂,多数都是很简单的几行代码就搞定了。

下面以最近风靡的微信小程序为例,讲讲如何通过一个气象信息小程序,获取用户的位置信息。

用户点击允许获取地理位置后,小程序的后台代码就开始运行了,大体过程如下:

  • 根据微信小程序提供的接口wx.getLocation(),获取用户的经纬度信息

  • 得到经纬度信息,调用第三方接口,拿到该用户的具体城市位置数据

上面那行代码只是拿到了用户的经纬度信息,返回了一个具体的数值,比如,一般返回格式如下:

拿到这个result后,可以作为第三方API的输入返回具体位置的描述信息,大致过程如下:

申请API:

以URL形式传入参数调用API(问号后面就是对应的经纬度):

接下来,返回地理位置信息:

这样,根据拿到的具体位置信息,小程序不但可以调用国家气象局发布的天气信息,来对你所处的位置进行精确的天气预报,甚至可以根据你当前所处位置的周围环境来进行精准营销,建议你去哪家菜馆吃饭、去哪家美发厅做头发。

 

大数据时代,人人皆在裸泳

如果这些手机应用、小程序仅仅获取你的一个或寥寥几个隐私信息,或许不足为患,但实际上,每个手机能够获取用户的隐私信息之多,远远超出我们的想象。

以微信为例,一般微信在安装时会申请如下授权请求:

华为Mate10上的微信权限设置界面

存储

在存储选项上打钩,相当于默认了手机访问你的相册及存储器的权限。

“访问相册”:获得此项授权的APP,可以自由读取你相册里的所有图片,甭管是自拍、与别人的合拍还是各种其他拍,没有一张照片可以逃过该APP开发者的眼,倘若你不想出现艳照门这类事件,这个权限的授予必须慎至又慎。

“访问存储器”:获得此项授权的APP,可以查看你的手机存储器,你在手机里存放的所有图片、视频、各类文件等所有内容都会被其读取。

倘若你放了涉及商业机密的文件、涉及身家性命的购房合同等重要文件,那一旦授予这个权限你就相当于把自己的性命交到了别人的手里。

您的位置

获得此项授权的APP,可以时刻读取你的位置信息,你的家庭住址、工作地点、在哪里停留、频繁出入哪里都会被该APP记录,耸人听闻的“抓小三软件”就是靠这个工作的。

电话

获得此项授权的APP,可以自动拨打电话。当然了,微信这样的大公司应该不会用这个权限偷偷打电话,但有的无良应用会在后台偷偷的用你的手机进行拨号。

相机

这个选项申请的是“打开摄像头”权限:获得此项授权的APP可以在你一无所知的前提下随时随地打开摄像头,对你拍照或录像。

这不是现代谍战电影里才会出现的桥段,而是实实在在可以做到的!一旦某些恶意应用开启了你的摄像头,你就等着被24小时视频监控吧。

短信

包括“读取短信记录”和“发送短信”两项授权。

“读取短信记录”:获得此项授权的APP,可以读取你的所有短信。手机短信中包含的所有的家庭信息、工作信息、社交信息、银行卡信息、支付信息,尤其是各类发送验证码的短信都会被其完全获取。

轻度影响就是你会收到各种订购收费服务的短信,深度影响不可估量。

“发送短信”:获得此项授权的APP,可以通过发短信为你自由订购各种付费服务,也可以发送短信给你通信录里的所有人。

身体传感器

这个功能,是微信用来获取并计算你的移动步数的,即大家熟悉的——微信运动。

通讯录

包括“访问联系人”和“读取通话记录”。

“访问联系人”:获得此项授权的APP,可以读取甚至修改联系人数据(电话号码、邮箱地址等)。

“读取通话记录”:获得此项授权的APP,可以查看并修改通话记录,查看用户是否在打电话和正在拨打的电话号码,并能更改拨打的电话号码,甚至挂断电话。

麦克风

获得此项授权的APP,可以在不告知你的前提下开启该功能,对你进行监听。

以上这些,还是只部分应用的授权,实际上,通常应用可能获取到的权限,多达46个!详细如下:

在这些功能中,还有一些权限设置可能涉及你的数据隐私:

读取应用列表

获得此项授权的APP可以获知你手机安装的各类应用。这些应用可以反映出你工作、生活以及兴趣等方面的信息。

打开蓝牙开关

获得此项授权的APP可以自行打开你的蓝牙,蓝牙的安全漏洞由来已久,很早就有专门攻击蓝牙的病毒、间谍软件等,一旦开启,后果不堪想象。

Root

这项权限主要涉及系统管理软件,由于自身权限的优势,它可以轻易窃取你的各类敏感信息。

……

当然,单个应用不会要求获取所有权限,但问题是,不同的应用,是可以联合分享数据的。

例如,某个应用为了获取你的位置信息,可以到百度地图拿数据,为了获取你的饮食喜好,可以到美团外卖拿数据,为了获取你的娱乐偏好,可以到爱奇艺甚至微博拿数据……

当这些大数据被逐一获取并汇总后,你的详细用户画像,便被交织而成了。

至此,由于你手机上五花八门的各类应用、小程序,穿戴在你身上的遮挡物被逐一解下。

你的姓名、肖像、账户、工作地点、家庭住址、社会关系网络、所有关注的事情、进行的和筹备的业务往来信息、沟通方式、喜好等等重要信息,都被各类应用背后云端服务器所掌握。

你,成为一个在裸泳的人。

 

隐私泄露背后的隐患

如果应用背后商家获取用户的隐私信息,仅仅是为了精准营销和提供更好的服务,并且能对所获取的隐私数据进行严格保护,那么情况并不算太糟,毕竟,为了获取便利,难免需要奉献一部分隐私。

但是如果这些隐私信息被用于非法途径,这个问题就非常严重了。

例如,数据贩卖。

相信大家每天接到的推销电话、短信已经习以为常了,这些推销电话背后的销售人员,能够清楚地叫出你的名字。请问,这些陌生人是如何知道你的电话号码及姓名信息的?

答案是,被卖掉的,而且不止一次。

对于这个答案,大多数人并不会感到意外。电话号码信息的贩卖,已经算是一个十多年的“成熟产业”了。

这还只能算是前智能手机时代的遗产。

智能手机的普及和大数据时代的来临,让我们有了更多可以被“贩卖”的隐私。

早在2011年,美国的《时代周刊》就以一篇重磅封面文章《Your Data For Sale》警示世人:你的一切都在被他人获取,销售。

而大数据交易在国内也早已司空见惯。

2015年,贵州大数据交易所挂牌运营,近年来各地数据交易中心和大数据产业园遍出。虽然在数据交易中交易所都会进行脱敏处理,但这完全不能阻止隐私信息的泄露。

最可怕的是,除了商业交易,个人隐私也会被用于犯罪,现在越来越多的电话、网络诈骗也说明了这个问题。

在某些地下网络,会明码标价的对个人隐私数据进行交易,比如失窃的身份证、失窃的银行卡、个人位置信息、家庭状况信息等等。

20世纪最著名的用户隐私泄漏事件发生在美国马萨诸塞州。当时为了推动公共医学研究,该州保险委员会发布了政府雇员的医疗数据。在数据发布之前,删除了所有的敏感信息,如姓名、身份证号和家庭住址等。然而却被来自麻省理工大学的Sweeney轻松破解,根据其他相关数据维度诸如性别、出生日期和邮编等,他能确定医疗数据具体指向某人。

美国最知名的线影片租赁提供商Netflix曾在2006年举办了一个推荐系统算法竞赛,发布了一些经过脱敏的用户影评数据供参赛者测试,仅仅保留了每个用户对电影的评分和评分的时间戳。然而,来自德州大学奥斯汀分校的两位研究人员借助公开的互联网电影数据库(IMDB)的用户影评数据,确定了其中绝大部分用户的身份,为此Netflix遭到了4位用户的起诉。

在国内,个人隐私安全在法律层面愈发引起重视。

2017年3月通过的《民法总则》规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”

同年6月,《网络安全法》出台,从法律角度来规范数据隐私安全,保护个人信息,并且从行动上开始逐步明确哪些是“不可以”的业务。

目前在这方面,法律能做到的,并不太多;而企业方面,基本也要靠自觉。

除此之外,我们只有尽可能,自己保护自己

笔者建议:

  • 卸载那些来源不明的应用;

  • 仔细检查手机里各项常用应用的授权,如非必要的权限,尽量不要开启;

  • 不要选择让手机浏览器等应用“记住账号和密码”,这个选项会让浏览器获取你的诸如邮箱、微博等账号和密码,并保持默认登录;

  • 一些手机系统账号密码,如华为端、小米端,和手游账号是绑定的,一旦别人获取你的手游密码,便可以通过登录你的系统账号,对你的云相册、手机钱包等等,一览无余,因此,切勿将你的使用这类端口的游戏账号轻易赠送或者出售;

  • 有些品牌的手机相册,默认会被同步到云端,你需要检查设置,如果有,取消默认项;

  • 查看自己在云盘、手机上都存放了哪些涉及个人隐私的东西,如果可以的话,建议换个地方;

  • 设置手机屏保密码,如果手机不慎丢失或被他人获取,起码有第一道防线;

  • 谨慎使用公共区域的wifi,不是所有公共区域的wifi,在安全设置级别上都能让人放心。

智能手机方便了我们的生活,但使用不当也随时会变成一枚炸弹。保护自己的隐私,一切,还只是刚刚开始。

本文链接 https://www.mangoxo.com/blog/KJ5RYnD9 版权所有,转载请保留地址链接,感谢!

Latest Comments :