首頁>科技>

2020年7月16日,在延遲4個月的315晚會上,央視曝光了50 餘款 App 的 SDK 外掛竊取使用者資訊的亂象。近期,工信部公佈了2020年第二批侵害使用者權益行為的App名單,在被點名的15個App中,有13個都涉及個人資訊的過度收集,包括“私自收集個人資訊”“超範圍收集個人資訊”“私自共享給第三方”等等,使用者個人資訊保安已然受到嚴重威脅,並引起了眾怒。

即使是作為國外使用人數最多的社交媒體巨頭Facebook,其使用者資料洩露也時有發生。早在2018年3月就發生了所謂的“劍橋分析”事件,當時有媒體報道Facebook上有超5000萬用戶資訊在使用者不知情的情況下,被政治資料公司“劍橋分析”獲取並利用;而到2020年5月9日,Facebook又因通過照片標記非法收集生物識別資料,被使用者集體訴訟指控,隨後提出和解表示將賠償5.5億美金。

扎克伯格(Facebook創始人兼執行長)在 9 家報紙上為“信任的違背”登報致歉

雖然此前扎克伯格已就此事件登報道歉,而且隨後也與多家大資料企業終止合作,以更好保護使用者的隱私。實際上,隨著不同應用程式開發水平的參差不齊和缺少法規制度的保駕護航,APP偷窺隱私現象越來越普遍。

G探長#認為,APP偷窺使用者隱私現象頻發,脫離不了這4個原因:

1)直奔資料獲利

2020年515期間,工信部通報了一批侵犯使用者權益的APP,並督促其整改。其中噹噹、E代駕、店長直聘等APP均上榜,這些應用軟體除了私自收集使用者資訊,還存在與第三方共享、超過範圍收集使用者資訊、不授權不讓用、強制定向推送等問題。所有的這些問題,其實均指向:利用資料獲利。如獲得使用者的資訊後轉售給第三方違法團伙,從而對使用者個人進行“量身定做”的精準詐騙;又如黑產把資訊賣給商家以精準推送廣告。

2)應用平臺存漏洞,黑客通過反編譯、篡改攻擊等手段竊取資料

平臺有漏洞,對於收集資訊的行為缺乏稽核,發現超出約定的行為也沒有及時切斷接入,很容易被黑客通過撞庫、刷庫等非法收集應用程式的使用者資訊,把手機號、身份證號將使用者其他的碎片資訊關聯,打包賣給不法分子謀取利益。2013年中國安全漏洞檢測平臺“烏雲網”曾披露,因為安全漏洞原因,“2000萬條客戶開房資料”出現在網上,這些開房資料洩漏了客戶的個人資訊。

3)APP軟體開發商的安全管理不夠嚴謹,開發商有機可乘

一些公司技術能力薄弱,將開發外包給第三方,但並沒有對開發商提出許可權控制需求和稽核測試,任由開發商無視使用者許可鑽空子,通過某些外掛偷偷盜走資料。

4)使用者方面,缺乏安全意識

使用者作為APP的使用方,假如因為洩露資料有風險放棄使用該應用軟體,因噎廢食顯然不可取。#G探長#認為,問題的解決並不是一蹴而就的,其中最關鍵的其實還是廠商、開發商和應用分發平臺共同作出努力,找出APP灰色地帶中那些隱祕的角落。使用者使用APP,企業記錄資料是無法避免的,保護隱私的關鍵是企業有沒有對隱私資料進行脫敏處理後再運用。

對於廠商而言:

一是要明確使用者資訊的採集與使用,建立規範的資訊儲存及保護制度,遵循個人資訊保護國家標準資料採集的基本原則,包括“目的明確”、“最少夠用”、“公開告知”、“個人同意”等這八項原則。

二是通過系統層面的更新和技術升級,儘可能嚴格規範開發者行為,別讓開發者冠冕堂皇地拿走隱私資料。

三是考慮協同應用分發平臺完善稽核機制,為使用者守好“最後一道門”,最大限度地保障應用程式的安全性。

而從應用市場的角度看,保障應用安全合規是相當重要的。以華為應用市場為例,其採用“惡意行為檢測”+“隱私洩露檢查”+“安全漏洞掃描”+“人工實名複檢”四重檢測體系,更從應用相容性、穩定性、功耗、安全、效能表現及許可權獲取等方面綜合評判市場內的各類APP,較大程度防止了隱私洩密。

#G探長#說在最後:從經常收到的各種垃圾簡訊來看,隱私洩露現象十分嚴重,過往的電話詐騙現在已經升級為精準詐騙甚至變成社會公害了。315曝光後,APP綜合治理將逐漸常態化,APP服務商、開發者應儘早加強反黑客程式設計技術,並提高檢測、稽核力度以保證合規性要求,對於“精準詐騙”,就得采取“精準打擊”。

最新評論
  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 劉強東豪砸27億買下五星級酒店,投資失敗改為辦公室,現在如何了