十几分钟访问数据两万余次部分APP组团“偷窥”隐私

十几分钟访问数据两万余次自己窃取数据还不够 部分APP竟组团“偷窥”

在尝试关闭软件读取权限的时候,经常有用户会发现部分APP会强制要求授权,否则无法继续使用,而打开权限后,你就会发现,手机越来越能读懂你的心——拿着到手的新包来一张自拍,打开购物网站就会出现相关产品推送;正在APP中浏览一款最新车型,销售人员就打来咨询电话……

为保障个人信息安全,有关部门展开了一系列整治市场乱象的行动。2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局4部门,在全国范围内联合组织开展了APP违法违规收集使用个人信息专项治理活动,并成立APP违法违规收集使用个人信息专项治理工作组。工作组根据收到的万余条网民举报信息,统计出前五大典型问题分别为:超范围收集与功能无关的个人信息、强制或频繁索要无关权限、存在不合理免责条款、无法注销账号、默认捆绑功能并一揽子同意。

联合国人权理事会特别机制人权事务官员 凯莉·奥巴宁:民粹主义政权正在利用人民对这一流行病的焦虑,加倍贬低或者妖魔化一些种族、民族和宗教群体。这场疫情让我们认识到,仇外行为和种族主义将危害国际社会的稳定与繁荣,同时各国多边合作进展也受到影响。这场疫情是对全社会的一次重大考验,各国应致力于实现所有人的种族平等和非歧视。

软件“偷窥癖”该如何防治

闫怀志解读,手机APP违法违规收集个人信息或是窃取用户信息,主要途径有以下两种:第一种是未明确告知而收集信息,例如有些APP在收集信息之前未予明示,有的干脆玩起文字游戏诱导用户同意;第二种是未以清晰权限限定收集的目的、方式及范围,比如通过正常渠道收集了用户信息,但是却超范围使用,给用户隐私和利益带来潜在风险和危害。

目前,我国已明确将数据纳入生产要素,很多APP过度收集隐私,就是为了商业目的。那么,频繁访问用户信息,究竟是作何用途?不同软件可彼此唤醒,共同窥探用户隐私,是否意味着开发商彼此之间存在利益交换?

香港民政事务局局长徐英伟表示,下一阶段会重开更多设施,例如图书馆、自修室、博物馆及表演场地,料下周重开,香港康乐及文化事务署稍后公布细节。至于太空馆及科学馆,由于入场者会接触到场内设施,风险较高,则暂未有重开时间表。

“需要注意的是,用户信息具有特殊重要价值,为了提升注册量、共享用户有用数据,有些APP开发商之间会进行用户信息交换,这种操作的前提自然是利益。”闫怀志强调。

本次会议是中国人权研究会“全球疫情防控与人权保障”系列国际研讨会的第七场会议。与会专家认为,种族主义和种族歧视问题根深蒂固,新冠肺炎疫情使得特定族群的处境进一步恶化,为有效应对种族主义带来的新挑战,各国需要采取措施予以积极应对。

通常来说,用户信息应该遵循“收所必需、用所必需”的基本准则,也就是说,所收集的信息应该是完成用户某项业务所必需的信息,而且这些信息应该在该业务范围内被正当使用。

闫怀志解释道,从技术上来看,APP频繁访问用户信息有的是确因业务需要,比如导航路径规划,自然需要了解用户的实时位置;健康监测业务,可能会需要随时获取用户的运动数据信息。获取用户个人信息后,软件运营商会通过数据分析,对用户的活动范围、消费能力等进行标定,从而进行更为精准的广告投放或其他营销行为。

为此,闫怀志建议,作为用户,最重要的是提高安全意识和隐私保护理念。比如在安装APP时,应仔细阅读其数据收集请求,根据个人情况来选择是否提供。而且在提供信息的时候,要遵循“供所必需”的原则,不提供超出业务需求之外的信息。其次是注意采用适当的技术检测手段,通过APP监测工具来发现哪些APP偷偷在后台频繁运行。若出现隐私数据被恶意收集或滥用的情况,要及时保存证据,向有关部门举报维权。

表面买薯条,暗拿“全家桶”

北京理工大学计算机网络及对抗技术研究所所长闫怀志接受科技日报记者采访时表示,APP窃取用户信息,通常是通过对手机的“正常”操作而非攻击手段实现的。广义来讲,用户的数据处理、APP操作行为均需获得手机自带的操作系统支持。“而操作系统会在不同层面设置各种权限等安全机制,防止用户信息被恶意读取或滥用。但如果APP获得了某种权限,就可以轻松读取该权限项下的所有信息。”他说。

“需要注意的是,APP窃取信息与黑客窃取用户信息导致大量信息泄露,这是两个性质不同的事件。一款正规上架的APP软件,在用户不知情的情况下或超出用户授权的情况下来获取用户信息,在手机上的操作不必利用任何攻击手段来实现,即便系统没有漏洞,APP依然可以获取用户信息。”闫怀志说。

香港商务及经济发展局局长邱腾华9月8日透露,若疫情进一步受控,期望9月18日起可以重开主题公园和会展的展览,并同时撤销对主题公园及会展的社交距离限制措施。他指出,主题公园重开前会做好防疫措施,例如入场者要预约、适时清洁消毒等,认为有条件重开。

据了解,一般来说,用户信息可分为两类,一类是准静态信息,比如用户姓名、年龄、住址等,通常不会频繁变更,APP采集一次即可一劳永逸。另一类是动态信息,比如用户的位置、移动支付情况、个人健康状态等信息,经常或随时处于变化之中。动态信息就需要APP频繁访问方可获取。

近期,APP违法违规收集使用个人信息专项治理工作组发布了《APP违法违规收集使用个人信息专项治理报告(2019)》,该报告显示,有的APP在过度收集个人信息时使用加密数据包,有的APP对测试环境进行识别以规避检测工具发现其异常传输行为,还有的APP绕过移动设备操作系统权限控制机制,采用读取外部存储区方式获取信息。当APP使用上述方式,现有检测手段发现超范围收集个人信息问题和举证的难度会加大不少。因此,需要相关部门进一步加强深度检测技术研究,在后续持续监督的过程中占据主动权,有效震慑违法违规行为。

近年来,关于手机软件“秘密访问”个人信息的事件屡见不鲜。手机软件是如何频繁窃取用户信息的?

对此,闫怀志称,手机APP违法违规收集或窃取个人隐私行为屡禁不止、屡打不绝的本质原因,无非是“利”字当头。“在信息时代和网络空间,个人信息也是一种资产,本身具有一定的价值,更会带来衍生的价值,在某种意义上来说,属于利益链的最前端。谁掌握了用户信息,谁就掌握了用户资源,就能够实现精准推广、精准营销甚至是精准诈骗。因此,APP‘越界’收集用户信息的现象自然就不难理解了。”他说。

与会专家指出,新冠肺炎疫情期间,出于种族动机针对亚裔的暴力事件在一些国家达到了令人震惊的程度。公众人物和政治家在促进种族平等和非种族歧视原则方面发挥着关键作用,然而一些政客将新冠病毒名称与族群和地域相关联,助长了种族主义和仇外心理,是对中国人或其他东亚人后裔的孤立和污名化。专家学者也呼吁国际社会在团结合作抗疫之际,要确保所有工作有助于促进健康和福祉,包括避免种族主义和仇外心理。

然而,很多手机软件依然无视国家法律法规,甚至铤而走险窃取公民隐私用以非法牟利,究竟为何手机APP窃取用户隐私屡禁不止?作为用户,该如何有效保护个人隐私?

中南大学人权研究中心执行主任 毛俊响:一个国家、一个政府,必须要坚持以人民为中心这么一个理念。就是任何时候都要把人民的生命健康放在首位。那么在这个理念之下,一个政府也必须要形成一个强大的治理能力,包括高效率、负责任、服务人民群众这些元素。

据香港“东网”报道,香港食物及卫生局局长陈肇始9月8日公布,9月11日放宽食肆堂食至4人一台,但餐桌之间仍要保持距离等限制不变;其余表列处所,包括公众娱乐场所、游戏机中心,游乐场所、麻雀天九耍乐处所,及所有室内外体育处所均可重开。至于禁聚令方面,也会由现时的2人放宽至4人聚集。所有措施为期7天,至下周四(17日)。陈肇始表示,如果疫情再缓和,希望可在短期内考虑放宽其余较高风险的表列处所,例如派对房间、浴室、卡拉OK等。

闫怀志解释说,APP唤起其他软件的技术实现途径很多,常见的有Intent唤起、包名唤起、URL唤起等方式,简单来说,就是通过后台通信协议来私自启动,并且启动后仅在后台运行数据,具有较强的隐蔽性,用户很难察觉到。闫怀志进一步强调,唤起其他软件在后台自启动,共同偷窥用户信息,目的是最大限度获取用户信息以实现更为精准地画像,这种表面买薯条,暗拿“全家桶”的行为具有更大的隐蔽性和危害性。

APP违规收集信息屡禁不止

邱腾华坦言,恢复出行的安排在初期可能有条件限制,若部分国家面积大,可能会先有点对点限制,例如只对某城市恢复出行,或者商务客优先。(海外网 朱惠悦)

事实上,针对手机APP过度收集个人信息现象,国家此前也已经相继出台《信息安全技术个人信息安全规范》和《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,对APP超范围收集、强制授权、过度索权等个人信息安全问题进行了明确规定。

邱腾华又提到打造“旅游气泡”,指港府至今先后对11个国家进行初步接触,提出愿意作出双边讨论恢复互相出行,初期会有阶段性及风险管理,当中已有5至6个国家表示有兴趣,而泰国及日本已进行双边接触。此外港府也与德国、法国及瑞士有接触,新西兰及澳大利亚也有兴趣与港恢复出行。他指出,最近也去信马来西亚、越南及新加坡等东南亚国家,他指互相出行的安排会规定入境者出发前要有检测,到达后也要有检测,而双方政府要互认检测结果。

根据调查,很多手机软件下载之后,会频繁唤起其他软件自启动,进而共同在后台窥视用户照片、购物记录等,技术层面如何解读这一现象?

没错,正是你的手机软件在“搞事情”。近日,媒体曝光的手机APP“偷窥”乱象调查显示,有的APP能够在十几分钟内访问照片和文件两万多次,其中涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。手机APP窃取用户隐私为何屡禁不止?作为用户,如何保护个人隐私?面对一系列疑问,科技日报记者采访了相关专家。