每天只讓你選擇一件物品出門，你會選擇什麼呢？

相信大家心裡已經有了答案，那就是手機。

你的工作生活是不是已經被手機填滿？早上起來檢視天氣，手機APP自動提醒你注意防晒；開車經過某一個城市，手機APP馬上推薦相關城市的衣食住行。作為資深手機控，我們充分享受各類APP帶來的便利。

另外，你的手機是否頻繁收到一堆優惠活動的垃圾簡訊；除了快遞小哥給你打電話，更多時候對方直接報上你的大名，當你以為是老朋友或者同事時，卻發現對方讓你帶上小孩來參加課程體驗，或者某某房源又有優惠。對於個人隱私洩露，你是否深惡痛絕呢？

對於越來越懂你的手機，你懂它嗎？

本文起底惡意APP如何竊取你的隱私，以及教你如何防範。

隱私洩露屢禁不止，精準詐騙頻發

2020年5月15日，工信部發布關於侵害使用者權益行為的APP通報（2020年第一批）。依據《網路安全法》《電信條例》《電信和網際網路使用者個人資訊保護規定》等法律法規，工業和資訊化部近期組織第三方檢測機構對手機應用軟體進行檢查，對發現存在問題的企業進行督促整改。

到底有哪些APP？它們涉及到的違法違規行為是什麼？

據通報，噹噹、店長直聘、e代駕、大街等16款APP在列，這些應用軟體均涉及私自收集個人資訊問題，另外還包括私自共享給第三方、超範圍收集個人資訊、不給許可權不讓用、強制使用者使用定向推送、過度索取許可權、賬號登出難等7大類問題。

工信部要求，存在問題的APP應在5月25日前完成整改落實工作，逾期不整改的，工業和資訊化部將依法依規組織開展相關處置工作。

2018年8月，中消協釋出《APP個人資訊洩露情況調查報告》稱，APP已經成為個人資訊洩露的重災區，遇到過個人資訊洩露情況的人數佔比為85.2%，沒有遇到過個人資訊洩露情況的人數佔比為14.8%。

當消費者個人資訊洩露後，約86.5%的受訪者曾收到推銷電話或簡訊的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件，排名位居前三位。

調查結果還顯示，如果手機APP導致個人資訊洩露，最擔心的問題是被利用從事詐騙竊取活動，佔70.5%；其次是販賣或交換給第三方約佔52.4%；被推銷廣告騷擾佔比約為37.7%；名譽受損約佔6.6%。

值得關注的是，最終有大約三分之一的受訪者選擇“自認倒黴”，一方面可能是基於無力應對的選擇，另一方面也可能是應對無效後的接受現狀。

騙子獲取使用者資訊以後，最擔心的是對個人進行“量身定做”的精準詐騙，這種騙術很難被當事者識破，因為騙子往往能夠準確地說出當事者一些較為私密的資訊，足以“以假亂真”，讓使用者放鬆警惕。

2019年9月20日，黑龍江雙鴨山一位劉女士報警稱，她前幾日在第三方平臺上購買了一張飛機票，就在飛機起飛的前一天，她突然收到簡訊稱行程取消。她電話聯絡退款，結果被騙15000元。

隱私洩露原因多樣，套路滿滿識別難

使用者個人隱私洩露原因多樣，本節主要從黑灰產人員、APP開發者、APP本身和使用者自身四方面進行分析。

1、黑灰產人員通過對系統反編譯、攻擊篡改、植入後門等方式對資料進行竊取

2013年10月，國內安全漏洞監測平臺“烏雲網”披露，自稱是中國最大的酒店數字客房服務商的浙江某某公司，因為安全漏洞問題，使與其有合作關係的大批酒店的開房記錄在網上洩露。

數天後，一個名為“2000w開房資料”的檔案出現在網上，其中包含2000萬條在酒店開房的個人資訊，容量達1.7G。開房資料中，開房時間介於2010年下半年至2013年上半年，包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間14個欄位。

黑客利用平臺漏洞，收集網站和APP應用程式洩露的個人資訊，再嘗試登入其它網站系統進行“撞庫”，不斷非法獲取使用者資訊。通過手機號、身份證號將使用者碎片資訊不斷關聯清洗，再把這些資訊“打包”賣給不法分子，以此牟利。

目前，“人肉搜尋”已經成為一門灰色生意，價格從數百元到數千元不等，而這些資訊均來自於黑灰產人士用於儲備個人資訊的“社工庫”。

需要指出的是，社工庫及“人肉搜尋”行為嚴重觸犯了《網路安全法》及其他有關法律、行政法規關於個人資訊保護的規定。

2、APP開發者技術實力參差不齊，資料管理不善容易造成資料洩露

一般中小公司APP開發者技術能力薄弱，在資料安全技術力量上欠缺，資料保護意識不強。這給了黑客可趁之機。

以金融行業APP為例，這些和“錢”有關的APP到底安全性幾何？2019年9月11日，中國信通院的報告團隊從232個安卓應用市場中收錄了 133327 款金融行業APP。經檢測發現，共有20.48%的金融行業APP被嵌入了第三方SDK，嵌入的SDK 數量共計高達104005個。在嵌入SDK的金融行業APP中，有45%的APP嵌入了5個及以上的SDK。而第三方SDK存在隱蔽收集使用者資訊、自身安全漏洞易被不法分子利用等安全風險。

而這批APP中僅17.08%進行了安全加固，超過 80%的金融行業APP在應用市場“裸奔”，未進行任何的安全加固。基於 Java 語言編寫的安卓應用程式如不進行加固，則其打包的 APK 檔案很容易被反編譯工具進行逆向分析，進而暴露風險。

3、APP本身過度索取手機許可權帶來隱私洩露風險

對APP來說，獲取手機許可權一部分是因為功能需求（如導航軟體獲取位置資訊）；而另一方面也是為了儘可能多地收集使用者資料，更加詳盡地了解使用者特性，進而有針對性的進行推廣，提高使用者體驗等。

APP最熱衷收集的就是獲取使用者位置和通訊錄資訊。根據《APP個人資訊洩露情況調查報告》，讀取位置資訊許可權和訪問聯絡人許可權是安裝和使用手機APP時遇到情況最多的，分別佔86.8%和62.3%。受訪者被要求讀取通話記錄許可權(47.5%)、讀取簡訊記錄許可權(39.3%)、開啟攝像頭許可權(39.3%)、話筒錄音許可權(24.6%)的比例也相對較高。

APP在安裝的時候，有一個服務協議與隱私政策，長達幾頁甚至十幾頁且文字密集。一些軟體不授權就無法使用，絕大部分使用者沒有興趣閱讀並直接預設選擇同意。一些看似“正規”的APP在條款內埋下陷阱，披著“合法”的外衣，以“本人已經閱讀且同意履行”為由蒐集使用者個人資訊。被發現維權時就以“已經在條款中說明要求，使用者已經同意”的理由為自己開脫。

4、使用者自身安全意識缺乏，經不住“誘惑”容易造成隱私洩露

網際網路時代，大量使用者不知道怎麼正確管理賬號密碼，普遍存在安全意識缺乏，容易中毒或被釣魚軟體欺騙。

大量高仿低質APP充斥在市場。以在IOS Appstore搜尋“查社保”為例，出來幾十個類似APP，普通使用者很難區分哪一個APP是官方出品，排名靠前的APP有可能是通過刷評論、刷下載量等手段衝上去的。使用者在註冊使用過程中，其資料被這些APP保留下來。2019年315，“社保掌上通”因過度收集使用者資訊資料被點名，使用者填寫各種資料註冊這款APP後，這款APP會通過隱藏的使用者條款竊取使用者社保資訊，現在這款APP已經被全網下架。

還有一些APP通過優惠簡訊連結、掃碼打折等誘惑資訊，吸引使用者直接下載APP。這時使用者要擦亮雙眼，不要圖方便或只看評價等，在不清楚APP來源的情況下，不要下載和輸入個人資訊。在使用APP某些功能提示需要讀取通訊錄時，一定要慎重考慮這個要求是否合理，增加自身的辨別能力和隱私保護意識。

熱衷獲取個人隱私，商業利益是誘因

商業的本質是逐利的，正確合理地使用資料本無可厚非。正如百度CEO李彥巨集所說，中中國人多數情況下願意用隱私換便利，但使用者仍然不希望被過度檢視自己的個人資料，例如聊天記錄、通話記錄等。

拋開“販賣和交換個人資訊”、“詐騙竊取活動”等不法行為外，個人資訊是如何被拿來做推銷廣告的呢？讓你收廣告收的明白，本節為你簡單介紹一下套路。

首先，我們在註冊使用購物或者社交APP時，你的姓名、手機號、性別和地址等資訊會被記錄下來。

其次，你在使用APP過程中，你的行為資料如瀏覽時間、地理位置、瀏覽路徑、消費記錄等上千個行為都會儲存下來。

接下來，系統建立模型，從這些基本資料和行為資料中構建標籤，試圖從無數個標籤中構建出你的使用者畫像。

舉個例子，你看到一款“電視”產品的介紹，系統計算你對“電視”的購買慾程度。通過一個簡單的標籤加權演算法：

購買慾權重=行為權重×停留時間×衰減因子

當你對“電視”產品評論、點贊、轉發和收藏等操作後，你的行為權重會增加。停留時間是加分項，如果瀏覽“電視”的時間長，表示你對其有興趣。短暫的停留無法代表你長期的興趣，單次瀏覽行為的權重會隨著時間流逝不斷衰減。

最後，系統根據這些標籤，通過你的瀏覽行為給你推薦商品；也可以將其他跟你相似使用者的瀏覽記錄和購買過的商品推薦給你。

在網際網路誕生初期，《紐約客》曾有一句聞名全球的俚語：“在網際網路上，沒有人知道你是一條狗。”而現在，狗比你更了解你自己。

防範隱私洩露，提升個人安全意識

在網際網路時代該如何守護我們的個人隱私？需要APP開發者、應用發行市場和APP使用者共同努力。

1、APP開發者履行責任，從源頭上保護個人隱私安全

一個APP上線，要經歷設計、開發和上線環節。APP開發者需自覺遵守《APP違法違規收集使用個人資訊行為認定方法》等相關法律；遵循個人資料採集的基本原則，包括目的明確、最少夠用、公開告知、個人同意等。對資訊洩密建立所謂的“問責制”，使所有人能更重視資料問題的解決之道。

2、應用分發平臺完善稽核機制，幫助使用者守好“最後一道門”

中國境內應用商店數量已超過200家，大部分應用商店都推出了一定措施來保障使用者的安全體驗, 嚴格稽核把關，提升使用者體驗尤為重要。一些應用分發平臺已經採用“惡意行為檢測”+“隱私洩露檢查”+“安全漏洞掃描”+“人工實名複檢”四重檢測體系，以多樣安全稽核措施保障上架應用的安全合規。

3、APP使用者加強資訊保安保護意識，不讓非法應用“有機可趁”

APP使用者具體可通過下述四種方法加強個人資訊保安保護：

（1）對APP分等級管理，設定不同的賬號密碼。涉及資金類的APP和一般APP，設定兩套不同的賬戶和密碼可防止連環盜號。

（2）不要隨意登入免費WiFi，隨意刷二維碼。下載APP時最好從官方網站上下載，或通過合格經營的第三方應用市場下載，並適當查核釋出者的資質。山寨APP，或存在竊取個人資訊、惡意扣費等問題的APP，提前了解甄別，以防落入山寨陷阱。

（3）關閉APP的敏感許可權。檢視應用索取的許可權，讀取通訊錄、讀取簡訊通話記錄等敏感權限盡量關閉。

對於蘋果手機，點選設定-隱私，檢視哪些程式還在使用你的“定位服務”、“通訊錄”等服務。關閉設定-通用-後臺應用重新整理功能，有些APP通過後臺應用重新整理功能收集使用者資訊。

對於安卓手機，慎開USB除錯模式，因為手機一旦開啟USB除錯模式，PC端的軟體可以快速地對手機進行root操作。一旦有了root許可權，手機的鎖屏密碼、繫結賬號等資訊很容易被其它軟體隨意呼叫，其安全風險不言而喻。

（4）個人資訊不要隨意填寫，不主動洩露。平時接收快遞，使用X先生/女士，優先使用小區自提櫃，不對應具體門牌號；使用隱私小號進行聯絡等。

“出來混,遲早要還的”。個人資訊保護已經成為兩會熱點話題。5月25日，全中國人大常委會工作報告在下一步主要工作安排中指出，將制定個人資訊保護法、資料安全法。央行將嚴打無證經營違規獲取個人隱私資料。

個人隱私資料的違規收集和野蠻使用時代將會終結。