一直以來,移動網際網路的使用者隱私問題都處在風口浪尖的位置上。相信很多朋友都有過這樣的經歷:和朋友聊天討論某件東西,開啟其他App馬上就能看到推送的相關廣告和資訊。
就連並不是以電商為主營業務的某乎,也會出現同樣的場景:
“和同事聊了會比特幣和區塊鏈以及黃金,然後我晚上在手機上開啟知乎,就看到了問題:黃金為什麼天然是貨幣?”
近年來,這樣的情況可以說是層出不窮,每隔一段時間都會掀起一次App“監聽”風波。
有人說,“現在的大資料時代這其實很正常,證明科技在進步,社會在進步,也不用擔心資訊被洩露。”
但在大資料時代,合法合規地使用使用者資料才是正確的,超出這個界限後,濫用使用者資料無疑就是資訊洩露,就是不合理。
在普遍情況下,我們在下載/安裝/使用某一個手機App時,通常很少去仔細研究它會呼叫的許可權。
這些許可權一般包括“定位、獲取手機資訊、後臺彈出介面、讀寫手機記憶體、系統設定、訪問日曆、相機、錄音”等多項涉及到使用者敏感資訊的內容,有些甚至與App的功能毫不相干。
而且大部分時候,這些許可權都已經被預設勾選了允許。也就是說,我們稍不注意,這些許可權就被自動獲取了。
根據騰訊社會研究中心與DCCI網際網路資料中心2018聯合釋出的分析報告顯示,手機App越界獲取個人資訊已經成為網路詐騙的主要源頭。
當然,App許可權只是“一聊到某件事馬上收到廣告”的部分原因,下面則是最近被曝光的另一部分不為人知的原因。
就在前不久,我們剛說到,根據「美國國家標準技術研究院國家漏洞資料庫」公佈的官方資料,在過去的一年裡,由谷歌開發的Android系統有414個已公開漏洞,是2019年漏洞最多的系統。
根據該報告,Android系統在2016年和2017年也分別有525個和843個漏洞被發現,因此它也是這兩個年份漏洞最多的系統。
Android開源的特性使它一舉超越其他OS,成為市場佔有率最高的手機作業系統。
同時,作為一款開源的系統,Android被免費開放給了第三方廠商使用,這也就意味著Google失去了協調軟體和硬體的能力。
這意味著它需要對更多的晶片和硬體更加友好,而來自手機上游廠商的硬體缺陷也可能傳遞到使用Android系統的裝置上。
不僅僅是硬體方面,軟體方面,Android系統也可能更容易遭到惡意軟體攻擊和資料洩露等問題。
在隱私與安全保護問題上,儘管谷歌不斷地在改進,但仍然無法完全杜絕這些風險的出現。
比如,原本為Android設計的許多介面,已經被廣告商和軟體開發商濫用。
這些原本出於“好意”的藉口,卻變成了惡意開發商損害使用者利益的工具。
例如,谷歌為Android系統提供輔助操作功能目的是方便殘障使用者使用的,但大量App直接濫用該功能製造彈出廣告,更有甚者利用這項功能來安裝和傳播惡意軟體和勒索軟體。
目前,谷歌已經制止軟體開發商濫用安卓系統的輔助操作功能,遺憾的是還有許多介面遭到濫用但谷歌並沒有處理。
近日,由來自瑞士、義大利和荷蘭的四名學者組成的研究團隊分析了Google Play商店的熱門下載榜單中釋出的14342個Android應用程式,以及在網上釋出了原始碼的另一套7886個Android應用程式。
3月25日,該研究團隊公佈了令人驚訝的事實:你在手機上安裝的App列表竟然都會被洩露。
研究發現,當今許多熱門的Android應用程式的開發人員都會使用IAM這個介面,來獲取使用者裝置上安裝的其他App的列表。
而IAM正是Android系統內建的介面,谷歌最初在安卓裡提供這個介面的目的是,讓應用可以讀取使用者已安裝的應用程式,然後檢測不同軟體的相容性問題等。
毫無疑問,谷歌原本的設計初衷是很好的,這個功能可以幫助開發者和使用者快速發現軟體相容問題並進行除錯。
但現在很少有App會存在相容性問題,現在利用該介面的大部分都是開發商和廣告商——根據研究小組的說法,他們發現執行IAM呼叫的第三方庫中有超過三分之一用於廣告目的。
即,軟體開發商和廣告商可以通過分析使用者安裝的App列表來推斷其興趣和個人特徵(性別,口語,宗教信仰,年齡段),進而精準投放廣告。
這樣一來,似乎就可以解釋,為啥在一個App上搜了某樣東西,其他App上也可以獲取到幾乎相同的廣告推送了......
也就是說,這又是一個谷歌“好心辦事”卻無意中被辣雞開發商利用的故事。
與此同時,該研究報告還指出,使用者隱私的危險不僅僅來自於廣告推送,IAM甚至會被用於跟蹤和指紋識別使用者,這已經構成了明顯的隱私風險。
而對於這項風險,使用者還無法主動避免,這是因為IAM呼叫是“靜默方法”,這意味著App在執行之前無需徵求使用者的許可。
但有意思的是,根據這份報告顯示,不僅是使用者不知道這件事,就連許多開發人員都不知道他們在其App中使用了的這個介面。
目前,該研究小組正在敦促Google限制對IAM API呼叫的使用。
APP獲取許可權越多,使用者資訊被洩露的風險也就越大,而APP獲取的資訊有可能會成為不法分子取得暴利的“商品”。在法律上,中國雖然有相關的管理規定,但實踐起來仍然比較困難。在此我們建議大家,增強隱私保護意識,儘量選擇官方正規應用商店下載,仔細閱讀App獲取許可權。