行業(yè)動態(tài)

信息 “裸奔”觸目驚心,揭秘互聯(lián)網(wǎng)大廠的隱私販賣產(chǎn)業(yè)鏈

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-06-28    瀏覽次數(shù):
 

信息來源:IT之家


互聯(lián)網(wǎng)的發(fā)展速度遠快于法規(guī)政策的更新出臺,各大應用程序收集用戶數(shù)據(jù)早已不是秘密。或許你會覺得,反正大家都在數(shù)據(jù)海洋里裸泳,沒什么隱私可言,有什么好怕的。

可是你自己不在乎,真的沒人會替你著急。

本文希望能為你講清楚,手機App是怎么悄咪咪拿走你個人數(shù)據(jù)的?背后形成了怎樣的產(chǎn)業(yè)鏈?以及以后遇到一些侵犯個人隱私的情況時,你能拿出知識的武器,給不正當分子一頓胖揍。

信息泄漏的元兇,就是我們的智能手機,尤其是能收集、記錄、傳輸各種數(shù)據(jù)的App。

近期,央視報道了一則手機APP在后臺偷窺用戶隱私的新聞,令人觸目驚心:

移動教學軟件“優(yōu)學院”十幾分鐘訪問手機照片和文件近25000次;一款辦公軟件“TIM”1小時內(nèi),自啟動近7000次,并不停讀取通訊錄。

一些廣泛使用的App,比如“拼多多”、“美圖秀秀”、“王者榮耀” 、“新浪微博”等也在頻繁自啟動、喚醒同類App等,這些都屬于超權(quán)限行為。

這些App收集到的個人信息,可以逐漸形成你的精準畫像,往好里說,可以幫助商業(yè)社會完成“商品找人”的轉(zhuǎn)變過程;往壞里說,犯罪分子要想對你的資產(chǎn)有什么企圖,只有想不想,沒有做不做得到的說法。

如果不給權(quán)限呢?

一種情況是,這些App就會罷工、躺尸,表示你不給我走后門,我就不讓你上車,你一看,沒辦法,只好把他需要的權(quán)限都給他。

這個時候,你往往會忽略一個問題,那就是App向你申請權(quán)限的原因,到底合不合理?

比如一款P圖軟件,要讀取你的短信記錄,就會以用戶可能發(fā)圖片短信給好友為由;一款導航軟件要訪問相冊,理由可能是,有時候用戶會用圖像識別功能,來辨別路標和位置。

總之,App會拿出各種原因,讓你給權(quán)限。另外一種情況是,你不給權(quán)限也沒關(guān)系,反正它也有別的門道獲得你的信息。

每個人的手機都有一些數(shù)據(jù)是獨一無二且?guī)缀跬耆_的——比如 IMSI、IMEI 號,內(nèi)存等。這些相當于手機的“身份證號”。

只要這款App知道你硬件設(shè)備信息,也能通過其他渠道獲得你的數(shù)據(jù)。

舉個例子。某電商平臺想知道你的位置信息,你拒絕了它,沒關(guān)系,你總會把位置權(quán)限開放給某社交平臺、某出行平臺。

這些社交平臺、出行平臺,獲得你的位置權(quán)限后,就開始行動了,趕緊調(diào)用自己后臺的數(shù)據(jù)、廣告平臺的數(shù)據(jù)、第三方數(shù)據(jù)平臺的數(shù)據(jù)等,分析得出你此時的行為趨勢是——玩夠了,要滾回單位工作了,于是馬上找出幾款你90%會用到的產(chǎn)品:機票、醒酒湯、風油精,但這幾類產(chǎn)品有很多商家都想賣給你,怎么辦呢?

競價系統(tǒng)就站出來開始拍賣——看到?jīng)]有,這個人下一秒馬上就要看到這個廣告位了,你們誰給出的價格高,我就讓誰家的產(chǎn)品出現(xiàn)在他的面前,經(jīng)過0.01秒的比拼,家大業(yè)大的航空公司勝出了,于是你就看到了一個關(guān)于機票促銷的廣告。

這個過程中,坐收漁翁之利的是誰?某電商平臺啊。

因為某社交平臺、某出行平臺把你的位置已經(jīng)在“數(shù)據(jù)集市”中曝光啦,盡管他們不會直接把你的位置暴露出去,但經(jīng)過多方數(shù)據(jù)流轉(zhuǎn),某電商平臺根據(jù)你的設(shè)備號、內(nèi)存信息等,一下就定位到,這個位置信息是你的。

這種信息流轉(zhuǎn)的方式,已成為常態(tài),大多情況下,處于法律管轄的黑灰地帶。

泄漏的個人信息形成了怎樣的產(chǎn)業(yè)鏈?

各類App泄漏的信息,逐漸流入黑灰產(chǎn)人士專門儲備個人信息的數(shù)據(jù)庫——也俗稱“社工庫”,其中還包括黑客、大數(shù)據(jù)服務商等經(jīng)過各種手段獲得的信息。

于是一條數(shù)據(jù)產(chǎn)業(yè)鏈就形成了——擁有“社工庫”的黑灰產(chǎn),將各種賬號信息、身份信息、交易信息等,通過QQ群、論壇、暗網(wǎng)等渠道,進行交易。

商業(yè)模式主要有三種:合作模式、收費模式和雇傭分成。然后個人數(shù)據(jù)會被應用在精準營銷、網(wǎng)絡(luò)詐騙等環(huán)節(jié)。

這樣的產(chǎn)業(yè)到底有多大?沒辦法估計,因為很多數(shù)據(jù)交易上不了臺面。

根據(jù)2017年發(fā)布的《電子商務生態(tài)安全白皮書》推測,中國“網(wǎng)絡(luò)黑產(chǎn)”從業(yè)人員已經(jīng)超過150萬,市場規(guī)模高達千億級別。

以黑產(chǎn)中較為重要的交易產(chǎn)品——個人App賬號密碼為例。數(shù)十億賬號密碼,被黑灰產(chǎn)業(yè)所掌握,他們大多數(shù)都是通過撞庫、刷庫造成賬號被盜,而盜號衍生的產(chǎn)業(yè)鏈年獲利超百億元。

在數(shù)據(jù)的源頭,有著多少App?

有數(shù)據(jù)統(tǒng)計,每個人手機中平均有56款App,少一點的可能十多個,多一點的,上百都有可能。中國應用商店數(shù)量有200多家,上架的App有500多萬款。

這些App有可能停止收集你的數(shù)據(jù)嗎?

答案是:不可能。

App不去挖掘用戶的數(shù)據(jù),就很難獲得用戶痛點和喜好,沒有對用戶痛點和喜好的洞察,就無法提供合適的產(chǎn)品和解決方案,也就無法創(chuàng)造商業(yè)價值。

就以互聯(lián)網(wǎng)行業(yè)重要的收益來源——廣告來說。

手機APP收集你的信息之后,精準營銷的不只是你一個人,而是跟你有關(guān)系網(wǎng)的人、跟你屬于同一類型的人,輻射范圍會越來越廣、越來越精準,這背后巨大的利益豈能輕易放棄?

如何防范個人信息被App泄漏?

有什么辦法阻止App的騷操作嗎?

答案也是:幾乎不可能。很多情況下,你甚至很難分辨這款App到底是不是侵犯了你的權(quán)限。

好在,移動互聯(lián)網(wǎng)行業(yè)蒙眼狂奔多年,從去年年底開始,也逐漸受到監(jiān)管機構(gòu)頗具規(guī)模和力度的整頓。

去年12月,工信部發(fā)布通知,點名了41款較為常用的App,包括QQ、新浪體育、小米金融、36Kr、閃送、起點直播等,因為它們存在違規(guī)收集、使用用戶個人信息、不合理索取用戶權(quán)限、為用戶賬號注銷設(shè)置障礙等問題。

這一批通報后,有3款沒能在規(guī)定時間內(nèi)完成整改的App,隨后終身下架。

今年1月份,工信部又點名了15款App,包括拉鉤招聘、瑞幸咖啡、天涯社區(qū)等;5月份,信息通信管理局發(fā)布通知,點名16款App,因為他們存在不合理索取用戶權(quán)限行為,包括當當、e代駕、千千音樂、七貓免費小說、WiFi管家等。

相對于歐盟的GDPR、美國的《加州消費者隱私法》等從2018年開始陸續(xù)出臺,國內(nèi)涉及到個人信息保護的法規(guī)還分散在近40部法律、30余部法規(guī)以及近200部規(guī)章中,未形成體系。

今年兩會上,《個人信息保護法》草 案被提出,正式法案出臺相信也指日可待。

政策監(jiān)管加大力度外,其實防止個人敏感信息泄漏,靠的還是自己的隱私意識。

首先,下載App時,最好選擇惡意密度較低的應用商店,比如蘋果的Appstore、安卓手機的應用商店。

去年一項調(diào)查列出了惡意密度最高的 5 大應用商店,大家可以留意下:

(1)9Game;

(2) Feral 應用程序商店;

(3) 華為 Vmall 應用程序商店;

(4)小米應用程序商店;

(5)助手應用商店

其次,在安裝App時,會彈出各種權(quán)限申請,此時一定要注意位置信息、手機通訊錄等26隱私權(quán)限,不常用的不要給。

此外,要定期清理手機內(nèi)存數(shù)據(jù),不要把身份證照片、銀行卡號等關(guān)鍵信息留在手機內(nèi),定期查看手機應用權(quán)限。

還要警惕來源不明的二維碼掃描、注冊申請等,一些補貼、禮品很有可能是黑灰產(chǎn)為了收集個人信息的誘餌,2塊錢獲得的數(shù)據(jù)被轉(zhuǎn)手就能賣出10塊錢。

最后,信息被泄露后,也不要自認倒霉。按相關(guān)規(guī)定,消費者有權(quán)要求網(wǎng)絡(luò)服務提供者刪除個人隱私信息,還能向公安和互聯(lián)網(wǎng)管理部門進行投訴舉報。


 
 

上一篇:【重磅上線】便攜式聚銘網(wǎng)絡(luò)脆弱性掃描系統(tǒng),輕悍出擊!

下一篇:每天有80000臺打印機通過IPP在線曝光