相信很多人都有這樣的經歷,剛和XXX說自己想要買什麼什麼東西,然後開啟某些App推送的都是這類產品資訊,彷彿自己生活被“竊聽”。多數“精準推送”源於被APP採集的使用者瀏覽、通話、定位等個人資訊。而未搜尋便出現相關資訊,則可能是因為該使用者的好友搜尋了該物品,APP推測該使用者也屬於產品目標人群。
遲到了4個月的315晚會終於來了,今年315晚會有一個曝光點受到了大家的廣泛關注——多個App通過SDK竊取使用者隱私的行業隱患,更有甚者,這些App中大部分都是金融App。
01、App如何通過SDK竊取隱私
Software Development Kit即“軟體開發工具包”,簡稱SDK,它是輔助開發某一類應用軟體的相關文件、範例和工具的集合,經常交由第三方處理。
上海市消費者協會權益保護委員會檢測了50多款App,發現一些手機軟體中的SDK外掛存在沒有經過使用者許可、使用者不知情的情況,偷偷竊取使用者手機中的隱私資訊,包括簡訊、通話記錄、聯絡人等。
而值得注意的是,50多款App中包含大量的金融App,如:國美易卡、美期分期、口袋錢包、九秒貸、趣花唄等等。
02、防不勝防的攻擊手段
我們在新下載一款App的時候,需要通過很多項授權,如個人的電話簿、相簿、身份證號、所在地等等,還有一些APP要開啟錄音許可權、訊息推送、相機許可權等。
然而在上海市消費者協會權益保護委員會的調查當中,第三方SDK除了收集使用者手機號碼、裝置資訊之外,還會收集使用者IMEI、IMSI、運營商資訊、電話號碼、簡訊記錄、通訊錄、應用安裝列表和感測器資訊,並在獲取資訊後將資料悄悄傳輸到指定的伺服器進行儲存。
難以想象這樣的資訊一旦洩露會造成多麼嚴重的財務損失,進而通過各大銀行、網站、移動支付App,實現資訊竊取、資金盜刷和網路詐騙等犯罪。
03、一切為了利益
相信大多數人都曾有此經歷:APP收集個人資訊前徵求意見只是走過場,不同意就不能用,最後不得不“被同意”其收集與服務明顯無關的資訊才能使用該APP。
也正因為大量收集個人資訊,手機APP已成為資訊洩露、倒賣鏈條的重要源頭,電信詐騙往往就依託於這些從非法渠道獲取的個人資訊。
網際網路消費時代,我們必須盡最大努力保護個人隱私,並採取一些措施來保護我們免受網路攻擊。
04、已得到有關部門重視
事實上,我們App洩露使用者隱私的這個問題早已得到有關部門的重視。
2019年1月1日開始實施的《電子商務法》,強化了個人資訊保護的相關規定。1月25日,中央網信辦、工信部、公安部、市場監管總局四部門又聯合發聲,要求APP運營者收集使用個人資訊,應遵循合法、正當、必要的原則。
同年3月28日,中國消費者協會官方公號發文表示,已經開通App舉報通道。舉報人可以選擇匿名或實名舉報,而舉報問題包括“App無隱私政策”、“超範圍收集與業務功能無關個人資訊”、“強制或頻繁索要業務功能非必需許可權”等10個選項。
首先我們要知道什麼是敏感資訊,一般資訊包括:姓名、愛好、年齡、性別;敏感資訊包括:身份證號、手機號、家庭住址、工作經歷、銀行卡號、網銀登陸賬號密碼、教育程度等等。而所有的這些資料,都可以為身份盜竊提供足夠的資訊,甚至可以將您的身份用於貸款。一旦被騙子得到了我們的個人詳細資訊,人們便很容易會上當受騙。
第一,手機APP的許可權設定。相信在使用新下載的APP時,都會發現APP有著供你選擇的許可權功能,很多人覺得麻煩,就一直點允許,認為反正也沒什麼。但實際上有些APP就是通過這一方式獲取你的隱私。在APP請求獲取你的定位資訊時,千萬不要點始終允許,甚至麥克風也不要一直開啟,頂多就是使用APP時可以使用一下。
第二,下載APP時的選擇。除了APP提供給你的選擇外,我們自己下載APP時也要有所選擇,比如有些APP會帶有“應用內安裝其他應用”的功能,這就要小心,不要開啟。並且有些APP,原本就是危險的,更是不要去下載。
第三,舊手機的資料處理。因為舊手機沒有即使清楚資料洩露自己資訊的新聞很多,希望大家都不要做那個新聞裡出現的人,要及時把自己舊手機裡的資訊處理乾淨,不要覺得一遍恢復出廠設定就可以了,多弄幾遍才安全,不然也有可能會被人恢復回來的。