(口碑家电网-2014-07-25)
口碑家电网7月25日消息 智能手机的普及,将APP(手机应用程序)推进欢宴时代,一个个圆角矩形的小图标,在手机和相关设备的桌面上挤作一团。
可是,当你乐此不疲地享受APP带来的愉悦体验时,殊不知,你的手机正在“裸奔”——不仅被那些“手脚不干净”的APP装上了一双窥私的眼睛,还被暗地里凿穿了连接后门的秘密通道。
于是,你去了哪,给谁打了电话,发了什么短信,访问了什么网站,网购了什么商品等信息,当然,还有你的手机号、通讯录名单、通话记录、地理位置、邮箱账号等隐私,都被公开在一个你不知晓的隐秘地方。
“法律界定的滞后和相关手机系统的监管不到位,让APP行业至今无从监管。在掘金移动互联网的喧嚣和躁动中,窃取用户隐私的行为显得肆无忌惮。APP开发行业根本就没有道德底线,对于手机用户隐私信息的保护,完全凭开发者的良心。”在北京开有一家APP开发公司的耿洋(化名)淡淡地对记者说道。
隐私忧虑不是“杞人忧天”
近20年的程序开发经验使耿洋成为了这个圈内的资深人士,而他自身也经常遭遇隐私泄露的尴尬。一天,一位朋友突然向他发出生日快乐的祝福,耿洋很诧异,因为他没有告诉过这个人自己的生日。原来是一家公司设计了一款手机社交APP,甲与乙认识,乙与丙认识,那么甲通过乙就能获得丙的一些个人资料。对于这个产品,耿洋非常恼火,因为这是未经许可泄露他人隐私。
“你经常去哪家餐厅?最喜欢什么电影院?回家的路线是什么?这些私密的信息很有可能通过LBS(Location Based Services,基于位置的服务)被记录在智能手机中。”在北京邮电大学学习计算机专业的路晨向记者抱怨说,“打开智能手机,在应用程序中查看附近有什么好吃、好玩的,已经成为当下‘新新人类’们青睐的生活方式。但是,在运行这些应用的时候,它们几乎都会搜集你的位置信息,这些信息是否能得到安全保存、使用非常重要,因为这种泄露将可能导致不可预料的事件发生。我现在已经不敢在手机上查信息了,各种推销的推送太多了。更让人担忧的是,个人用户地理位置等个人隐私一旦被窃取、利用,将可能导致广告信息骚扰,甚至发生跟踪、抢劫等人身伤害事件。”
“况且这已经不是‘杞人忧天’,前不久就有报道说,一个女孩子因为在微信中分享个人位置,结果被不法分子跟踪、抢劫。”在路晨看来,比起个人电脑,手机上个人信息泄露的情况更为严重。“手机是跟着人跑的,你与谁通话、发短信,短信的内容,你所在的地理位置,你的人际网络等等,可以说全都在手机上”。
趋势科技(中国区)业务发展总监童宁表示:“现在越来越多的设备、应用要求获得用户的位置信息,并给用户提供基于位置的定制化服务,这是智能化时代的产物,但也给隐私保护带来了严峻挑战。虽然很多设备和应用都会在用户使用协议中,询问用户是否同意提供地理位置信息,但很多用户并不会注意到这些条款,即使注意了,也难以阻止这些设备或应用的行为。”
“值得注意的是,目前炒得沸沸扬扬的手机预装软件问题也严重威胁着手机用户的隐私安全。部分预装软件私自使用手机用户数据就是在侵犯用户的隐私权。”曾对手机预装软件进行过专门研究的北京律师赵虎分析,“很多手机预装软件隐蔽运行于手机软件系统后台,可以调用用户的位置信息、使用习惯,甚至搜集并上传用户的联系人资料,在很大程度上对用户隐私造成影响。”
针对手机的隐私泄露问题尤其是涉及的窃听情况,南昌大学计算机研究所的研究人员还做过专门调研。“有的窃听不需要在手机里安装窃听器,也不需要像网络说的那样对手机SIM卡做处理。而只要安装一个软件,这个窃听软件可能是你无意中安装的,也可能是有人在接触你的手机后安装的。”南昌大学计算机研究所副研究员黎鹰介绍道,“这种窃听软件其实是木马,它可能‘寄生’在你下载的某个APP软件中,也有可能是你浏览网页时一不小心下载的,或者他人给你发彩信你无意点开导致木马植入到你的手机。现在有的杀毒软件查不到这种木马,很多木马隐藏了起来,一般人很难查到,除非是专业人士。”
窃取类软件呈三大态势
近日,百度安全实验室正式发布了《2014年第二季度移动安全报告》。报告显示,在本季度增长的恶意软件中,隐私窃取类恶意软件迎来大规模爆发。据百度安全实验室的统计数据显示,和上一季度相比,隐私窃取类恶意软件的比例上涨非常迅速,达到了17.9%,上涨幅度达到了57%。
耿洋分析认为,手机软件收集个人信息的主要途径有三种:第一种是在安装时有授权确认,在使用中涉及用户信息时,再次出现授权确认让用户明确知晓;第二种是在用户下载安装软件时,给出一个提示让用户确认;第三种是没有经过用户任何确认,直接收集信息。
“此前,不法分子利用恶意软件主要窃取用户的短信和联系人信息。但随着移动支付的迅速普及,用户可以用手机完成购物,充值,甚至交水电费等一系列支付活动,支付类、网银类、网购类应用自然而然地成为了恶意软件开发者的‘香饽饽’。”经百度安全实验室的专家分析,这些隐私窃取类软件呈现三种态势。
“首先,手机隐私窃取类软件大量以山寨应用方式呈现。”百度安全实验室的技术人员介绍说,据他们的监测数据显示,网银、支付、购物应用和社交应用的山寨情况持续泛滥,目前各种网银应用的山寨版本已经超过了500款。由于这类应用往往都需要用户输入账号密码,一旦用户使用山寨应用,就很有可能被盗取账号密码等隐私信息,目前山寨应用已成为对用户隐私的最大威胁之一。
“与此同时,技术手段则更加深入。”上述技术人员说,百度安全实验室近期发现的一款“聊天剽窃手”病毒,将恶意代码注入QQ、微信程序进程,恶意代码能够实时监控手机QQ、微信的聊天内容及联系人信息,威胁性极高。
“此外,目前还有一种趋势便是多种恶意手段的结合运用。”百度安全实验室的技术人员说,总体看来,本季度窃私类软件发展迅速,技术也更加深入,用户的个人信息面临了巨大的风险。
为什么这么多的应用会卷入盗取用户信息的恶行?又是谁在暗中操作?
“这背后存在一条隐蔽的利益链条。目前收集用户隐私信息的主要黑手为移动广告公司。众多的中小应用开发商没有动机去盗取用户信息。为了赚取应用内置的广告费用,开发商会与移动广告平台签署协议,在应用中内置广告代码,真正作恶的正是这些代码,有广告商利用应用安装时获得的权限,大量读取用户信息,并上传至自己的服务器。”耿洋透露说,这些广告公司将用户的联系人、短信、通话记录进行综合分析,作出判断,从而进行精准的广告投递,并以此牟利。目前日益泛滥的垃圾短信也与此相关。
对此,公安部第一研究所科学技术信息中心副研究员杨卫军说,数据来源于网民或企业用户的现实工作与生活,存储在网际空间,数据信息是否为公民或企业的私有资产,权属不太明确。目前,在数据保护、交易、责任等方面的法律法规落后于实践需要。
“数据所有权、使用权界定尚不明确,亟待规范。”中国传媒大学政治与法律学院法律系副主任郑宁认为,信息安全风险存在于数据的全生命周期之中,从技术研发、产品制造、用户使用、服务管理等各环节均要明确安全责任,对所涉及到的政府、企业、数据产生者及个人等,也必须明确各自的安全责任。在手机技术日益发展的情况下,保护个人网络隐私就是一个系统的工程,需要法制手段、技术能力、保护意识、有效沟通、管理监控、风险规避及防范等多方面的联合长期行动。
“虽然国家在目前已经实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》中,明确了处理个人信息要遵循用户知情自愿的原则,但专门的个人信息保护法仍然缺失。如何让我们的隐私在手机基数高速发展的今天‘有路可逃’,这个问题亟待有关部门进一步解决。”郑宁说,目前大多数手机应用软件都有能力去肆意搜集个人信息,限制这些软件搜集信息就要靠立法。国家应出台相关政策,要求各大应用平台履行市场监督职责,加大对个人隐私保护的审查力度。
此外,中国信息经济学会理事长杨培芳呼吁,应制定具体的法律法规,现有的行业监管规定应该进一步细化,比如对恶性软件给出标准定义。
19
19
19
19
19
19