[PConline杂谈]在今年的央视315晚会上,APP过度采集信息的问题再度成为了关注的焦点。在节目的案例当中,用户使用APP的时候,不仅在APP中填写的姓名、身份证号码、社保密码等私密内容可能会被截获,通过大数据,甚至连收入、职业、婚姻生育状况等隐私信息也一览无遗。在大数据面前,用户就犹如赤身裸体一般,身体乃至灵魂的每一个角落,都被偷窥精光。
事实上,APP泄露隐私问题已经不是第一次被抬上桌面了——甚至不是第一次成为315晚会上的主角。早在2013年的315晚会当中,APP泄漏隐私问题就已经暴露在了舞台的聚光灯上。而无论是在此前还是此后,APP乱采集隐私信息、泄露数据的情况,都无数次被媒体和用户提及和曝光。
然而即便这是一个老生常谈的问题,但大家对此似乎依然束手无策。APP偷信息泄隐私这一顽疾,至今仍攀附在广大信息社会的公民身上,且有愈演愈烈之势。APP泄露隐私为何如此难以根治?我们今天再来全面地谈谈这一话题,探讨该现象背后的根源和本质,并展望未来的治理思路吧。
安卓:为保护隐私系统真尽力了吗? 人们谈论APP泄露隐私,说的一般都是安卓APP的情况。安卓系统一直以开放著称,这特性也很大程度上反映在了对权限、用户敏感信息如何管理的态度之上。
在早年,安卓对于APP所申请的权限基本处于只问不管的态度,你可以看到APP到底会获取你怎样的权限,但你却此无能为力——要么别装这APP,装了看到这APP后,它查探你隐私你也就只能憋着。安卓6.0之前是安卓APP窥探用户隐私最猖獗的年代,用户隐私就赤裸裸地放在APP们的眼前,压根用不着“偷”这词,各类数据予取予求。
很多安卓APP都会索取大量权限,而很长一段时间内安卓对此毫无作为
到了安卓6.0,或许Google也意识到这样下去不行了,系统已经近乎贼窝。于是,安卓6.0加入了权限管理机制,用户可以手动控制APP能否获取某个权限。然而这是否就能防范APP索取隐私?
所谓道高一尺魔高一丈,尽管安卓6.0可以拒绝APP申请某个权限,却没法杜绝APP对权限的嗅探。而不少APP一旦嗅探到无法获取某个权限,就会要挟用户乖乖地把权限交出来,不然拒绝为你服务。不少APP俨然已经成为了日常用品,此情此景下,用户只能屈身于霸王条款,用隐私换得使用权。
某些安卓App不给权限,就拒绝提供服务,这是否合理?起码在iOS上没这样的状况
正确的权限调用机制应当如此,某功能需用到权限时,才申请权限激活功能,而非开启APP就勒索权限
显然,安卓的权限系统可以做得更好,例如一些第三方ROM和第三方工具,就可以隐藏用户的真实信息,赋予APP一个假权限,从而规避流氓APP的权限要挟。另外,安卓的权限系统也并非对所有权限申请都能防得滴水不漏,例如读取剪贴板这种高危行径,安卓就长久以来置若罔闻。
幸运的是,安卓并没有停下改进的步伐。在安卓9.0当中,权限系统进一步收紧,APP在后台无法访问相机、麦克风等硬件,偷拍偷录成为了历史;而在安卓Q当中,终于新增了类似iOS的“仅使用时允许”这一授权选项,随意读取系统剪贴板等高危行为也成为了历史,APP能读取到的敏感信息大大减少。
Android Q的权限管理达到了一个新高度,不仅可以临时授权,还可以监控权限的调用频率
不过也要注意,这些改进仅限于原生安卓系统。不难发现,我们所使用的安卓机,装载的基本上是厂商自行定制的第三方ROM。而国内的特殊情况,使得国内安卓ROM们很少会通过Google的兼容性认证,这些保护隐私的机制到底得以保留多少,还是个未知数。
不仅如此,国内厂商本身或许也在扮演隐私窃取者的角色。阅读某厂商的用户账号注册条款,甚至可以找到未经用户同意、即可分享相关信息的条款。对比iOS,安卓ROM们在天生就有更大的隐私泄露几率,个人隐私在惨遭第三方APP毒手之前,安卓厂商可能已经捷足先登。
简而言之,早年安卓权限高度开放,是一个对隐私极其不敏感的系统;安卓6.0以后,情况已经有了质的好转,时至今日原生安卓的隐私保护机制已经日趋完善,但和iOS或者一些第三方的隐私保护方案相比,安卓系统仍有不足。与此同时,尽管原生安卓越来越值得信任,但第三方安卓厂商可以高度自由定制系统,用户很难确保这些厂商都是人畜无害的小白兔。
为保护隐私,安卓真的尽力了吗?我们可以看到安卓所做的努力,但无论从技术和管理的角度来看,都仍有继续进步的空间。APP泄露隐私为何难根治?安卓系统本身就有不可推卸的责任。
2APP:为何它们会对隐私为所欲为?
APP:为何它们会对隐私为所欲为? 如果你经常使用国产APP,可以发现这样的一个情况——国内APP和国外APP相比,申请了更多的权限、有更多泄露用户隐私的风险。甚至同一个APP,国际版就远比国内版干净,为何APP到了国内就喜欢对隐私为所欲为?
以最近流行的手游《绝地求生:刺激战场》为例。腾讯在Google Play上架了《绝地求生:刺激战场》的国际版本《PUBG MOBILE》,但和国内版本不同,国际版的《PUBG MOBILE》只申请了17个权限,而国内版的《绝地求生:刺激战场》却申请了33个权限!这是否真的有必要呢?
同样的游戏,国际版(左)所需的权限就是要比国内版的更少
对比两个版本的官方吃鸡,可以发现很多涉及隐私的权限申请,在国际版本都没有出现。例如,国内的《绝地求生:刺激战场》会申请GPS定位,会申请修改系统配置,会申请开机启动,这些权限在国际的《PUBG MOBILE》都是没有申请的。
此种现象是否国产APP独有?并非如此。一些来自国外的APP,国际版本同样要比中国版所申请的权限要更少。例如亚马逊官方商城的App,在Google Play上架的版本申请了22个权限,而在中国发行的版本却足足申请了42个权限之多。
亚马逊国际版(左)和国内版相比,不仅国产App如此,国外的App也是如此,国际版的权限更少
橘生淮南则为橘,生于淮北则为枳,APP之所以到了国内就对隐私伸出魔爪,和其所处的环境有着莫大关系。国内的APP为了实现推送功能,通常会使用第三方推送平台的API,而这些API往往需要APP申请额外的权限才能接入。而这些API之所以会对权限如此渴求,是由于它们和广告平台有着千丝万缕的牵连,不趁此机会薅一把用户信息,怎么说得过去?
国外的APP并不需要第三方API才能实现推送,调用Google服务框架推送消息,才是国际上的主流做法。由于众所周知的原因,国内无法使用Google的相关服务,因此使用第三方API实现推送功能,也就成为了无奈之举。
在国际上,安卓APP可以利用谷歌GCM统一推送消息,体验类似iOS
另外,国际上的APP往往会上架Google Play商店,而Google Play商店会对APP申请的权限进行审核。虽然Google Play的隐私政策虽然宽松,但还是存在的,这对APP们滥用权限也有一定的遏制作用。国内APP分发并不依靠Google Play,APP可以为所欲为。
简而言之,一方面国内的APP需要接入第三方API来实现推送功能,因此就算APP本意不想偷隐私,它也无可避免地会拥有更多泄露个人信息的风险;另一方面国内没有Google Play这样的分发渠道监管,APP们做起事来肆无忌惮。
要改善这一现状,不仅需要从技术上建立起适用于国情的统一推送的平台,还需要加大对APP的监管。幸运的是,国内在这两方面都做了不少努力,目前也已经取得了一些成效。
国内正在着力建设安卓统一推送联盟
例如在统一推送平台的建设方面,目前国内有些企业已经在ROM中内置了统一推送机制(MiPush等),国内统一推送联盟也正在着力打造中,《中国绿色App公约》开始全面推广。而在监管方面,中央网信办、工信部、公安部、市场监管总局今年联合发布了《关于开展App违法违规收集使用个人信息专项治理的公告》,不少APP已被整改。道路是艰苦的,前途是光明的,希望APP在以后能变得越来越规范吧。
3用户:人们是否真的在意隐私泄露?
用户:人们是否真的在意隐私泄露? 去年,互联网大佬的一句“中国人对隐私不敏感”的言论一石激起千层浪。尽管这句话引起了争议,但国人不注重隐私保护在很大程度上也是事实。和国外相比,国内移动互联网的发展速度更为惊人,以至于不少用户第一次接触数码产品,就已经是目前移动互联网终端的究极形态——手机。部分用户缺乏隐私意识,而手机又是的隐私收集器,隐私泄如山洪也就在情理之中了。
其实别说智能手机了,长久以来人们用电脑也不注重隐私保护,软件的流氓行为一箩筐
例如很多中老年朋友,第一次上网就是因为子女们送来了手机,懂得设置锁屏密码就不错了,要他们理解什么是“权限”、“Cookies”、“中间人劫持”……这未必也太过于强人所难。遇到某个APP请求权限的弹窗,不少用户第一想法就是怎么这么麻烦,赶紧跳过,而不是意识到这APP有某方面的风险。此情此景下,隐私保护俨然成为了天方夜谭。
国人对隐私有多不注重?看看怎样的APP受欢迎就一清二楚了。下面这些APP在国内人气极高,但却是对隐私有着严重的威胁,一起来看看吧。
WIFI共享类APP
WiFi共享类APP可谓是蹭网神器,然而它们天生就伴随着泄漏隐私的风险。不少朋友都会用它们来免费上网,但此类App之所以能让你连上某些加密WiFi,靠的必然是庞大的WiFi密码数据库。而这数据库之中,是否会存在用户不知情下泄漏出去的隐私?这是非常值得担忧的。
央视曾报道过这类APP泄露密码的问题
免费WiFi的热度超乎想象,连QQ也内置过WiFi分享功能,root过的话甚至自动分享密码,隐私荡然无存
但偏偏,这类APP或者功能却广受人们喜爱,以至于不少产品都走上了这条邪门歪道。例如,的国产ROM MIUI一度将WiFi共享作为卖点,允许用户将WiFi密码分享到云端,结果引来了口诛笔伐,现在已经将共享方式修改为不易在公众传播的二维码;而手机QQ也一度内置WiFi共享功能,帮助用户连接热点,但在舆论压力下,相关功能已经被打入冷宫。
迫于舆论,QQ随后暂停了这项活动
使用一些WiFi分享App,意味着把无线网络的隐私给对方任人鱼肉,但遗憾的是很多国人都没有意识到这点。WiFi共享类APP现在仍经久不衰,国人的隐私意识有多么淡薄也由此可见一斑。
广告过滤APP
为了去除手机广告,不少朋友都选用了全局过滤广告APP。这类APP不需要root,却不仅可以过滤掉网页广告,甚至连APP的广告推送乃至内置广告都能赶尽杀绝。然而,大家对它们的机理却不甚了解,这类APP会建立本地网关,将用户所有网络连接的流量置之眼皮底下,如此一来就可以通过规则匹配来剔除流量中的广告数据。诚然这招效果拔群,但却蕴藏着泄露隐私的高危风险。
把流量交给广告过滤工具,也意味着把隐私完全交到了别
例如安全厂商火绒就曾经播报过,广为流行的去广告软件AdSafe存在流量劫持的行为。AdSafe以及它的疑似马甲“清网卫士”、“广告过滤大师”会劫持用户的上网流量,将网页进行不正常跳转,你上网的时候就算输入的是正确的网址,却有可能出现被这类工具劫持到另一个站点的情况(点此查看播报)。
在手机上,去广告APP通过建立VPN通道接管全局流量,可监控你通过网络发送的信息
AdSafe在安卓平台也有相应版本,在安卓上它是通过建立VPN通道来接管网关的,也有能力劫持流量。而既然它们能够劫持流量,自然也能够泄露隐私。你发送的个人信息,都会经由它们的视野。可惜的是,人们并没有意识到这类APP的隐私风险,依然用得不亦乐乎。如果一定要使用这类APP,建议选择开源、规则列表开放的产品使用,莫让隐私落于他人之手。
安全/杀毒APP
这是很多朋友手机上必备的一类产品,然而这年头最令人头大的甚至不少中毒,而是中杀毒软件,这类APP的威胁可见一斑。
安全/杀毒类APP所申请的权限之多,在各类软件中名列前茅,如果你root了的话,它们甚至可以决定手机系统的生死。安全/杀毒APP并不是没有做过无节操的事情,例如某国内安全厂商,旗下产品就做出过私自修改Recovery分区、导致ROM无法正常升级的恶劣事件。为了所谓的“安全”而将自己置身于隐私泄露的高风险下,或许得不偿失。
某安全厂商的产品甚至胆敢更改手机的Recovery导致手机变砖,能对你的系统做什么不言而喻
实际上,目前的手机系统对于恶意代码的防范已经足够安全。且不说有严密权限系统的iOS,就算是安卓,普遍也内置了恶意代码检测机制,Google每个月还会发布安全补丁。更何况,第三方安全/杀毒APP到底有多少用途,还得打个问号——根据安全测试机构AV-Comparatives的报告(点此查看),Play商店中250个杀软只有80个能够在测试期间检测出30%的恶意软件,有很多产品本身就是恶意软件,而且误杀情况频发。表现比较好的方案来自AhnLab、卡巴斯基、Avast等等,而这些也是ROM内置安全机构常见的方案提供商。
Google Play和手机ROM的安全机制已经足以够用,第三方安全APP平添风险
因此在移动平台上,系统内置的安全方案已可堪当大任,第三方安全/杀毒APP作用有限,反而会平添隐私泄露风险,然而不少朋友显然没有这方面的认知和警惕。
这里提到的只是部分典型例子,除此以外,国内用户还经常做出一些将隐私拱手让人的举措,例如某个商家的抽奖活动需要提交个人信息,大量用户毫不犹豫就钻进了这一圈套,如此现象屡见不鲜。信息时代飞速前进,来不及停下来等一等隐私意识仍处于懵懂状态的人民,这给了用心不良的APP们大量可乘之机。
4法规:为了保护隐私应该如何监管?
法规:为了保护隐私应该如何监管? 假设,手机系统对隐私的保护已经非常完善,APP的权限申请已经足够规范,人们的隐私保护意识已经大幅提高,那么是否隐私就能得到妥善的保护?或许还不行。在这个移动互联网时代,如果要使用正常的数据服务,不可避免地需要向服务商提交个人隐私信息——大家都一毛不拔的话,恐怕只能回归到网络原始社会了。
没有法规监管,也会进一步纵容APP窃取隐私,例如某些APP就有偷拍嫌疑,致使手机摄像头自动弹出
例如,想要手机APP自动提醒行程,就需要提交定位信息和车票、机票等信息;如果想要知道快递到了哪,那么你的联系电话、个人地址都不能藏着掖着。这些信息无疑也属于隐私,享用移动互联网时代的红利之时,如何才能防范大数据带来的副作用?这就需要更完善的法律法规监管。在这方面,或许欧洲的GDPR法案可以给予国人一些启示。
在去年,欧盟通过了一部保护隐私数据相关的法案《通用数据保护条例》,简称GDPR。这部法案适用于欧盟28个成员国,适用于任何收集、处理、管理或存储欧洲公民数据的组织。GDPR主要从以下几个方面对隐私保护进行了规范。
欧盟GDPR法案极具参考意义
首先,GDPR严格限制了数据收集,不关是不仅仅用户的姓名、地址、网络属性(IP地址、定位信息、Cookie等等)被纳入了保护的范围,连指纹虹膜DNA等生物数据,乃至种族民族、政治观点、性取向、犯罪记录等社会信息都被严密保护。APP想要随意申请权限?GDPR不答应。
GDPR覆盖面极广,对隐私数据流通的每个环节都起到了监管作用
其次,GDPR让用户拥有了对隐私数据的自主控制权。例如,你可以请求互联网企业修改某项数据、以保证准确性,也可以要求企业删除关于你的某项数据。国内很多互联网服务都不提供注销服务,隐私信息一旦被互联网企业收集,恐怕以后再也没有了删除的机会。而在GDPR下,用户对隐私的把控权利,无疑是值得国人羡慕的
再者,GDPR要求企业不能对用户虚与委蛇,随便套路用户。在国内,你在使用某项服务之前,往往会碰到长得令人脑仁疼的用户协议,必须同意协议才能使用;而一旦同意后,才发现协议中存在霸王条款,例如可以将你的数据随时共享等等,出了什么事企业完全不用负责任,这时悔之晚矣。而GDPR要求必须以“明确简练”的语言,告知用户关于隐私收集处理的种种信息,想要下套路再也不是那么容易了。
这种“用户同意不会追究我泄漏隐私的法律责任”的流氓
然后,一旦企业发生了数据泄露的事故,GDPR还要求在72小时内通知用户,否则将会面临数以亿计的巨额罚款。在国内,我们时常会听到某某网、某某公司被脱库,动辄数百万用户信息被盗取甚至公诸于众,用户对此只能吞声忍气。而在GDPR保护下,企业必须为数据泄露付出巨额成本,且数据泄露对用户造成的不良后果得到了更好的遏制,大大减轻了用户隐私被不法使用的风险。
这部法案在多方面都产生了深远的影响,甚至逼迫很多企业公司在欧盟修改隐私政策,甚至停止服务。
国际版QQ一度称不再为欧洲用户服务,随后撤回言论
例如,一些手机厂商更新了自己的隐私保护条款,并且以醒目的方式推送给用户;而一些网站更加粗暴,直接屏蔽了欧洲约5亿的用户,Twitter、WhatsApp等社交工具则禁止了欧洲16岁以下儿童使用;国际版QQ一度宣布不再为欧洲用户服务,但随后紧急回应不会下线。比较搞笑的是,USA Today发布了遵循GDPR专用版APP,移除了所有跟踪脚本和广告,大小一下子从5.2MB缩减到了500KB。可见,除了保护隐私,GDPR对用户体验的提升也有一定程度的积极作用。
国内尚未有GDPR这样的对隐私有如此严密保护的法律法规,而GDPR尽管可以作为参考,但将它生搬硬套到国内,也并不合适——GDPR本身就存在争议,有观点认为其中太苛刻的条例阻碍了互联网的进一步发展。
针对信息被滥用而投诉无门的现状,我国也已经开始了积极的立法举措。例如近年颁布的《中华人民共和国网络安全法》,就有不少关于网络隐私保护的条文。很多朋友可能会发现,微信、QQ等网络服务突然就能注销了,这主要是由于《网络安全法》有相应的条文作要求。而《中华人民共和国个人信息保护法》也已经有了成文的草案,并已经列入了立法规划当中,相信该来的还是会来的。
《网络安全法》部分和隐私保护有关的条文
总结 简单来说,之所以APP泄漏隐私成为国内移动互联网的顽疾,既有技术方面的因素,也有管理方面的因素,更有人们隐私意识、法规建设滞后的因素。
在技术层面上,安卓系统长久以来对涉及隐私的权限把关不严,加之国内缺乏安卓统一推送平台,导致APP们有意无意地申请了更多权限;而在管理层面上,Google无法控制安卓OEM厂商如何管理用户信息,同时国内的APP分发渠道缺乏明确执行的隐私条款,这加大了用户隐私外泄的几率;另外,不少国人缺乏隐私保护的意识,主动为隐私窃取者开启方便之门的案例比比皆是;最后,国内关于隐私保护的法律法规相对滞后,对APP和数据的监管缺乏力度。
幸运的是,在很多方面人们已经做出了相应的努力。安卓系统愈发完善,国内的统一推送平台正在路上,法律法规监管逐步建立……希望在不久后的将来,人们的隐私能得到更有效的保障吧。
免责声明:本文仅代表作者个人观点,与每日科技网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
本网站有部分内容均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,若因作品内容、知识产权、版权和其他问题,请及时提供相关证明等材料并与我们联系,本网站将在规定时间内给予删除等相关处理.
精彩推荐
-
采购拿回扣问题,教你一个小妙招,看看怎么做!
2017-09-18 11:09 广告 阅读
-
苦逼的老板,教你一个小妙招,怎么防采购拿回扣!
2017-09-18 11:09 广告 阅读
-
广告采购与招标网正式上线 传播易技术创新广告
2019-05-07 18:00:09 更新 阅读
-
沸腾五月来袭!海信智能门锁再掀优惠新风潮
2022-05-11 11:03:37 更新 阅读
-
指静脉+AI,鹿客推出“智慧门锁”
2022-05-10 17:41:22 更新 阅读
-
做爆品抢购的千千惠生活彻底火了,只因为坚持“
2022-05-07 18:10:41 更新 阅读
-
神策数据创始人 & CEO 桑文锋讲述神策七年的不变
2022-05-07 14:30:46 更新 阅读
-
Coremail&中睿天下官宣Q1季报!4952万钓鱼来自境
2022-05-06 18:03:52 更新 阅读
-
炎黄盈动AWS PaaS数字化转型赋能之旅走进山东
2022-04-29 14:41:55 更新 阅读