蘭州大學本科生謝青此前并沒有注意到自己手機上安裝的安卓應用有很多已經默認打鉤同意的條款,直到安裝《鱷魚小頑皮愛洗澡》時,軟件提示他必須允許該軟件“讀取通訊錄、日志”、“修改/刪除SD卡、USB儲存內容”,甚至“讀取手機狀態和ID”……而游戲“水果忍者”——這款只需要劃劃手指頭的游戲則要求讀取他手機中的“大概位置(基于網絡)或精確(GPS)位置”。
這些選項已經默認同意,沒有更改的可能,謝青要么接受條款要么放棄游戲。謝青很快就點擊了“同意”——他不知道的是,此后這些應用可以肆意掃描并把他手機內相關信息上傳到互聯網云服務器上,這就是“讀取”的含義。
如果說陳冠希還知道自己隱私照片是從送去維修的硬盤泄露的,那么將來當“謝青們”的隱私照片出現在網上時,他很可能都不知道從哪里流出去的。盡管那樣他還是幸運的,更不幸的是,他根本不知道自己的隱私照片在互聯網上被轉來轉去。
這并不是人們唯一需要擔心的事。
智能手機能告訴別人你的位置,跟誰通了電話,發了短信,你的手機出廠號碼是多少,玩什么游戲,幾點玩游戲,幾點出現在辦公室周圍,是否喜歡吃川菜,搜索過什么新聞,看過什么網站……而通過你泄露的這些信息,就能判定你是不是高富帥,你的收入水平,你是否在家——如果單身的你剛剛在遙遠的新疆某個飯館“簽到”的話,基本就可以斷定是否現在適合到家中“拜訪”。
你的這些龐雜信息正在被手機里的眾多APP應用上傳到無數服務器上,這些APP的擁有者、應用商店以及一些手機制造商,都在成為這個鏈條上的參與者,他們的提醒隱晦,措辭模糊,你不知道他們拿這些信息做什么用途,也不知道他們的公司可能只有幾個工程師,根本無力保護你的這些信息的安全。
免費服務附帶有“要約”性質的默認條款未嘗不可,作為開發新功能或者尋找盈利模式的數據挖掘也無可厚非,但這些大小公司至少要在那些“萬能的協議”中也相應承諾用戶數據不能用于出售或被泄露——但現在,距離出臺能夠保護用戶個人隱私的有力措施還遙遙無期。
模糊的告知脆弱的保護
奇虎360公司副總裁李濤稱,手機隱私泄露的重災區是手機號碼、通訊錄、位置、短信和軟件安裝情況。騰訊無線一位內部人士也指出,大多數人并不知道“讀取手機狀態”是允許該軟件能夠看到手機中的基礎信息,例如使用的運營商網絡以及手機底層裝了哪些軟件。
而“讀取手機ID”則意味著上傳手機中唯一的標識碼——IMEI(In-ternationalMobileEquipmentIden-tity,全球每臺手機都用擁有的,絕不重復的標識碼),標識碼可用來對移動式設備進行身份識別和跟蹤。標識碼通常用來做一些APP應用在渠道推廣上的結算。如果你使用的是蘋果手機,那么用來付費的蘋果賬號甚至密碼也可能被掃描到。“檢索正在運行的應用程序”涉及這些APP的使用數量。“這款應用有多少用戶,有多少下載量,無論是自己的還是別人的數據都很值錢,自己的數據可以拿給風投看用來談融資,別人的數據可以出售。”該騰訊無線內部人士指出。
在本報綜合各家應用商店中40款最常用 APP的測試中,97.44%的軟件要求讀取“讀取手機狀態和ID”。要求用戶必須允許該應用獲取“大概位置(基于網絡),精確(GPS)位置”的占69.23%。
直屬于工信部的中國軟件評測中心在2012年3月曾做過一份《安卓手機軟件個人信息安全評測報告》。中國軟件評測中心副主任劉陶對《經濟觀察報》表示,所有泄露的個人信息類型中,IMEI號泄露行為最為嚴重,手機號碼次之,其他依次為地理位置和SIM卡序列號,說明IMEI號和手機號碼是“個人信息獲取方”所關注的主要內容,且大多數軟件在對外發送個人信息時并沒有給用戶相應提示。
當然,并不是說APP應用不能讀取跟自身功能弱相關的信息數據,只是這個讀取行為是否不應該是默認必須接受的?用戶能否有選擇?且各家公司只有安裝前的告知,并沒有對用戶講清數據用途以及如何保護這些個人隱私信息。
其實,用戶并不都拒絕用自己允許的個人信息作為對免費游戲的回報,APP應用方收集、分析及使用這些信息都沒有問題,關鍵的問題是如何讓用戶放心——這些數據不會被泄露出去,尤其是泄露給不認識的第三方……甚至第N方。
被糊弄的小白
在“關于個人信息的用途及保護措施”等問題上,這些APP應用客服的回答相當令人失望。
一類回答是“功能強加型”。美麗說的客服會說該公司“需要”讀取通訊錄是因為要看你的哪些好友也在用美麗說,且“安卓手機上的應用都是這樣的!如果要給用戶提供這個功能的話,得一開始就授權,不能像蘋果那樣,用的時候才授權。”并且無辜地表示“這也是沒有辦法的!”
另一類客服的回答是“毫無邏輯型”。例如要求調取用戶地址信息的91桌面,其客服稱:91桌面使用用戶地理位置信息是為了使推薦的壁紙和應用程序更符合用戶需求——難道桌面壁紙跟位置相關?而對于數據安全,91的客服干脆以“不會非法讀取用戶數據,至于泄露等問題,我這里就沒法兒回答了”推辭。
還有一類是“敷衍型”。美圖秀秀10032客服面對為什么“讀取聯系人數據,讀取敏感記錄數據”及地理位置信息時稱,“肯定是為了讓程序正常使用,會按照用戶協議中應該遵守的義務來保護數據,防止外泄。”
高德地圖的工作人員對“調取短信”功能模塊的解釋是“會向技術部門反映,但現在還沒有這樣的措施,高德軟件是正規的,不會竊取您的個人信息。”,而在怎樣保護用戶信息不被泄露上,高德的回答只能是“這個就是互相信任”。
陌陌也屬于這種情況,該公司公關經理文亞娟在如何處理用戶信息上顯得很有信心,表示該公司用戶數據在服務器上的讀取和保存是有加密處理的。“而用戶在使用其產品過程中產生的照片、錄音和視頻,陌陌會有階段性的備份,也使用加密存儲。”
上述公司是本次調查采訪過程中很小的一部分,對大部分公司的答案就更加模糊,甚至有的拒絕回答這樣的問題。大多數應用APP廠商并不會特別提醒你,他們的公司其實也就幾十人或者上百人,服務器也是托管在別的IDC機房里,由于還沒盈利,目前其實根本沒有什么精力去為保護這些數據做過多投入。
你隱私很值錢
用戶信息合理的用途是軟件功能的繼續開發,例如獲取地理位置信息可以用于定位導航,而獲取用戶照片則可以用于設置頭像等,但其更大“價值”在于商業化。
推薦閱讀
智能手機的內部長滿了窺視的眼睛。 昨日,DCCI互聯網數據中心發布了 《2013移動隱私安全評測報告》。報告顯示,66.9%的智能手機移動應用在抓取用戶隱私數據,而其中高達34.5%的移動應用有“隱私越軌”行為。 有業內人>>>詳細閱讀
地址:http://www.sdlzkt.com/a/11/20130314/262804.html
網友點評
精彩導讀
科技快報
品牌展示