谁偷走了我的隐私?
2019年2月16日凌晨,网友“大侠阿木”在网上发布了两条视频,视频中显示“京东金融APP被曝光会获取用户的敏感图片并上传”,网友们迅速对手机里的APP再次警觉起来,甚至有些慌张,“我有时觉得手机正在录音”,这条视频在当天被推上了微博热搜。
2018年11月28日中国消费者协会曾发布《100款APP个人信息收集与隐私政策测评报告》,其中指出,受访者中85.2%遇到过个人信息泄露情况,所测试的100款APP中,多达91款APP列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题。
恶意广告、诈骗电话、钓鱼网站层出不穷。移动互联网时代,我们似乎失去了对个人信息的控制权。究竟是谁偷走了我的隐私?是怎么偷走的?消费者的个人利益该如何保障?
APP过度索求权限?
“大侠阿木”在微博上用视频展示了他的发现。“首先我们打开京东金融APP,不要管他,放在后台……”
视频中,大侠阿木将京东金融APP置于手机后台运行时,打开手机“招商银行”的应用并截图,发现截图被存储在京东金融的缓存文件夹中,储存得很隐蔽,文件不能直接打开,只有以图片方式打开时才能看到。
金融APP关乎每个用户的财产安全,“阿木”在视频中问道:“你为什么要拿我银行APP的截图呢?”
更多网友们晒出个人信息泄露的经历,“被盗刷了五千块钱”,“很多APP会把用户隐私按在地上摩擦”,也有人指出“应该是给了看相册的权限吧,禁掉就拿不到图了”。
网络安全专家、360黑客研究院院长杨卿,也在评论区留言:“要确认是不是官方APP的行为,这个要等官方解答。但作为一个安全从业者,安卓生态上的APP分发平台及APP自身的权限管控安全问题确实亟须关注,截屏、麦克风、摄像头权限都是重灾区。”
京东金融随后回应,图片缓存是为了方便用户投诉或建议使用,用户不选择发送截图,截图就会乖乖地待在用户手机里。随后暂时下线“图片助手”这一功能。
“阿木”不能接受这一解释,他指出,“京东金融不只偷截图,还会偷照片”,他发送的第二条视频显示,京东金融APP在后台运行期间,用手机其他相机软件拍摄的照片也可以在京东金融的文件目录中找到。
2019年2月17日下午,京东金融再次发布长文道歉,称是错误开发,并称坚决不会私自上传用户隐私。他们已采取邀请权威官方机构对京东金融APP进行全面安全性检测等三项措施。
然而,不可否认,国内安卓应用普遍存在过多索权和后台活跃的问题,一个小游戏都能记录音频和视频的访问权限,后台活跃,自动唤醒,浪费电量。杨卿认为,手机被植入恶意APP、已安装的APP权限过度授权及APP本身的功能逻辑缺陷,这些都有可能导致手机的麦克风、摄像头等组件与位置信息、通讯录、短信息及系统文件等被读取进而引发隐私泄露。
2017年,一些安卓应用开发者发起了《安卓绿色应用公约》,“阿木”告诉南方周末记者,该公约旨在共同维护一个良性的安卓生态,提出不在启动应用时强制请求“读取手机状态和身份”权限等规范。
维权者的窘境
在个人信息收集、保管、使用、流转等在内的链条上,除了“阿木”这样的专业人士,还有更多的互联网用户面临个人信息泄露问题,有人选择死磕,也有人选择放弃维权,不想耗费精力。
李莉最初很想放弃维权的,但她的丈夫范文不服气,坚持要为损失的925.59元申诉。
2018年10月,李莉在拥有一亿用户的母婴购物平台贝贝网上购买了一件小儿底裤,两个月后,自称是贝贝网的客服打电话来,称该底裤可能含有甲醛,客户可选择退货退款。客服提到的贝贝网购买信息极为详细,包括何时购买该底裤,何时到货等,李莉没起疑心,按照客服的提示进行操作。她点击了一个钓鱼网站的链接,随后支付宝账户被盗。
李莉此时还不知情,对方通过亲密支付功能成功把账户剩下的925.59元全部购买Q币等虚拟货币。发现上当后,范文联系了贝贝网官网客服,对方建议范文到当地公安部门报案,贝贝网将全力协助。
范文陆续了解到因贝贝网购物信息泄露,上当受骗的人并不少。在他们所建的“贝贝网维权群”里,损失金额自几百至十余万元。
“范文们”面临的窘境在于,贝贝网平台、贝贝网上的商家、被盗走的支付宝方、当地警方似乎都无能为力。
贝贝网平台在诸多反映被骗的微博下留言,称初步查明是第三方合作商店泄露信息,目前正在配合警方查案;支付宝方面则解释,李莉是自主点击钓鱼网站导致账户被盗的,不属于他们赔偿范围;充值Q币的天猫商家下虽有上万条“被骗”的留言,但充值Q币的交易却是合法的。
一位网络安全技术人员告诉南方周末记者,从技术角度看,个人遭遇信息泄露的场景复杂,难以追溯。这样的诈骗存在定损与取证困难的问题。
“用户可能自己没有意识到被侵害”“同时有些用户被诈骗后由于数额较小无法立案”,腾讯安全反诈骗实验室技术专家傅旭东向南方周末记者补充道。此外,“黑产从业人员远大于安全研究人员”“边缘地带多缺乏相应的法律法规,导致无法进行行为定性”也为用户维权造成一定困难。
同样被骗的张研在网上搜索发现,贝贝网泄露信息导致用户上当受骗的新闻自2016年起持续至2019年。媒体报道中,最严重的是2018年双十一期间,一位二孩妈妈因19元的退款被骗14.6万元,只能整天以泪洗面。
北京观韬中茂(上海)律师事务所合伙人吴丹君认为,依据2017年6月开始实施的网络安全法,电商平台在获取用户个人信息的同时,就有保护个人信息的义务。另外,据《个人信息安全规范》,贝贝网要证明其尽到了安全责任保护义务,明确写到两点:电商平台与第三方共享、转让信息时,要做安全评估,并告知消费者。此外,一旦发生个人信息泄露的安全事件,电商平台应及时告知消费者。
“公司在监管方面的疏漏一般是造成数据泄露以及后果扩散的最主要的原因,诸多中小公司为了削减预算等,可能会对数据保护问题投放非常少的精力。”北京师范大学副教授、联合国网络安全与网络犯罪问题高级顾问吴沈括教授说,在个人信息监管方面,公司作为数据收集者、数据存储者,应当设立数据保存的安全规范以及安全措施,“更为重要的是在数据泄露事故发生后的紧急应对措施也应当予以完善”。
数据风险难以预料
对消费者来说,电商生态链很长,有时难以想象的是,你拿到手机等电子设备以前,风险就已经潜藏。2017年的小米IoT(物联网)安全峰会上,时任小米MIUI安全业务总监李楠介绍其中一环的黑客攻击称,“在拆封之前,你的固件可能已经被攻击了。”这意味着,用户买到的设备包装完好,但固件(即设备安装的系统或软件)很可能已经被调换了。据2015年发布的一项数据显示,23.7%的设备在用户拿到手之前就已经被固件攻击了。
一旦固件被“预攻击”,个人就面临着数据劫持的风险,你的设备会在你不知道的情况下偷偷拍照、录音、定位。对厂商来说,则意味着串货、无理由退货、逃避风控,这背后能撑起一个庞大的灰产链。
“所有对设备可能进行物理接触的环节都有安全风险,流通环节越前端越容易发生这种情况。”李楠在峰会上介绍,“预攻击”的问题与很多经销商私下里允许攻击者提前接触设备有关,每台设备只收取1-3元,但是由于经销商手中货物周转极快,每年一千万台设备就意味着几千万的无本收益,因此部分经销商乐此不疲。
“只要抓住几个罪犯,其他人往往就望风而逃,整个灰产链就断了。”李楠说,商家企业要做全方位的防护,受害者最好的应对方式还是法律手段。破坏计算机信息系统罪和民法条例都适用于上述情况,攻击二十台设备就可判刑五年以上。
腾讯安全发布的《2018上半年互联网黑产研究报告》(以下简称“黑产报告”)提到,供应链的厂商也在知情或不知情的情况下成为黑产团伙的保护伞。
对消费者来说,现在很常见的威胁在于手机APP藏有包含恶意功能的SDK(软件开发工具包),大量的恶意应用潜伏一年甚至数年才被新技术手段发现。
另一种熟悉的场景是骚扰广告,消费者对其也更具忍耐度。
“我前段时间在手机浏览器搜了‘保持器’,因为我快摘牙套了。当天晚上我就在微博看到关于保持器的微博推送。”在“大侠阿木”发布的京东金融相关视频下,有网友这样留言。
网络安全技术人员“肉肉”分析,上述场景应有多种可能的原因。目前合法的是互联网厂商向用户声明并得到授权后,对用户的信息进行分析,形成用户画像,进行广告推送。
“但未经用户允许私自使用用户信息,甚至出售是绝对不合法的,市面上这种专门通过‘偷信息’变现的APP也是存在的”。杨卿介绍。
“偷信息”的方式之一是使用工具包进行信息爬取,爬取信息的一方可能是运营商、输入法,或是手机里下载的诸多不安全的软件。
作为古老的互联网黑产——暗扣话费即是利用小游戏扩散。据腾讯安全反诈骗实验室数据显示,每天互联网上约新增2750个新病毒变种,伪装成各种打色情擦边球的游戏、聊天交友等应用诱导用户下载安装。
“黑产报告”以“九大家族控制数百万广告流量牟取暴利”为小标题,指出某些内置于各类应用中的恶意广告联盟,主要通过恶意推送广告进行流量变现的形式来牟利,平均每天新增广告病毒变种257个,影响大约676万的巨大用户群。
这些恶意广告联盟推送的广告,内容更加无底线,在某些时候突然推送出色情擦边球应用、博彩甚至手机病毒也不足为奇。
杨卿建议大家在APP官方及知名可靠的应用商店下载安装,但“用户的信息泄露渠道不单单只是用户自己的手机、电脑等终端”,杨卿介绍,存在云端的信息也有泄露风险。运营商、互联网服务提供商等环境出现的系统漏洞、网络入侵,甚至人为因素等引发的安全事故,这些都会导致用户存在云端的信息数据遭到泄露及被恶意滥用。
对抗个人信息泄露
自网络安全法2017年6月1日实施至今,各地已有数例网友选择与手机APP开发商死磕案例。
2018年6月,住在辽宁的刘硕(化名)忽然注意到他所下载的53版“开心消消乐”游戏,在未向他进行任何告知、询问的情况下,开启了全部应用权限,包括“存储”“位置”“电话”“相机”“短信”“通讯录”等。刘硕觉得这些权限都与游戏本身的使用体验无关,严重违反网络安全法关于收集个人信息“必要、合理”的原则。他要求运营方向他赔礼道歉,并且支付精神损失赔偿金1元。
2017年,南京市消费者向江苏省消费者权益保护会投诉“手机百度”“百度浏览器”两款手机APP在用户安装前未告知用户所获取的各种权限及获取信息的目的、方式、范围,未取得用户同意就获取了诸如“访问电话状态、定位、访问联系人通讯录信息、读取短信内容、接收短信”等各种权限,并利用上述权限违法获取用户个人信息。江苏消协数次约谈百度后,于2018年提起消费民事公益诉讼。
作为“白帽黑客”(用自己的黑客技术来维护网络关系公平正义的黑客),现在“肉肉”对个人信息变得极为敏感。填写快递信息,她写的是匿名;电话用的是阿里小号;能收集很多信息的心理测试、抽奖活动,她更是碰都不碰。
肉肉的家里几乎不用智能家电,除非是刚需。她给路由器设置的是高强度密码,一旦有漏洞还会积极更新。她不会使用Wi-Fi万能钥匙这类APP,出门不联Wi-Fi。她说,钓鱼Wi-Fi已是数据黑客攻击的常见路径,尤其是针对个人的入侵,但是许多人并不在意。
“管好钱袋子,不在陌生的平台绑定银行卡、填写银行卡、短信验证码、身份证等个人隐私信息;管好应用,使用网页或者小程序等,取代不重要的APP;管好个人密码,根据重要性不同给应用账户设置不同的账户密码。”傅旭东建议。
面对个人隐私泄露问题,国际的主流观点是坚持数据最小化原则,即追求服务的最小化,功能的最小化,权限的最小化。但很多学者也认为,在大数据、人工智能时代,面对人工智能的发展,应该通过伦理、法律的力量加以驯化。
(应受访者要求,文中李莉、范文、张研、刘硕为化名,南方周末记者;刘怡仙;南方周末实习生张问之对本文亦有贡献)
(编辑:吴桂兴)