今年的 315 晚會揭露了許多亂象,香精大米、腐爛橄榄菜、苦情戲詐騙直播、網絡水軍等等。
其中有不少陳年爛芝麻的舊事重提,2010 年 315 報道過的香精大米,去年 315 剛曝光的網絡水軍。
也有吓出哔哥一身冷汗,與咱們息息相關的事情" 破解版 APP 竊取手機信息 "。
安卓陣營的小夥伴,有誰敢拍胸脯保證自己從未接觸過破解版、修改版 APP?未安裝過非官方渠道,來路不明的 APP?
恐怕十個人中未必揪出一個這樣的三好學生,畢竟破解版真香。
免費看付費電影、免費聽會員音樂、不限速下載網盤資源……這樣良心的 APP,全天下哪裏找。
它們的出現,一年讓白嫖黨省下幾百上千塊的會員費,誰頂得住如此的勾引啊。
(圖源魔獸世界電影)
古爾丹告訴我們:享受了便利,必須付出代價。
315 信息安全試驗技術人員對十多款主流的 APP 破解版進行檢測,發現它們會悄悄偷走個人信息。
比如這款優酷破解版,對比官方正版,它可以免費看會員視頻,卻額外嵌入 3 個 SDK。
(圖源央視)
咱們一旦使用 APP,3 個 SDK 就能偷走手機信息,如 IMEI(手機身份證)、安卓 ID(系統身份證)、IMSI(sim 卡身份證)。
有了這幾張身份證,不管換手機、換号碼,幕後黑手都能精準鎖定咱們,實時追蹤動态,從中尋找變現的機會。
如果你授予了錄音、相機、短信等敏感權限,它們将會變身爲監視器。
監控咱們的生活、通話錄音、短信記錄等,所有隐私暴露無遺。
你點開過什麽、看過什麽、跟誰聯系過、在哪個界面停留多長時間,APP 比你自己都清楚。
APP 從手機裏偷走的信息,會用來幹什麽?對我們有什麽壞處?
首先,收集到的信息會上傳到服務器,進行統一的洗練和彙總,然後匹配其他渠道獲得的資料,描繪詳細的用戶畫像。
畫像可以具體到,你叫什麽名字、住在哪裏、用着什麽手機、看過什麽視頻、手機号碼多少、學曆層次、喜好、現在在哪裏(手機定位),對你的認知比你爸媽都深刻。
(圖源發表情)
吃相好些呢,一般收集來的用戶畫像,用于大數據廣告投放或者精準營銷。
因此時常出現剛在某 APP 搜索某産品,打開淘寶發現全是該商品推薦信息的詭異現象。
時不時接到推銷電話,客服準确地說出你的姓名、年齡,最近準備買房子的信息。
如果是犯罪份子,則大多用于實施詐騙,發送詐騙短信唬你登錄山寨網站轉移存款。
又或者出售給黑灰産從業者,爲境外詐騙團夥提供重要的線索和資料。
這就是許多人時不時收到亂七八糟的短信、推銷電話、恐吓信息的原因。
(圖源 CSDN)
千萬别天真以爲,隻要我不碰破解版、修改版 APP 就沒事了。
竊取隐私的不止是盜版 APP,許多獲得數字簽名上架應用商店的正版 APP,在偷信息方面不遑多讓。
考慮到小夥伴不知道 SDK 是什麽玩意,此處哔哥簡單科普下。
如果把 APP 比喻成一台電腦,那麽 SDK 就是耳機、音箱等配件,可以賦予電腦某種能力。
主流 APP 一般嵌入大量的 SDK,借此免去開發成本實現某些功能,例如支付、第三方登錄、行爲分析、信息收集、廣告推送,路徑追蹤等。
按照功能區分,SDK 可以分成:消息推送類(廣告推送)、綜合類、輔助開發類、支付類等十幾個大類,其中消息推送類最爲常見。
部分 SDK 默認收集個人信息,除了上面提到獲取 IMEI 外,還會監視用戶行爲,記錄你看過什麽内容,竊取聯系人、通話記錄等。
(圖源網絡)
由于安卓開放的特性,國内寬松的隐私保護環境、缺少谷歌約束等因素。
許多違規 SDK 得以光明正大的嵌入到主流 APP 中,明目張膽的搜羅用戶信息。
央視年年曝光這些正版 APP,通過第三方 SKD 收集超出正常範圍的個人信息。
其中不乏家喻戶曉的知名 APP,全國聞名的互聯網大廠、上市公司等。
最誇張的一次發生在 2020 年。
上海公安局網安總隊對應用商店的 5000 款 App 開展檢查,最終檢測出具有安全隐患的 APP 多達 3400 款。
70%APP 存在違規收集信息、索要敏感權限的問題,其中涉嫌詐騙的違法 APP 有 233 款。
測試人員捕捉到這些 APP 竊取通訊錄聯系人信息并上傳服務器的行爲,嚴重侵害了隐私權。
許多 APP 的用戶協議中,白紙黑字寫明:它們會收集、共享、轉讓、公開我們的個人信息。
明明白白告訴你,我就是要拿你的信息,不僅自己用,還賣給其他人一起用。
怎麽滴?你不同意協議?你敢點不同意,APP 就敢閃退。
據中消協發布的《App 個人信息洩露情況調查報告》,APP 最常收集的信息依次排序爲:
位置、聯系人、通話記錄、短信記錄、攝像頭、通話錄音。
其中位置信息洩露達 86%,聯系人洩露 62%,從數據上看,每個人或多或少被 APP 偷走隐私。
小夥伴認爲,使用正版 APP 的人多?還是使用盜版 APP 的人多?答案顯而易見。
論偷取個人信息,應用商店某些正版 APP 比盜版 APP 猖獗百倍。
(圖源中消協)
雖講 APP 偷數據的行爲相當普遍,達到泛濫的程度。
但大夥不必爲此驚慌害怕,近幾年上到有關部門下至手機廠商,都在發力保護個人隐私數據安全,推出了強而有力的政策、立竿見影的技術。
隐私洩露的情況對比前幾年,得到了極大的改善。
法規方面,爲打擊 APP 的濫用 SKD,搜取個人信息,守護個人權益。
有關部門出台了《App 違法違規收集個人信息行爲認定方法》、《個人信息保護認證實施規則》、《中華人民共和國個人信息保護法》等法規。
對個人信息的收集、使用、處理有了明确的規範,有法可依,違法必究。
(圖源人大網)
系統層面,安卓 10、iOS 5 之後開始限制 APP 獲取 IMEI、MAC、安卓 ID 等識别碼。
依靠【通話權限】獲取系統返還 IMEI 的漏洞也徹底修複,APP 隻會得到空白信息。
APP 早已無法直接從系統中竊取手機識别碼,追蹤用戶。
現在廣告商主要依靠 OAID(虛拟版 IMEI)追蹤用戶精準投放廣告。
OAID 是移動安全聯盟(中國信通院、華米 OV 等手機商聯合成立)推出的特殊 ID,起到保護用戶信息及方便廣告渠道商的作用。
(圖源移動安全聯盟)
手機廠商方面,小米推出空白通行證,vivo 研發千鏡安全架構,華爲上線 AI 隐私保護功能。
各大廠商各顯神通,亮出自家獨門的隐私保護方案,力求用戶信息安穩無患。
各方的努力構築起隐私的城牆,隻要自己不作死,APP 很難偷走我們的信息。
(圖源小米)
另外哔哥給 3 點建議,幫助大家更好地保護個人信息。
1. 不要安裝第三方 APP、破解版 APP,優先安裝谷歌應用商店的 APP(谷歌審核嚴格,跟蘋果有的一拼);
2. 假如你忍不住要裝破解版 APP,不要給任何權限;
3. 禁止一切 APP 獲取敏感權限,通話權限、短信權限、錄音權限、通話記錄等;
4. 盡可能使用最新版的系統,防護等級更高;
5. 隐私保護大招:把手機換成 iPhone;
隻要你做到第 5 點,随便浪随便嗨,iOS 會替你處理一切。
如果你像哔哥一樣在用安卓,那麽請乖乖地執行前 4 點。
沒辦法,這就是開放的代價。