Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

隐私神经“不敏感”的中国人,还要继续无动于衷吗?

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

《网络安全法》实施的第二年,成效初显,却也危机四伏。仅近半年,就有大量的 App 们,以前仆后继的英勇姿态在隐私安全的危险边缘疯狂试探。

1 月,12306 因强制用户授权信息而被推上了风口浪尖,只有用户同意 App获取用户的位置信息、相机相册、文件存储和电话等个人信息才能订票。3 月,WiFi 万能钥匙被央视财经《经济半小时》栏目爆出窃取了 9 亿用户隐私,包括用户手机号码、WiFi 密码、IP 地址、子网掩码、路由器、甚至关联的银行卡及密码等,用于营销推广,谋取暴利。6 月,漫天刷屏的足迹地图引发全民贴图狂潮,仅 6 月 1 日当天页面访问次数就突破了 1000 万,在满足了用户攀比心理的同时也轻易获取了大量隐私数据。7 月,QQ 浏览器、百度手机输入法相继中招,涉嫌私自调动摄像头、自动录音等侵权手段......

可以看出来,国内用户的隐私信息似乎十分“廉价”,不胜枚举的 App 们只是再次佐证了这一点罢了。而且国内尚且如此,国外似乎也不遑多让。

今年 3 月,Facebook 毫无征兆地爆发了波及甚广的“数据泄露门”,震惊了整个技术圈,5000 万用户信息被窃取用于建立模型和影响选民投票,最终以扎克伯克登报致歉并接受公开质询作结,过了近半年至今还仍有余波。

但是从个人数据收集的角度来讲,另一科技巨头 Google 的做法似乎更为严重——据外媒今日报道,Google 正利用 Android 设备和 iPhone 上的许多旗下服务追踪用户活动,并存储他们的位置数据——即使用户关闭了相关设置,许多 Google 应用程序也会自动存储有时间戳的位置数据,而无需询问用户。此举直接涉及了数十亿智能手机用户,而这种“流氓做法”今天再一次地把隐私话题推到了公众面前。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

但是对比国内,国外的用户、市场抑或是政府对隐私暴露的容忍度似乎都更低一些。无论是欧盟出台的 GDPR 隐私法规、Twitter 上掀起的删除 Facebook 舆论活动、还是 Google 此前的军事化项目妥协等等,一系列的“反抗”都彰显了国外人民对于隐私的“不妥协”。那么对于身处信息爆炸时代的国人们,是不是该把隐私保护再次提上日程了?

《网络安全法》的推出是一剂良药,但在立法立规尚不十分完善的情况下,也许用户的随手“同意”,就暴露了所有的隐私数据,无意间为“数据灰黑产”贡献了一份力量——所以,隐私保护意识的提升实属迫在眉睫。

近日,腾讯社会研究中心联合 DCCI 互联网数据中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告》也披露了严峻的应用隐私市场现状。

报告表示,近两年来中国的移动互联网在快速发展中,2017 年全国数字经济规模达到了 27.2 万亿,占 GDP 总量的 32.9%。但与此同时,隐私泄露、网络诈骗等也愈加泛滥,网络安全问题时有发生。然而,网民在互联网信息保卫战中始终处于弱势地位,网民个体的防御意识也十分薄弱。

为此,这份报告基于 869 个 Android 手机 App 以及 275 个 iOS 手机 App 进行了隐私安全评测,全面剖析了移动开发者获取用户手机隐私权限的情况。

Android 手机 App 评测的隐私权限包括:6 项核心隐私权限(获取位置信息、读取手机号、读取短信记录、读取彩信记录、读取联系人、读取通话记录);5 项重要隐私权限(打开摄像头、使用话筒录音、发送短信、发送彩信、拨打电话);4 项普通隐私权限(打开 WiFi 开关、打开蓝牙开关、获取设备信息等、打开数据网络)。

iOS 手机 App 评测的隐私权限包括:定位服务、通讯录、日历、提醒事项、照片、蓝牙共享、麦克风、语音识别、相机、健康、Homekit、媒体与APP、运动与健康等共 13 项。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

7.53 亿手机网民遭遇隐私泄露的威胁

截止 2017 年 12 月,中国手机网民规模达 7.53 亿。移动开发者可以利用大数据挖掘这些信息更好地为用户服务,而有些不法分子却趁机利用这些信息来发送垃圾短信、打骚扰电话、窃取手机资费等,甚至发生诈骗勒索事件。

目前通过移动互联网泄露隐私的渠道主要有:手机 App、公共 WiFi、旧手机、企业数据。

手机 App 各项功能的实现需要调用手机操作系统提供的相应权限,如导航功能需要调用“获取位置信息”权限,拍照、扫描二维码等功能需要调用“打开摄像头”权限,发送语音功能需要调用“使用话筒录音”权限。然而,现实中,一部分开发者在申请获取手机权限时会“得寸进尺”,甚至个别移动开发者为追求短期利益,存在售卖用户隐私信息的行为,造成了大量用户隐私信息泄露。

如果接入不安全的公共 WiFi,用户的隐私信息也会被不法分子获取。通过公共 WiFi 获取用户隐私信息的方式主要有以下三种:恶意架设 WiFi,通过直接抓取数据包、修改 DNS 地址、或者向手机植入木马等方式获取用户信息;流量劫持,利用公共 WiFi 的漏洞进行攻击,如推送恶意广告、诱导用户进入钓鱼网站等;通过手机验证码获取用户手机号,这是最为常见的一类免费 WiFi 的服务形式。

旧手机处理不当,同样会导致隐私被盗取。如果旧手机通过二手市场或回收环节落入不法分子手中,一旦对方通过技术手段对信息加以恢复了,手机原主人的照片、视频等隐私信息都会被曝光,短信、通讯录、微信、QQ 的信息会被用来诈骗,银行卡、信用卡或第三方支付会被盗刷等。

企业大数据也成了黑客攻击的主要目标。随着互联网的发展和市场竞争的加剧,用户数据的价值也越来越高。不法分子会利用黑客技术非法攻击、盗取企业大量数据,并逐渐形成了一条从数据盗取、售卖、到数据利用的完整产业链条。例如最近的 A 站数据泄漏事件:黑客攻击并盗取了 A 站近千万用户数据后,这部分数据竟然被明码标价放在暗网上售卖。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

99.9% 的 Android 端手机 App 都会获取隐私权限

Android 6.0 操作系统推出以前,Android 系统中虽然有应用通知管理功能,但更为深入的应用权限管理只能依靠第三方 App 实现。6.0 版本以上的 Android 系统进一步强化了应用权限管理,应用权限管理也成为系统级功能,用户可以方便地自主决定授予 App 哪些隐私权限。

但是,即便是否授权 App 相关权限掌握在用户自己手中,手机隐私泄露风险依然存在。App 获取隐私权限的用途信息不对称,造成用户始终处于弱势地位,普通用户根本难以判断 App 获取相应隐私权限的目的。

评测发现,2018 年上半年 Android 端获取隐私权限的手机 App 占比相较于 2017 年下半年提高了 1.4%,达到 99.9%,未获取隐私权限的手机 App 仅占 0.1%——几乎所有的 Android 端手机 App 都会获取隐私权限。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

2018 年上半年,在获取隐私权限的 App 类型分布中,网络游戏和常用工具仍是占比最大的两类应用,分别达到 24.8% 和 12.7%。相比 2017 年下半年,网络游戏类 App 占比进一步提高,常用工具类 App 占比继续缩小。

另外,2018 年上半年,随着人们理财观念和消费观念的进一步提升,生活购物类和投资理财类 App 占比明显增大,相比 2017 年下半年,生活购物类 App 占比由 7.6% 增加到了 11.2%,投资理财类由 9.1% 增加到 10%。这一现象与近年移动开发热点向生活购物、投资理财等领域转移有着直接关系。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

此外,在所评测的三类隐私权限中,Android 端手机 App 对部分核心隐私权限和重要隐私权限的获取比例大幅提高,它们分别是属于核心隐私权限的“读取联系人”权限,属于重要隐私权限的“打开摄像头”和“使用话筒录音”权限。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

iOS 端获取手机隐私权限的 App 仅一年增加了 24.5%

iOS 操作系统的口碑一向比较好,但也不是绝对安全。在 2017 年 10 月的 GeekPwn 国际安全极客大赛上,一名中国选手现场演示了自己发现的 iOS11 系统最新漏洞。在演示中,用户打开黑客提供的伪装连接后,黑客就能获得 iPhone 8 的最高权限,可盗用户手机内的隐私、自由安装 App 等。

调查发现,iOS 端获取手机隐私权限的 App 比例正在呈现上升趋势,2018 年上半年 iOS 端获取手机隐私权限的 App 比例已达到 93.8%。仅仅时隔一年左右,iOS 端获取手机隐私权限的 App 比例增加了 24.5%。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

据评测发现,iOS 端获取手机隐私权限的 App 中,常用工具类、生活购物类和影音娱乐类 App 占比最大,分别占 15.1%、14.7% 和 11.2%。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

此外,报告通过针对 iOS 端不同类型 App 获取隐私权限的情况分析发现,除通讯社区类 App,其他类型的 App 获取隐私权限的比例都在 80% 以上。其中,图像美化类 App 获取隐私权限比例最高,达 100%;网络游戏类 App 获取隐私权限比例增幅最大,由 2017 年下半年的 43.1% 增长到了 2018 年上半年的 88.9%,增幅达 45.8%。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

为了确保隐私安全,对于 iOS 用户来说,一方面需要苹果公司及时修复发现的系统漏洞,另一方面用户也需要提高安全意识和能力,尽可能地保护自己的隐私,阻止 App 越界获取不必要的隐私权限。

Google 作恶!99.9% 的 Android 手机 App 都在窃取隐私

写在最后

99.9% 的 Android 端手机 App,93.8%的 iOS 端手机 App——在这两大系统平分天下的移动端,隐私泄露的问题已经不容小觑。高达九成的比例告诉所有用户,“明哲保身”是不切实际的,“侥幸心理”更不能有,或许下一秒,隐私被滥用的火就会烧到自己身上。

用户作为隐私信息的源头和最终受害者,需要大力加强网络安全意识和知识,了解隐私保护手段。在此,附上手机隐私安全保护指南供大家参考。

手机 App 使用安全建议:尽量选择官方渠道,不要下载来历不明的山寨 App;谨慎授予 App 权限;观察 App 流量使用情况,及时检查和删除;不要设置自动登录,密码定期更换;不再使用 App 时应彻底退出;关闭 App 自启动功能。

公共 WiFi 使用安全建议:在公共场所尽量不去使用没有密码的免费 WiFi;认真核对 WiFi 名,避免接入假冒 WiFi;将手机上的 WiFi 设置为手动连接,避免不经意间连入风险 WiFi。

旧手机安全处理建议:手机操作系统执行文件删除时,仅是对文件做了一个“删除”标记,但存储的数据本身依然存在。如未进行新的数据操作,最上层的数据很容易被恢复。所以建议采取以下措施防止旧手机里的信息泄露:把重要数据备份后,多次存取一些无关紧要的内容或者大型文件(如电影),直至将手机的存储空间全部占满;给手机安装一个“文件粉碎机”,进行全盘擦除;将旧手机低价处理或扔掉前,确保隐私信息已经被妥善处理。

最后,希望大家都能做一个“敏感”的网民,对自己的个人信息负起责来。

本文报告部分摘录整理自《网络隐私安全及网络欺诈行为研究分析报告》,完整报告可点击 https://m.qq.com/security_lab/news_detail_473.html。

“征稿啦”

CSDN 公众号秉持着「与千万技术人共成长」理念,不仅以「极客头条」、「畅言」栏目在第一时间以技术人的独特视角描述技术人关心的行业焦点事件,更有「技术头条」专栏,深度解读行业内的热门技术与场景应用,让所有的开发者紧跟技术潮流,保持警醒的技术嗅觉,对行业趋势、技术有更为全面的认知。

如果你有优质的文章,或是行业热点事件、技术趋势的真知灼见,或是深度的应用实践、场景方案等的新见解,欢迎联系 CSDN 投稿,联系方式:微信(guorui_1118,请备注投稿+姓名+公司职位),邮箱([email protected])。

相关推荐