“我一般新裝一個APP會把權限全禁了,有時候真搞不懂一個APP要那麽多權限幹嘛。”小王(化名)對記者抱怨道。為了方便日後升級更新,很多APP即使功能簡單,開發者也會申請多個權限提前占坑。
有關中國電信旗下一App索要70多項權限並修改通訊錄的報道再次引發了網民對APP過度索權、隱私泄露話題的關註。隨後,中國電信回應稱,“在用戶同意的前提下,遵循合法、正當、必要的原則,該App采用統一申請用戶授權的方式,以便根據用戶需要及時提供所需服務。”當用戶同意授權後,該App才能使用這些權限。”
“不管是手機APP還是PC端,一些企業肆無忌憚地收集大量的用戶信息,但是用這些信息就能有效實現商業價值嗎?也未必,有可能他(企業)也不知道真的能做什麽,或者一直沒用上。”火絨安全聯合創始人馬剛在接受第一財經記者采訪時表示。
在數據是石油的時代背景下,不少企業認為數據越多越好,過度獲取用戶數據。一方面,是企業對用戶數據的極度渴望,另一方面,企業並未妥善保管這些數據,甚至進行地下交易,導致網絡黑灰產業已相當龐大。
提防過度獲取權限
從年初今日頭條麥克風權限“偷聽”隱私事件,支付寶2017年度賬單默認勾選《芝麻信用協議》,到微信是否會存儲、讀取聊天記錄的探討,再到最近李彥宏“願用隱私換便捷”言論引發爭議,一次次事件不斷刺激著用戶敏感的神經,中國用戶真的不在乎隱私嗎?
根據新京報和清研智庫最近的調查顯示,近七成受訪者“用隱私換便捷”是“被自願”,七成以上的人認為網絡平臺在尊重和保護用戶隱私方面做得不好。北京市消費者協會3月7日發布的手機APP個人信息安全調查報告也顯示,有近九成的人認為手機APP存在過度采集個人信息,近八成的人認為手機APP上的個人信息不安全。
以安卓市場手機APP索權為例,小王對記者表示, 大部分APP在下載安裝時,都會申請開通多項權限, 包括使用電話權限、使用位置權限、使用通訊錄權限等。如果不同意,則無法使用APP。
手機APP過度獲取用戶權限與APP開發者的立場和企業商業邏輯有關。一位業內人士對記者表示,如果操作系統不做強制性設定,開發者基本不會管。很多互聯網企業不會給自己設限,因為很多剛開發的APP只提供相對簡單的功能,發展到一定階段會提供更多功能和服務,需要一些新權限。“很多開發者不知道未來這個軟件需要哪些權限,在開發第一個版本時就會申請很多權限,方便以後升級更新。但是很多功能,它即使申請權限也不一定用,這種占坑的情況非常普遍。”
今年年初,騰訊社會研究中心與DCCI互聯網數據中心聯合發布了《2017年度網絡隱私安全及網絡欺詐行為分析報告》(下稱《報告》)。報告顯示,通過手機應用獲取用戶隱私現象十分普遍。2017年下半年,有98.5%的安卓應用在獲取用戶隱私權限。其中,有9%的手機應用存在越界獲取用戶隱私權限的現象。
如何界定過度獲取信息?馬剛對記者表示,“夠用就好,不能收集更多”。對於有些軟件而言,強制授權有一定合理性,如地圖類、出行類軟件需要獲取用戶的位置信息。但是更多的情況是,APP在初次安裝打開時只通知用戶一些敏感權限,實際會獲取更多的權限。記者查看手機權限管理時發現,絕大部分已下載的APP都會默認讀取已安裝應用列表。據悉,目前不少大數據公司都通過獲取已安裝應用列表權限,掌握用戶同時安裝的其他軟件,借此分析競品的市場份額,並對用戶標簽化,為商業企業提供精準營銷服務。
一位網絡安全專家告訴記者,在判斷手機APP是否過度申請權限時,用戶需要結合自己的需求,“假如一個非常簡單的工具類APP,如手電筒、小遊戲要獲取較多權限,就可以把較為敏感的權限,如聯系人、定位等關了。”在應對強制授權問題時,該專家表示,目前這需要手機系統層面解決。對於用戶而言,在安裝時如果被迫選擇授權,彌補措施是,安裝後再用權限管理軟件關閉相應的權限,“你可以保留你需要的、無風險的,然後把有風險的權限關掉。”
打響個人信息保衛戰
獲取權限不是作惡的第一步,判斷一個軟件是否真的惡意不能僅看權限,普通用戶也很難分辨,可以通過依靠安全軟件對所有的APP進行行為分析,“分析的過程當中並不會只看權限,會看這個程序調用的代碼是不是真的有問題,涉及到竊取用戶的數據。”網絡安全專家說。
山寨APP是一大公害。不少山寨APP有和正版APP一樣的圖標、文字,難辨真假。這些APP多含偷跑流量、隱私泄露等惡意代碼。過度索權、山寨APP還只是APP亂象的一部分。而除了手機APP獲取,上述《報告》顯示,移動網絡隱私的泄露還有免費WiFi竊取、舊手機設備泄露,以及黑客盜取企業大數據等渠道。
造成用戶信息泄露原因眾多,APP只是其中的一個入口,還涉及到信息數據的管理,網站本身的原因,或者黑客攻擊等,“其實手機APP過度索權問題沒有想的那麽嚴重,如果大家都把眼光只看到APP行為本身,或者是只盯著APP的權限上這個是不夠的。”
2017年6月1日起,《中華人民共和國網絡安全法》正式開始實施。上述專家表示,國家公務人員或者某些掌握數據的人員泄露用戶數據,已經可以通過法律制裁,但個人隱私保護的相關法律不夠完善,“相關的草案(《中華人民共和國個人信息保護法(草案)》)已經公布了,但是目前也沒有定下來”,而要靠行業規範難度也不小,“各個廠商、各個APP開發者對APP申請權限都有自己的理由。你很難讓各家公司或相應的開發者達成共識。現有的這種這種情況下,可能還是需要依靠操作系統本身的改進來解決這個問題。”
網民在無意中泄露自己信息的情況也極其普遍。以現金貸為例,一些現金貸企業對信息的獲取沒有指定,也完全沒有底限。參與現金貸的人毫無隱私可言,“這些人去申請貸款時,通過APP提交非常詳細的個人信息,還有包括同學、朋友、親戚等信息。這些現金貸公司三天兩頭倒閉,他們的數據在地下買賣,互通,不停地流轉。”
由此衍生的黑灰色產業已相當龐大。此前,阿里巴巴集團安全部副總裁杜躍進曾對媒體表示,中國現在網絡黑灰產業一年的產值已達千億,而網絡安全的全部產值不到300億,其中黑灰產業造成的損失至少乘以20倍。他稱,很多黑灰產業從業者利用大數據的能力甚至超過一些知名互聯網企業,能夠精準獲取數據,進行精確詐騙。
信息的售賣對象包括詐騙、盜竊等行業,以及金融、精準營銷等。被兜售最多的信息便是用戶的聯系方式、賬號密碼。馬剛告訴記者,通過賬號密碼等個人信息真正盜取用戶的資金或財產的情況比較少,“這些明顯違法的很少,一般大家都不敢幹,更多的主要就是用來推銷、做廣告。”由於目前法律法規的不完善,很多所謂向用戶推送商業信息、廣告的精準營銷處於灰色地帶。“雖然知道這好像不對,或者涉嫌侵權,但是沒有明確規定,處罰也不是很明確,處於灰色地帶,就會放開了幹。”
為防止個人隱私信息泄露,《報告》建議,用戶可從以下五點著手:一是下載軟件選擇正規渠道,如安卓市場等;二是謹慎填寫個人隱私信息,防止信息被無謂的采集;三是管理手機軟件中的隱私權限,了解軟件權限行為,關閉不必要的授權;四是防範公共Wi-Fi,轉賬與支付時改用數據流量;五是通過“恢複出廠設置-格式化-反複拷入大文件並刪除”三步驟,徹底清理舊手機信息。