Google作恶!99.9%的Android手机App都在窃取隐私

据外媒今日报道,Google正利用Android设备和iPhone上的许多旗下服务追踪用户活动,并存储他们的位置数据——即使用户关闭了相关设置,许多Google应用程序也会自动存储有时间戳的位置数据,而无需询问用户。此举直接涉及了数十亿智能手机用户,而这种“流氓做法”今天再一次地把隐私话题推到了公众面前。目前通过移动互联网泄露隐私的渠道主要有:手机 App、公共 WiFi、旧手机、企业数据。手机 App 各项功能的实现需要调用手机操作系统提供的相应权限,如导航功能需要调用“获取位置信息”权限,拍照、扫描二维码等功能需要调用“打开摄像头”权限,发送语音功能需要调用“使用话筒录音”权限。然而,现实中,一部分开发者在申请获取手机权限时会“得寸进尺”,甚至个别移动开发者为追求短期利益,存在售卖用户隐私信息的行为,造成了大量用户隐私信息泄露。

Google作恶!99.9%的Android手机App都在窃取隐私

《网络安全法》实施的第二年,成效初显,却也危机四伏。仅近半年,就有大量的App 们,以前仆后继的英勇姿态在隐私安全的危险边缘疯狂试探。

1月,12306因强制用户授权信息而被推上了风口浪尖,只有用户同意App获取用户的位置信息、相机相册、文件存储和电话等个人信息才能订票。3月,WiFi万能钥匙被央视财经《经济半小时》栏目爆出窃取了9亿用户隐私,包括用户手机号码、WiFi密码、IP地址、子网掩码、路由器、甚至关联的银行卡及密码等,用于营销推广,谋取暴利。6月,漫天刷屏的足迹地图引发全民贴图狂潮,仅6月1日当天页面访问次数就突破了1000万,在满足了用户攀比心理的同时也轻易获取了大量隐私数据。7月,QQ浏览器、百度手机输入法相继中招,涉嫌私自调动摄像头、自动录音等侵权手段......

可以看出来,国内用户的隐私信息似乎十分“廉价”,不胜枚举的App们只是再次佐证了这一点罢了。而且国内尚且如此,国外似乎也不遑多让。

今年3月,Facebook毫无征兆地爆发了波及甚广的“数据泄露门”,震惊了整个技术圈,5000万用户信息被窃取用于建立模型和影响选民投票,最终以扎克伯克登报致歉并接受公开质询作结,过了近半年至今还仍有余波。

但是从个人数据收集的角度来讲,另一科技巨头Google的做法似乎更为严重——据外媒今日报道,Google正利用Android设备和iPhone上的许多旗下服务追踪用户活动,并存储他们的位置数据——即使用户关闭了相关设置,许多Google应用程序也会自动存储有时间戳的位置数据,而无需询问用户。此举直接涉及了数十亿智能手机用户,而这种“流氓做法”今天再一次地把隐私话题推到了公众面前。

Google作恶!99.9%的Android手机App都在窃取隐私

但是对比国内,国外的用户、市场抑或是政府对隐私暴露的容忍度似乎都更低一些。无论是欧盟出台的GDPR隐私法规、Twitter上掀起的删除Facebook舆论活动、还是Google此前的军事化项目妥协等等,一系列的“反抗”都彰显了国外人民对于隐私的“不妥协”。那么对于身处信息爆炸时代的国人们,是不是该把隐私保护再次提上日程了?

《网络安全法》的推出是一剂良药,但在立法立规尚不十分完善的情况下,也许用户的随手“同意”,就暴露了所有的隐私数据,无意间为“数据灰黑产”贡献了一份力量——所以,隐私保护意识的提升实属迫在眉睫。

近日,腾讯社会研究中心联合DCCI互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告》也披露了严峻的应用隐私市场现状。

报告表示,近两年来中国的移动互联网在快速发展中,2017年全国数字经济规模达到了 27.2万亿,占GDP总量的32.9%。但与此同时,隐私泄露、网络诈骗等也愈加泛滥,网络安全问题时有发生。然而,网民在互联网信息保卫战中始终处于弱势地位,网民个体的防御意识也十分薄弱。

为此,这份报告基于869个Android手机App以及275个iOS手机App进行了隐私安全评测,全面剖析了移动开发者获取用户手机隐私权限的情况。

Android手机App评测的隐私权限包括:6项核心隐私权限(获取位置信息、读取手机号、读取短信记录、读取彩信记录、读取联系人、读取通话记录);5项重要隐私权限(打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话);4项普通隐私权限(打开WiFi开关、打开蓝牙开关、获取设备信息等、打开数据网络)。

iOS手机App评测的隐私权限包括:定位服务、通讯录、日历、提醒事项、照片、蓝牙共享、麦克风、语音识别、相机、健康、Homekit、媒体与APP、运动与健康等共13项。

Google作恶!99.9%的Android手机App都在窃取隐私

一、7.53亿手机网民遭遇隐私泄露的威胁

截止2017年12月,中国手机网民规模达7.53亿。移动开发者可以利用大数据挖掘这些信息更好地为用户服务,而有些不法分子却趁机利用这些信息来发送垃圾短信、打骚扰电话、窃取手机资费等,甚至发生诈骗勒索事件。

目前通过移动互联网泄露隐私的渠道主要有:手机App、公共WiFi、旧手机、企业数据。

手机App各项功能的实现需要调用手机操作系统提供的相应权限,如导航功能需要调用“获取位置信息”权限,拍照、扫描二维码等功能需要调用“打开摄像头”权限,发送语音功能需要调用“使用话筒录音”权限。然而,现实中,一部分开发者在申请获取手机权限时会“得寸进尺”,甚至个别移动开发者为追求短期利益,存在售卖用户隐私信息的行为,造成了大量用户隐私信息泄露。

如果接入不安全的公共WiFi,用户的隐私信息也会被不法分子获取。通过公共WiFi获取用户隐私信息的方式主要有以下三种:恶意架设WiFi,通过直接抓取数据包、修改DNS地址、或者向手机植入木马等方式获取用户信息;流量劫持,利用公共WiFi的漏洞进行攻击,如推送恶意广告、诱导用户进入钓鱼网站等;通过手机验证码获取用户手机号,这是最为常见的一类免费WiFi的服务形式。

旧手机处理不当,同样会导致隐私被盗取。如果旧手机通过二手市场或回收环节落入不法分子手中,一旦对方通过技术手段对信息加以恢复了,手机原主人的照片、视频等隐私信息都会被曝光,短信、通讯录、微信、QQ的信息会被用来诈骗,银行卡、信用卡或第三方支付会被盗刷等。

企业大数据也成了黑客攻击的主要目标。随着互联网的发展和市场竞争的加剧,用户数据的价值也越来越高。不法分子会利用黑客技术非法攻击、盗取企业大量数据,并逐渐形成了一条从数据盗取、售卖、到数据利用的完整产业链条。例如最近的A站数据泄漏事件:黑客攻击并盗取了A站近千万用户数据后,这部分数据竟然被明码标价放在暗网上售卖。

二、99.9%的Android端手机App都会获取隐私权限

Android6.0操作系统推出以前,Android系统中虽然有应用通知管理功能,但更为深入的应用权限管理只能依靠第三方App实现。6.0版本以上的Android系统进一步强化了应用权限管理,应用权限管理也成为系统级功能,用户可以方便地自主决定授予App哪些隐私权限。

但是,即便是否授权App相关权限掌握在用户自己手中,手机隐私泄露风险依然存在。App获取隐私权限的用途信息不对称,造成用户始终处于弱势地位,普通用户根本难以判断 App获取相应隐私权限的目的。

评测发现,2018年上半年Android端获取隐私权限的手机App占比相较于2017年下半年提高了1.4%,达到99.9%,未获取隐私权限的手机App仅占0.1%——几乎所有的 Android端手机App都会获取隐私权限。

Google作恶!99.9%的Android手机App都在窃取隐私

2018年上半年,在获取隐私权限的App类型分布中,网络游戏和常用工具仍是占比最大的两类应用,分别达到24.8%和12.7%。相比2017年下半年,网络游戏类App占比进一步提高,常用工具类App占比继续缩小。

另外,2018年上半年,随着人们理财观念和消费观念的进一步提升,生活购物类和投资理财类App占比明显增大,相比2017年下半年,生活购物类App占比由7.6%增加到了 11.2%,投资理财类由9.1%增加到10%。这一现象与近年移动开发热点向生活购物、投资理财等领域转移有着直接关系。

Google作恶!99.9%的Android手机App都在窃取隐私

此外,在所评测的三类隐私权限中,Android端手机App对部分核心隐私权限和重要隐私权限的获取比例大幅提高,它们分别是属于核心隐私权限的“读取联系人”权限,属于重要隐私权限的“打开摄像头”和“使用话筒录音”权限。

Google作恶!99.9%的Android手机App都在窃取隐私

三、iOS端获取手机隐私权限的App仅一年增加了24.5%

iOS操作系统的口碑一向比较好,但也不是绝对安全。在2017年10月的GeekPwn国际安全极客大赛上,一名中国选手现场演示了自己发现的iOS11系统最新漏洞。在演示中,用户打开黑客提供的伪装连接后,黑客就能获得iPhone8的最高权限,可盗用户手机内的隐私、自由安装App等。

调查发现,iOS端获取手机隐私权限的App比例正在呈现上升趋势,2018年上半年iOS 端获取手机隐私权限的App比例已达到93.8%。仅仅时隔一年左右,iOS端获取手机隐私权限的 App比例增加了24.5%。

Google作恶!99.9%的Android手机App都在窃取隐私

据评测发现,iOS端获取手机隐私权限的App中,常用工具类、生活购物类和影音娱乐类 App占比最大,分别占15.1%、14.7%和11.2%。

Google作恶!99.9%的Android手机App都在窃取隐私

此外,报告通过针对iOS端不同类型App获取隐私权限的情况分析发现,除通讯社区类 App,其他类型的App获取隐私权限的比例都在80%以上。其中,图像美化类App获取隐私权限比例最高,达100%;网络游戏类App获取隐私权限比例增幅最大,由2017年下半年的 43.1%增长到了2018年上半年的88.9%,增幅达45.8%。

Google作恶!99.9%的Android手机App都在窃取隐私

为了确保隐私安全,对于iOS用户来说,一方面需要苹果公司及时修复发现的系统漏洞,另一方面用户也需要提高安全意识和能力,尽可能地保护自己的隐私,阻止App越界获取不必要的隐私权限。

四、写在最后

99.9%的Android端手机App,93.8%的iOS端手机App——在这两大系统平分天下的移动端,隐私泄露的问题已经不容小觑。高达九成的比例告诉所有用户,“明哲保身”是不切实际的,“侥幸心理”更不能有,或许下一秒,隐私被滥用的火就会烧到自己身上。

用户作为隐私信息的源头和最终受害者,需要大力加强网络安全意识和知识,了解隐私保护手段。在此,附上手机隐私安全保护指南供大家参考。

手机App使用安全建议:尽量选择官方渠道,不要下载来历不明的山寨App;谨慎授予App权限;观察App流量使用情况,及时检查和删除;不要设置自动登录,密码定期更换;不再使用App时应彻底退出;关闭App自启动功能。

公共WiFi使用安全建议:在公共场所尽量不去使用没有密码的免费WiFi;认真核对WiFi 名,避免接入假冒WiFi;将手机上的WiFi设置为手动连接,避免不经意间连入风险WiFi。

旧手机安全处理建议:手机操作系统执行文件删除时,仅是对文件做了一个“删除”标记,但存储的数据本身依然存在。如未进行新的数据操作,最上层的数据很容易被恢复。所以建议采取以下措施防止旧手机里的信息泄露:把重要数据备份后,多次存取一些无关紧要的内容或者大型文件(如电影),直至将手机的存储空间全部占满;给手机安装一个“文件粉碎机”,进行全盘擦除;将旧手机低价处理或扔掉前,确保隐私信息已经被妥善处理。

最后,希望大家都能做一个“敏感”的网民,对自己的个人信息负起责来。

【本文报告部分摘录整理自《网络隐私安全及网络欺诈行为研究分析报告》,完整报告可点击https://m.qq.com/security_lab/news_detail_473.html。

「赞同、支持、鼓励!」

察网 CWZG.CN

感谢您的支持!
您的打赏将用于网站日常维护费用及作者稿费。
我们会更加努力地创作来回馈您!
如考虑对我们进行捐赠,请点击这里

使用微信扫描二维码完成支付