手機軟件頻繁“搞事情” 手機APP“偷窺”亂象被曝光

在嘗試關(guān)閉軟件讀取權(quán)限的時候，經(jīng)常有用戶會發(fā)現(xiàn)部分APP會強制要求授權(quán)，否則無法繼續(xù)使用，而打開權(quán)限后，你就會發(fā)現(xiàn)，手機越來越能讀懂你的心——拿著到手的新包來一張自拍，打開購物網(wǎng)站就會出現(xiàn)相關(guān)產(chǎn)品推送;正在APP中瀏覽一款最新車型，銷售人員就打來咨詢電話……

沒錯，正是你的手機軟件在“搞事情”。近日，媒體曝光的手機APP“偷窺”亂象調(diào)查顯示，有的APP能夠在十幾分鐘內(nèi)訪問照片和文件兩萬多次，其中涉及移動教學軟件“優(yōu)學院”、辦公軟件“TIM”等多款產(chǎn)品。手機APP竊取用戶隱私為何屢禁不止?作為用戶，如何保護個人隱私?面對一系列疑問，科技日報記者采訪了相關(guān)專家。

APP違規(guī)收集信息屢禁不止

近年來，關(guān)于手機軟件“秘密訪問”個人信息的事件屢見不鮮。手機軟件是如何頻繁竊取用戶信息的?

北京理工大學計算機網(wǎng)絡(luò)及對抗技術(shù)研究所所長閆懷志接受科技日報記者采訪時表示，APP竊取用戶信息，通常是通過對手機的“正常”操作而非攻擊手段實現(xiàn)的。廣義來講，用戶的數(shù)據(jù)處理、APP操作行為均需獲得手機自帶的操作系統(tǒng)支持。“而操作系統(tǒng)會在不同層面設(shè)置各種權(quán)限等安全機制，防止用戶信息被惡意讀取或濫用。但如果APP獲得了某種權(quán)限，就可以輕松讀取該權(quán)限項下的所有信息。”他說。

閆懷志解讀，手機APP違法違規(guī)收集個人信息或是竊取用戶信息，主要途徑有以下兩種：第一種是未明確告知而收集信息，例如有些APP在收集信息之前未予明示，有的干脆玩起文字游戲誘導(dǎo)用戶同意;第二種是未以清晰權(quán)限限定收集的目的、方式及范圍，比如通過正常渠道收集了用戶信息，但是卻超范圍使用，給用戶隱私和利益帶來潛在風險和危害。

通常來說，用戶信息應(yīng)該遵循“收所必需、用所必需”的基本準則，也就是說，所收集的信息應(yīng)該是完成用戶某項業(yè)務(wù)所必需的信息，而且這些信息應(yīng)該在該業(yè)務(wù)范圍內(nèi)被正當使用。

“需要注意的是，APP竊取信息與黑客竊取用戶信息導(dǎo)致大量信息泄露，這是兩個性質(zhì)不同的事件。一款正規(guī)上架的APP軟件，在用戶不知情的情況下或超出用戶授權(quán)的情況下來獲取用戶信息，在手機上的操作不必利用任何攻擊手段來實現(xiàn)，即便系統(tǒng)沒有漏洞，APP依然可以獲取用戶信息。”閆懷志說。

表面買薯條，暗拿“全家桶”

目前，我國已明確將數(shù)據(jù)納入生產(chǎn)要素,很多APP過度收集隱私，就是為了商業(yè)目的。那么，頻繁訪問用戶信息，究竟是作何用途?不同軟件可彼此喚醒，共同窺探用戶隱私，是否意味著開發(fā)商彼此之間存在利益交換?

據(jù)了解，一般來說，用戶信息可分為兩類，一類是準靜態(tài)信息，比如用戶姓名、年齡、住址等，通常不會頻繁變更，APP采集一次即可一勞永逸。另一類是動態(tài)信息，比如用戶的位置、移動支付情況、個人健康狀態(tài)等信息，經(jīng)常或隨時處于變化之中。動態(tài)信息就需要APP頻繁訪問方可獲取。

閆懷志解釋道，從技術(shù)上來看，APP頻繁訪問用戶信息有的是確因業(yè)務(wù)需要，比如導(dǎo)航路徑規(guī)劃，自然需要了解用戶的實時位置;健康監(jiān)測業(yè)務(wù)，可能會需要隨時獲取用戶的運動數(shù)據(jù)信息。獲取用戶個人信息后，軟件運營商會通過數(shù)據(jù)分析，對用戶的活動范圍、消費能力等進行標定，從而進行更為精準的廣告投放或其他營銷行為。

“需要注意的是，用戶信息具有特殊重要價值，為了提升注冊量、共享用戶有用數(shù)據(jù)，有些APP開發(fā)商之間會進行用戶信息交換，這種操作的前提自然是利益。”閆懷志強調(diào)。

根據(jù)調(diào)查，很多手機軟件下載之后，會頻繁喚起其他軟件自啟動，進而共同在后臺窺視用戶照片、購物記錄等，技術(shù)層面如何解讀這一現(xiàn)象?

閆懷志解釋說，APP喚起其他軟件的技術(shù)實現(xiàn)途徑很多，常見的有Intent喚起、包名喚起、URL喚起等方式，簡單來說，就是通過后臺通信協(xié)議來私自啟動，并且啟動后僅在后臺運行數(shù)據(jù)，具有較強的隱蔽性，用戶很難察覺到。閆懷志進一步強調(diào)，喚起其他軟件在后臺自啟動，共同偷窺用戶信息，目的是最大限度獲取用戶信息以實現(xiàn)更為精準地畫像，這種表面買薯條，暗拿“全家桶”的行為具有更大的隱蔽性和危害性。

軟件“偷窺癖”該如何防治

為保障個人信息安全，有關(guān)部門展開了一系列整治市場亂象的行動。2019年1月，中央網(wǎng)信辦、工業(yè)和信息化部、公安部、市場監(jiān)管總局4部門，在全國范圍內(nèi)聯(lián)合組織開展了APP違法違規(guī)收集使用個人信息專項治理活動，并成立APP違法違規(guī)收集使用個人信息專項治理工作組。工作組根據(jù)收到的萬余條網(wǎng)民舉報信息，統(tǒng)計出前五大典型問題分別為：超范圍收集與功能無關(guān)的個人信息、強制或頻繁索要無關(guān)權(quán)限、存在不合理免責條款、無法注銷賬號、默認捆綁功能并一攬子同意。

事實上，針對手機APP過度收集個人信息現(xiàn)象，國家此前也已經(jīng)相繼出臺《信息安全技術(shù)個人信息安全規(guī)范》和《網(wǎng)絡(luò)安全實踐指南——移動互聯(lián)網(wǎng)應(yīng)用基本業(yè)務(wù)功能必要信息規(guī)范》，對APP超范圍收集、強制授權(quán)、過度索權(quán)等個人信息安全問題進行了明確規(guī)定。

然而，很多手機軟件依然無視國家法律法規(guī)，甚至鋌而走險竊取公民隱私用以非法牟利，究竟為何手機APP竊取用戶隱私屢禁不止?作為用戶，該如何有效保護個人隱私?

對此，閆懷志稱，手機APP違法違規(guī)收集或竊取個人隱私行為屢禁不止、屢打不絕的本質(zhì)原因，無非是“利”字當頭。“在信息時代和網(wǎng)絡(luò)空間，個人信息也是一種資產(chǎn)，本身具有一定的價值，更會帶來衍生的價值，在某種意義上來說，屬于利益鏈的最前端。誰掌握了用戶信息，誰就掌握了用戶資源，就能夠?qū)崿F(xiàn)精準推廣、精準營銷甚至是精準詐騙。因此，APP‘越界’收集用戶信息的現(xiàn)象自然就不難理解了。”他說。

近期，APP違法違規(guī)收集使用個人信息專項治理工作組發(fā)布了《APP違法違規(guī)收集使用個人信息專項治理報告(2019)》，該報告顯示，有的APP在過度收集個人信息時使用加密數(shù)據(jù)包，有的APP對測試環(huán)境進行識別以規(guī)避檢測工具發(fā)現(xiàn)其異常傳輸行為，還有的APP繞過移動設(shè)備操作系統(tǒng)權(quán)限控制機制，采用讀取外部存儲區(qū)方式獲取信息。當APP使用上述方式，現(xiàn)有檢測手段發(fā)現(xiàn)超范圍收集個人信息問題和舉證的難度會加大不少。因此，需要相關(guān)部門進一步加強深度檢測技術(shù)研究，在后續(xù)持續(xù)監(jiān)督的過程中占據(jù)主動權(quán)，有效震懾違法違規(guī)行為。

為此，閆懷志建議，作為用戶，最重要的是提高安全意識和隱私保護理念。比如在安裝APP時，應(yīng)仔細閱讀其數(shù)據(jù)收集請求，根據(jù)個人情況來選擇是否提供。而且在提供信息的時候，要遵循“供所必需”的原則，不提供超出業(yè)務(wù)需求之外的信息。其次是注意采用適當?shù)募夹g(shù)檢測手段，通過APP監(jiān)測工具來發(fā)現(xiàn)哪些APP偷偷在后臺頻繁運行。若出現(xiàn)隱私數(shù)據(jù)被惡意收集或濫用的情況，要及時保存證據(jù)，向有關(guān)部門舉報維權(quán)。

標簽： APP 偷窺 違規(guī)