本
文
摘
要
今年的315晚会揭露了许多乱象,香精大米、腐烂橄榄菜、苦情戏诈骗直播、网络水军等等。
其中有不少陈年烂芝麻的旧事重提,2010年315报道过的香精大米,去年315刚曝光的网络水军。
也有吓出哔哥一身冷汗,与咱们息息相关的事情“绿色版APP窃取手机信息”。
安卓阵营的小伙伴,有谁敢拍胸脯保证自己从未接触过绿色版、修改版APP?未安装过非官方渠道,来路不明的APP?
恐怕十个人中未必揪出一个这样的三好学生,毕竟绿色版真香。
免费看付费电影、免费听会员音乐、不限速下载网盘资源……这样良心的APP,全天下哪里找。
它们的出现,一年让白嫖党省下几百上千块的会员费,谁顶得住如此的勾引啊。
(图源魔兽世界电影)
藏在手机里的小偷
古尔丹告诉我们:享受了便利,必须付出代价。
315信息安全试验技术人员对十多款主流的APP绿色版进行检测,发现它们会悄悄偷走个人信息。
比如这款优酷绿色版,对比官方正版,它可以免费看会员视频,却额外嵌入3个SDK。
(图源央视)
咱们一旦使用APP,3个SDK就能偷走手机信息,如IMEI(手机身份证)、安卓ID(系统身份证)、IMSI(sim卡身份证)。
有了这几张身份证,不管换手机、换号码,幕后黑手都能精准锁定咱们,实时追踪动态,从中寻找变现的机会。
如果你授予了录音、相机、短信等敏感权限,它们将会变身为监视器。
监控咱们的生活、通话录音、短信记录等,所有隐私暴露无遗。
你点开过什么、看过什么、跟谁联系过、在哪个界面停留多长时间,APP比你自己都清楚。
(图源央视)
APP从手机里偷走的信息,会用来干什么?对我们有什么坏处?
首先,收集到的信息会上传到服务器,进行统一的洗练和汇总,然后匹配其他渠道获得的资料,描绘详细的用户画像。
画像可以具体到,你叫什么名字、住在哪里、用着什么手机、看过什么视频、手机号码多少、学历层次、喜好、现在在哪里(手机定位),对你的认知比你爸妈都深刻。
(图源发表情)
吃相好些呢,一般收集来的用户画像,用于大数据广告投放或者精准营销。
因此时常出现刚在某APP搜索某产品,打开淘宝发现全是该商品推荐信息的诡异现象。
时不时接到推销电话,客服准确地说出你的姓名、年龄,最近准备买房子的信息。
如果是犯罪份子,则大多用于实施诈骗,发送诈骗短信唬你登录山寨网站转移存款。
又或者出售给黑灰产从业者,为境外诈骗团伙提供重要的线索和资料。
这就是许多人时不时收到乱七八糟的短信、推销电话、恐吓信息的原因。
(图源CSDN)
千万别天真以为,只要我不碰绿色版、修改版APP就没事了。
窃取隐私的不止是盗版APP,许多获得数字签名上架应用商店的正版APP,在偷信息方面不遑多让。
窃取个人隐私,何止绿色APP
考虑到小伙伴不知道SDK是什么玩意,此处哔哥简单科普下。
如果把APP比喻成一台电脑,那么SDK就是耳机、音箱等配件,可以赋予电脑某种能力。
主流APP一般嵌入大量的SDK,借此免去开发成本实现某些功能,例如支付、第三方登录、行为分析、信息收集、广告推送,路径追踪等。
按照功能区分,SDK可以分成:消息推送类(广告推送)、综合类、辅助开发类、支付类等十几个大类,其中消息推送类最为常见。
部分SDK默认收集个人信息,除了上面提到获取IMEI外,还会监视用户行为,记录你看过什么内容,窃取联系人、通话记录等。
(图源网络)
由于安卓开放的特性,国内宽松的隐私保护环境、缺少谷歌约束等因素。
许多违规SDK得以光明正大的嵌入到主流APP中,明目张胆的搜罗用户信息。
央视年年曝光这些正版APP,通过第三方SKD收集超出正常范围的个人信息。
其中不乏家喻户晓的知名APP,全国闻名的互联网大厂、上市公司等。
(图源央视)
最夸张的一次发生在2020年。
上海公安局网安总队对应用商店的5000款App开展检查,最终检测出具有安全隐患的APP多达3400款。
70%APP存在违规收集信息、索要敏感权限的问题,其中涉嫌诈骗的违法APP有233款。
测试人员捕捉到这些APP窃取通讯录联系人信息并上传服务器的行为,严重侵害了隐私权。
(图源央视)
许多APP的用户协议中,白纸黑字写明:它们会收集、共享、转让、公开我们的个人信息。
明明白白告诉你,我就是要拿你的信息,不仅自己用,还卖给其他人一起用。
怎么滴?你不同意协议?你敢点不同意,APP就敢闪退。
据中消协发布的《App个人信息泄露情况调查报告》,APP最常收集的信息依次排序为:
位置、联系人、通话记录、短信记录、摄像头、通话录音。
其中位置信息泄露达86%,联系人泄露62%,从数据上看,每个人或多或少被APP偷走隐私。
小伙伴认为,使用正版APP的人多?还是使用盗版APP的人多?答案显而易见。
论偷取个人信息,应用商店某些正版APP比盗版APP猖獗百倍。
(图源中消协)
虽讲APP偷数据的行为相当普遍,达到泛滥的程度。
但大伙不必为此惊慌害怕,近几年上到有关部门下至手机厂商,都在发力保护个人隐私数据安全,推出了强而有力的政策、立竿见影的技术。
隐私泄露的情况对比前几年,得到了极大的改善。
保护隐私,竭尽全力
法规方面,为打击APP的滥用SKD,搜取个人信息,守护个人权益。
有关部门出台了《App违法违规收集个人信息行为认定方法》、《个人信息保护认证实施规则》、《中华人民共和国个人信息保护法》等法规。
对个人信息的收集、使用、处理有了明确的规范,有法可依,违法必究。
(图源人大网)
系统层面,安卓10、iOS 5之后开始限制APP获取IMEI、MAC、安卓ID等识别码。
依靠【通话权限】获取系统返还IMEI的漏洞也彻底修复,APP只会得到空白信息。
APP早已无法直接从系统中窃取手机识别码,追踪用户。
现在广告商主要依靠OAID(虚拟版IMEI)追踪用户精准投放广告。
OAID是移动安全联盟(中国信通院、华米OV等手机商联合成立)推出的特殊ID,起到保护用户信息及方便广告渠道商的作用。
(图源移动安全联盟)
手机厂商方面,小米推出空白通行证,vivo研发千镜安全架构,华为上线AI隐私保护功能。
各大厂商各显神通,亮出自家独门的隐私保护方案,力求用户信息安稳无患。
各方的努力构筑起隐私的城墙,只要自己不作死,APP很难偷走我们的信息。
(图源小米)
另外哔哥给3点建议,帮助大家更好地保护个人信息。
1.不要安装第三方APP、绿色版APP,优先安装谷歌应用商店的APP(谷歌审核严格,跟苹果有的一拼);
2.假如你忍不住要装绿色版APP,不要给任何权限;
3.禁止一切APP获取敏感权限,通话权限、短信权限、录音权限、通话记录等;
4.尽可能使用最新版的系统,防护等级更高;
5.隐私保护大招:把手机换成iPhone;
只要你做到第5点,随便浪随便嗨,iOS会替你处理一切。
如果你像哔哥一样在用安卓,那么请乖乖地执行前4点。
没办法,这就是开放的代价。