你是否遇見(jiàn)過(guò)“不授權(quán)不讓用”的 App 權(quán)限？

你是否懷疑過(guò)個(gè)人的線下對(duì)話遭到竊聽(tīng)？

你是否察覺(jué)過(guò)自己的個(gè)人信息遭到泄露？

這些現(xiàn)象，都屬于 App 的越界行為，且這些違規(guī)行為，正隨著網(wǎng)絡(luò)的發(fā)展不斷衍生。

2020 年剛過(guò)半程，工信部就已公布了兩批“關(guān)于侵害用戶權(quán)益行為的 App”名單。此外，央視財(cái)經(jīng)也對(duì)此亂象進(jìn)行了報(bào)道。

不難看出，違規(guī)越界的 App，正成為信息化毒瘤。

越界 App 層出不窮

7 月 12 日，央視財(cái)經(jīng)曝光了一些越界 App 獲取個(gè)人信息的現(xiàn)象。報(bào)道指出，部分用戶在線下閑聊時(shí)出現(xiàn)的詞語(yǔ)，之后會(huì)出現(xiàn)在手機(jī)應(yīng)用的推送中，由此懷疑手機(jī) App 存在竊聽(tīng)的行徑。

另外，報(bào)道還指出了一些不合理的信息授權(quán)行為、以及利用手機(jī)驗(yàn)證碼方式獲取個(gè)人信息等問(wèn)題。

在央視曝光之后，網(wǎng)友們紛紛表示同感——“早就有這種感受了”、“有隱私太難了“、”這個(gè)問(wèn)題是很?chē)?yán)重了“、“遇到這種情況不是一次兩次了，沒(méi)有秘密的世界”······· 

事實(shí)上，在央視財(cái)經(jīng)曝光之前，工信部就曾公布過(guò)“侵害用戶權(quán)益行為的 App 名單“。

雷鋒網(wǎng)注：圖為 2020 年第一批存在問(wèn)題的應(yīng)用軟件名單

其中，在 5 月 15 日，工信部就公布了 2020 年第一批存在問(wèn)題的應(yīng)用軟件名單，包括當(dāng)當(dāng)、租租車(chē)、WiFi 管家等 App。 

雷鋒網(wǎng)注：圖為 2020 年第二批侵害用戶權(quán)益行為的 App 名單

過(guò)了不到兩個(gè)月，7 月 3 日，工信部就公布了 2020 年第二批侵害用戶權(quán)益行為的 App 名單，主要包括智慧樹(shù)、納米盒、悟飯游戲廳等 15 款 App。 

雷鋒網(wǎng)了解到，雖名列第一批名單之中，但租租車(chē)目前已完成在規(guī)定日期內(nèi)完成整改，并經(jīng)工信部信息通信管理局確認(rèn)核實(shí)。

另外，從工信部公布的 App 名單中可以看出，其涉及的問(wèn)題主要包括以下幾個(gè)方面：

• 私自收取個(gè)人信息；

• 超范圍收取個(gè)人信息；

• 私自共享給第三方；

• 不給權(quán)限不讓用；

• 頻繁申請(qǐng)權(quán)限；

• 過(guò)度索取權(quán)限；

• 強(qiáng)制用戶使用定向推送功能；

• 賬號(hào)注銷(xiāo)難。

那么，這些問(wèn)題是如何在手機(jī)中發(fā)生？并且在各部門(mén)的關(guān)注之下，為什么這些 App 問(wèn)題仍屢禁不止？

亂象叢生的背后成因 

根據(jù)浙江大學(xué)的最新研究成果，手機(jī) App 可以利用手機(jī)內(nèi)置的加速度傳感器，采集手機(jī)揚(yáng)聲器所發(fā)出的聲音振動(dòng)頻率，在用戶不知情的情況下繞開(kāi)隱私協(xié)議，合法地獲取語(yǔ)音信息。 

雷鋒網(wǎng)注：圖片截自經(jīng)濟(jì)信息聯(lián)播

另外，App 專項(xiàng)治理工作組專家何延哲通過(guò)具體試驗(yàn)指出，盡管沒(méi)有開(kāi)啟應(yīng)用界面，但違規(guī)的手機(jī) App 仍會(huì)在后臺(tái)傳輸數(shù)據(jù)。

從被傳輸?shù)臄?shù)據(jù)包中卡已看出，App 會(huì)率先獲取手機(jī)的 IMEI 號(hào)（移動(dòng)設(shè)備標(biāo)識(shí)號(hào)，相當(dāng)于“手機(jī)身份證”）。專家指出，移動(dòng)設(shè)備標(biāo)識(shí)號(hào)一旦被竊取，就為個(gè)性化推送奠定了基礎(chǔ)。

不僅如此，部分 App 不僅自己使用違規(guī)獲取的信息，還會(huì)將這些信息傳輸給第三方。而包含第三方工具包的 App 行為會(huì)更加隱蔽，從而加大了監(jiān)管的困難性。

沒(méi)有買(mǎi)賣(mài)，就沒(méi)有傷害。

個(gè)人信息之所以頻繁遭到竊取，除了 App 個(gè)性化推送的需要，還離不開(kāi)一條灰色產(chǎn)業(yè)鏈。 

據(jù)此前報(bào)道曝光，個(gè)人信息買(mǎi)賣(mài)已形成一條規(guī)模大、鏈條長(zhǎng)、利益大的產(chǎn)業(yè)鏈，即非法獲取個(gè)人信息—信息再加工—信息販賣(mài)，這一產(chǎn)業(yè)鏈結(jié)構(gòu)完整，各種信息明碼標(biāo)價(jià)。

那么，除了 App 內(nèi)的竊取，還存在哪些非法竊取用戶數(shù)據(jù)的行徑呢？

據(jù)《新京報(bào)》此前報(bào)道，利用網(wǎng)絡(luò)爬蟲(chóng)等方式也是信息竊取的主要行徑之一。部分機(jī)構(gòu)通過(guò)淘寶、京東等電商平臺(tái)商家爬取用戶數(shù)據(jù)，或是通過(guò)網(wǎng)頁(yè)等方式獲取用戶手機(jī)號(hào)等個(gè)人信息，再通過(guò)數(shù)據(jù)販賣(mài)和流量牽引牟利。 

再者，能夠接觸到個(gè)人數(shù)據(jù)信息的工作人員也是泄漏數(shù)據(jù)的“主力軍”，利用職務(wù)的便利，高價(jià)出售客戶隱私信息。

個(gè)人信息頻頻受到侵犯，數(shù)據(jù)泄漏亂象，亟需規(guī)范。

個(gè)人信息泄漏，該如何防范？ 

首先，從用戶層面來(lái)看，要提高個(gè)人信息保護(hù)意識(shí)。

在開(kāi)啟相關(guān)權(quán)限時(shí)，要謹(jǐn)慎勾選涉及個(gè)人信息的選項(xiàng)，包括手機(jī)通訊錄、地理位置等。另外，涉及麥克風(fēng)、攝像頭等功能，在非必要情況下也勿輕易授權(quán)。

在使用 App 的過(guò)程中，用戶還需多留意是否存在信息泄漏、后臺(tái)自啟動(dòng)等問(wèn)題。若發(fā)現(xiàn)相關(guān)違規(guī)現(xiàn)象，應(yīng)即時(shí)采取措施，加強(qiáng)權(quán)限，并向有關(guān)部分反映。

在手機(jī)廠商層面，浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院院長(zhǎng)任奎曾在采訪中給出了建議，任奎表示：

建議各大手機(jī)廠商提高加速度傳感器的權(quán)限級(jí)別，盡量避免各類(lèi)應(yīng)用在非必要的情況下采集加速計(jì)數(shù)據(jù)。

與此同時(shí)，各大廠商還應(yīng)對(duì)加速計(jì)的采樣頻率進(jìn)行限制，或通過(guò)系統(tǒng)內(nèi)置濾波器提前過(guò)濾掉加速度傳感器信號(hào)中包含最多語(yǔ)音信息的高頻部分。

另外，為了避免將來(lái)出現(xiàn)類(lèi)似的漏洞，各大廠商重新評(píng)估各個(gè)傳感器的安全性和敏感性，修改 Android 操作系統(tǒng)對(duì)手機(jī) App 調(diào)用各種傳感器數(shù)據(jù)的使用權(quán)限，杜絕未來(lái)的側(cè)信道攻擊路徑。

在法律法規(guī)層面上，目前我國(guó)已發(fā)布了《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)，在多個(gè)方面有進(jìn)行具體規(guī)范。

但隨著個(gè)人信息收到侵犯的方式逐漸多樣化，法律法規(guī)也仍待進(jìn)一步完善。例如，對(duì)于不授權(quán)不可用的問(wèn)題，互聯(lián)網(wǎng)行業(yè)專家包冉對(duì)“央視財(cái)經(jīng)”表示：

不授權(quán)就不讓用，這樣肯定是不合理的。但是，是不是合法現(xiàn)在在界定上還處于模糊地帶，因?yàn)槲覀兿嚓P(guān)的法律法規(guī)，沒(méi)有對(duì)此進(jìn)行特別精準(zhǔn)的描述和界定。

信息化時(shí)代帶來(lái)的應(yīng)是便利性、智能性，私人數(shù)據(jù)不應(yīng)成為信息化時(shí)代的商品。并且，個(gè)人信息的保護(hù)不僅是單人作戰(zhàn)，而是整個(gè)行業(yè)的事情，需要多方力量的參與。

另外，對(duì)于那些處于灰色產(chǎn)業(yè)鏈中的人，當(dāng)你在竊取、販賣(mài)他人數(shù)據(jù)時(shí)，殊不知你的數(shù)據(jù)也同樣被竊取、被販賣(mài)，在這場(chǎng)數(shù)據(jù)交易游戲中，一旦開(kāi)始，就沒(méi)人例外。

為了不讓個(gè)人信息“裸奔”，最好的方式便是，按下這場(chǎng)非法交易游戲的終止鍵。

參考資料：

【1】http://www.gov.cn/xinwen/2020-05/17/content_5512332.htm

【2】https://krcom.cn/2258727970/episodes/2358773:4525639269548073

【3】https://baijiahao.baidu.com/s?id=1660947140447279951&wfr=spider&for=pc

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。