315晚会点名多款APP“窃听”:背后是一条黑色产业链,有人靠你的
2020 年 315 晚会点名多款APP上演“窃听风云”,违规盗取个人隐私信息,让人不寒而栗!
它们是怎么窃取你的个人隐私的?
315 晚会报道,在某些手机APP里,暗藏着一个窃贼,一个由第三方公司提供的一个插件。
什么是插件?
插件本来是可以让手机实现某些特定功能和免费成为一个SDK包。问题在于,某些第三方公司开发的SDK包却在背地里偷偷摸摸地干着见不得人的事。
315 晚会截图
相关技术人员检测了 50 多款手机软件,发现暗藏玄机。
一些手机软件中的SDK插件存在没有经过用户许可、用户不知情的情况,偷偷窃取用户手机中的隐私信息,包括短信、通话记录、联系人等。
这些APP包括国美易卡、最强手电、爱转转、 91 极速购在内的 50 多款,这些APP会获取移动设备的IMEI号(移动设备标识号)、电话号码、聊天记录、通讯记录等隐私信息。
IMEI号是手机的唯一识别码,相当于手机的身份证。不管是否经过用户同意,APP一旦获得了移动设备标识,就为个性化推送垫定了基础。
315 晚会截图
读取用户的隐私信息,只是窃取用户隐私的第一步,读取完成后,还会将数据悄悄传送到指定的服务器存储起来。
除了窃取电话号码、位置、通讯录这样的个人隐私,甚至通过菜谱、家长帮、动态壁纸等多款APP窃取用户更加隐私的信息。
比如手机中的短信内容,“验证码是XX,请勿告知他人……”用户如此重要而私密的短信内容都会被传送至第三方服务器。
这些信息一旦被别有用心的人获取,极有可能造成严重的经济损失。
此外,SDK看似只是一个普通的插件,但它却对所有手机所有APP都具有通用性,很多手机软件可能都嵌入了同一个SDK,因此,一旦某个SDK窃取了某个人的隐私,将会涉及众多手机软件,带来的损失难以想象。
此外, 315 晚会报道,除了内嵌SDK以外,工作人员还发现,一些知名手机APP也有搜集用户隐私的现象,涉及酷音铃声、手机铃声、铃声大全等多款APP。
“你我的个人隐私,在这些软件开发商眼中都是唐僧肉,人人见了都想吃一口。于是乎,在手机软件里的这些功能插件绵里藏针,变成他们窃取我们个人资料的渠道……”
隐私问题老生常谈
越界APP却得寸进尺
实际上, 4 天前,央视财经已经曝光,部分用户在线下闲聊时出现的词语,之后会出现在手机应用的推送中,由此怀疑手机APP存在窃听的行径。
另外,报道还指出了一些不合理的信息授权行为、以及利用手机验证码方式获取个人信息等问题。
在央视曝光之后,网友纷纷表示同感,“自己和朋友闲聊到椰枣,但从来没有搜索过,第二天手机上出现椰枣的推送……”“遇到这种情况不是一次两次了……”
实际上,在央视财经曝光之前, 5 月 15 日,工信部就曾经公布过“侵害用户权益行为的APP名单”。主要包括当当、租租车、WiFi管家等 16 款App。
2020 年第一批存在问题的应用软件名单
过了不到两个月, 7 月 3 日,工信部又公布了第二批侵害用户权益的APP名单,主要包括智慧树、纳米盒、悟饭游戏厅等 15 款App。
2020 年第二批存在问题的应用软件名单
从工信部公布的APP名单中可以看出,其中涉及的问题,主要包括“私自获取用户个人信息;超范围收取个人信息;私自共享给第三方;过度获取权限……”
APP专项治理工作组专家揭露,一些APP刚刚安装进手机,一次都还没有打开,它却已经开始向外悄悄传输数据。
这些APP在隐私政策里没有告知用户,是完全自启动的方式,悄悄地把用户信息传到了自己的服务器上。
“几分钟过去了……第二个数据包也出现了,点开这个数据包看,这里面就有一个是IMEI号(移动设备标识号)的标识符……”
视频截图
从被传输的数据包中可以看出,APP第一个获取的信息就是手机的IMEI号,也就是移动设备标识号。
更可怕的是,专家通过对大量APP测试后发现,APP获取的信息不仅给自己用,甚至有部分APP会把信息传给第三方。
据了解,在个别APP内嵌入的第三方软件开发工具包就超过了 50 个,这些有着消息推送等功能的第三方工具包的盗窃行为更是隐蔽,监管起来更难。
这就是为什么很多人会在自己账号密码都只有自己知晓的情况下,微博关注列表上却突然多了些不知名的营销号,微信、QQ被陌生人加好友并拉进群,手机接收各种乱七八糟的短信的原因。
黑色产业链
有人靠你的隐私年赚千万
个人信息之所以频繁遭受窃取,除了APP个性化推送的需要,还离不开一条规模大、链条长、利益大的黑色产业链。
这个产业链在业界有一个专业名词,叫网络黑色产业链,简称黑产。
据不完全统计,早在 2017 年,中国黑产(网络黑色产业链)的从业人员就已经达到了百万级以上,每年造成的损失达千亿元级规模。
黑产,团队分工明确、衔接密切。
产业链上游负责“源头供货”;中游负责信息处理与再加工,形成规模化市场;下游负责“应用变现”,通过电信诈骗、恶意营销等非法渠道牟取高额利润。产业链结构完整,各种信息明码标价。
1.上游供货端
除了前面提到的开发山寨版APP,引诱不明真相的用户上钩,进而窃取并贩卖用户地址、通讯录、身份证照片等数据,信息来源还有哪些?
① 非法“打劫”
2018 年,绍兴越城公安侦破了一起特大流量劫持案:北京瑞智华胜公司因涉嫌非法窃取用户个人信息 30 亿条,全国 96 家互联网公司都曾被非法“打劫”过,其中不乏涉及互联网巨头公司。
30 亿条用户个人信息,它是如何盗取到手的?
第一步,瑞智华胜通过竞标,以合作的方式为运营商提供营销服务,初期目标达到后,获得远程登陆权限。
接着,偷偷在运营商系统上做手脚,装上能采集用户cookie信息(意指储存在用户本地终端上的数据,比如账号和密码)的木马和插件,达到清洗、采集用户cookie还有访问记录等目的。
有了用户cookie,无需再次输入账号密码,就可以登录用户的账号,随意获取家庭信息、购物开房记录等。
更让人瞠目结舌的是,在掌握了用户cookie后,如果将数据存放于境外服务器,用户账号全然透明,就没有任何隐私可言了,这时,他们就能进一步为所欲为,操控任何事。
据了解, 2017 年内,上市刚满一年的瑞智华胜,通过操纵账户进行微博、抖音、公众号等平台的加粉、刷量,年盈利超过了千万元。
② 网络爬虫
据《新京报》此前报道,一些机构以“大数据营销”为名,依靠销售非法爬虫工具获利,通过人们常用的一些电商平台爬取用户数据,或是通过网页等方式获取用户手机等个人信息,再通过数据贩卖和流量牵引牟利。
③ 内鬼
能够接触到个人数据信息的工作人员也是泄露数据的“主力军”,他们利用职务的便利,高价出售客户隐私信息。
2.中游加工端
这些灰色数据采集后,中游环节负责对其进行处理与再加工,通过买卖、交换等形式形成规模市场,随后便将所获个人信息应用于电信诈骗、恶意营销等不法渠道牟取高额利润。
3.下游变现端
“要的话 5 毛一张打包带走,总共两万套,不议价。”
近日,“一起公开、明码标价兜售人脸数据”的新闻冲上微博热搜榜,引来很多网友一阵调侃:“好难过,我这张帅气的脸原来只值 5 毛”。
据新华社报道,在淘宝、闲鱼等交易平台上,部分卖家以“人脸全国各地区各行业可做,信誉第一”“出售人脸四件套,懂的来”等暗语揽“客”。
除了售卖人脸数据外,一些胆大的交易平台还出售“照片活化”工具,有了这套工具,可以将静态的人脸照片修改为动态的“眨眨眼、张张嘴、点点头”等操作人脸验证视频。
一套(照片活化)工具加教程售价 35 元,买家付款后,卖家就会将软件和教学链接发给你,“包你学会”。
除了这种惯用的倒卖变现外,苏宁金融研究院发布的报告指出,个人数据变现的获利模式还有工作室合作与雇佣两种。
有关组织在QQ群、论坛、暗网等各种渠道出售个人信息,同时,不同雇员之间又存在信息倒卖关系。
更复杂的变现手段是使用网络技术获取用户私有财产。只要掌握姓名、身份证号、银行卡号、预留手机号等敏感信息,寻找银行网上支付、第三方快捷支付等支付漏洞,就能盗取银行卡信息进行盗刷或转账。
比如, 2019 年末央视网报道称,有QQ群提供技术手段帮别人破解各类APP人脸认证的付费服务,来破解并倒卖对方的实名社交账号。相比于推销与骚扰,这无疑对用户利益造成了实质性损害。
没有买,就没有卖
谁在买你的隐私,到底用来干什么?
人脸,是一个人最直观最独一无二的生物特征,人脸上有大量的细节,来帮助我们辨认彼此,眼睛、鼻梁、耳朵……甚至面部表情,是开心、难过还是生气……
在数字化时代,包括人脸信息在内的所有信息都会变成数据,通过数据,机器认识了人类。
因此,“喂”给算法,是这些个人信息的第一站。
在正当使用的情况下,且个人信息拥有者同意并知情,风险并不大。但这些个人数据一旦落在居心不良的人的手上,情况会变得极其复杂。
这个问题分为两种情况:
一种是,如果只是单纯的买了一张脸的数据,而没有获得你的身份证、银行卡号、手机号等其他一系列敏感信息,这时,风险也不大。
另一种,则是既买了人脸信息,又获得了你的个人信息包括身份证、银行卡号、手机号等其他信息,此时,就危险了。
当前网络黑市中大多属于这一类,售卖人脸信息并非单纯的“人脸照片”,而是将公民个人关键信息打包售卖。
一旦人脸信息和身份证、银行卡号、手机号等其他信息相匹配,就可能被不法分子用于违法犯罪活动。可能通过这些信息盗取网络社交平台账号和窃取金融账户内财产,也能被用于精准诈骗、敲诈勒索等违法犯罪活动。
有的不法分子还会使用AI换脸,绕开多个社交服务平台或系统的人脸认证机制,为违法犯罪团伙提供虚假注册、刷脸支付等黑产服务。
也有一些不法分子会利用非法手段将你的照片进行“活化”处理,通过“照片活化”软件生成动态视频,骗过人脸核验机制。
而后,在网上大量购买私人社交账号登陆各大网络服务平台,注册会员或进行实名认证。
例如, 7 月 15 日,福克斯新闻网报道,包括比尔.盖茨、特拉斯CEO马斯克及美国前副总统拜登、苹果公司官方推特等多位名人及企业均遭黑客攻击,有人在推特上发布了下面这些推文。
图源:微博
更让人惊掉下巴的是,通过“照片活化”软件生成的人脸数据,还可以帮助他人解封微信和支付宝冻结账号。
这也意味着,你的手机丢失后,即使冻结了各大账号,你的钱依然可能在短时间内被转走。
综上,毫无疑问,一旦你的脸、指纹、虹膜等个人生物信息,落在了不法分子手上,他们再将这些生物数据和身份证号、银行卡号、密码等进行匹配,就等于你向不法分子敞开了家门、保险柜门和银行卡……
更严重的是,你的个人信息一旦泄露,就是终身泄露。
“个人生物信息最为独特的特性就是它的不可再生性,手机号泄露了,可以再换一个,而人脸、指纹天生只有一个。”全国政协委员上海众人网络安全技术有限公司创始人谈剑锋曾在一次采访中透露,一旦泄露,作为生物主体的你我他,只能眼睁睁看着它们各种‘奇幻漂流’而无能为力。
没有秘密的世界
隐私何处安放?
李彦宏曾说:“我们中国人都愿意用隐私换取便利。”
这句话曾经引起了极大的争议,因为他在这里把个人信息等同于隐私,用户愿意出让的是自己的信息,而非自己的隐私。
我们愿意出让自己的信息,进而享受到信息化时代带来的便利性、智能性,而非出让自己的隐私,让它成为信息化时代的一件商品。
因此,个人隐私的保护战,需要集所有个体、整个行业、整个社会共同力量去战斗。
1.个人层面:提高信息保护意识
两个月前,有媒体曝光,河南鹤岗有一个村出现了全村人排队卖“脸”现象,他们大部分是中老年人,以女性居多,一些还是头发花白的奶奶们手里抱着孙子孙女,像赶集一样,几十块钱,就把自己的“脸”卖了。
禁不住几十元的诱惑,被忽悠着就把“脸”弄丢了,这种行为真是让人又无奈又好笑。
除了不要主动出售自己个人信息外,专家提示,目前市面上APP层出不穷,你在使用APP开启相关权限时,要谨慎勾选涉及个人信息的选项,包括手机通讯录、地理位置等。
另外,涉及麦克风、摄像头功能,在非必要情况下也不要轻易授权。
在使用APP的过程中,还需多留意是否存在信息泄露、后台自动启动等问题,一旦发现相关违规现象,及时采取措施,加强权限,并向有关部门反馈。
一旦发现隐私侵权问题,还可以起诉这些单位。
同时,在使用面部识别支付时,为了避免个人隐私暴露,专家建议,可以添加手势并张合嘴巴,提高刷脸支付“密码”的复杂度。在开启人脸验证时,尽可能多重验证方式,减轻人脸验证风险。
2. 企业层面:加强改善现状的决心
这一点,已经有企业正在发力做了。
据创业邦了解,在手机系统苹果和安卓两大阵营中,苹果最新的系统ios14,安卓端小米最新的miui12 都强化了隐私保护功能。
在ios14 里,苹果把它的价值观做成了可视化的功能,在相册中,你可以指定APP可访问哪些照片,在地图APP中,你可以选择模糊定位。
此外,苹果还要求每一款上架App Store的软件,必须携带隐私协议,指明APP会使用和存储用户的哪些信息,如果有APP正在访问你的麦克风或者摄像头权限,你还会看到屏幕上有明显的提示。
复制/粘贴也会随时告诉你哪两个APP正在访问你的剪贴板,有了这些功能,ios14 俨然成为了一块照妖镜,甚至还曝出了一批问题APP。
在小米的MIUI12 中,提供了一个空白通行证(隐匿面具),支持返回空的虚拟ID。
这有什么作用?
这意味着虚拟ID生成了一个新的你,当有一些强制读取你手机IMEI码的APP,你可以采用虚拟ID接入。
另一功能称为照明弹。简而言之,它可以显示每个APP的后台调用记录,面对自动启动的APP(实际上,每天都有不少APP在偷偷自动启动),系统会帮你拒绝这个行为。
在MIUI12 的隐私保护功能中,还有一项操作,“仅本次运行中允许获取权限”意味着系统支持将定位、拍照、录音等权限设置为本次允许,当应用再次启动时,需要再次获取权限……
苹果端的ios14 系统和安卓端的小米MIUI12 系统的这些功能,确实给用户带来了体验上的安全感,但也有用户苦恼,“操作起来实在繁琐”,可能因为BUG,同一个APP照片权限时常都会问候你,每次复制粘贴,手机头顶都会没完没了地弹窗……
同时,苹果和小米这一系列保护隐私功能的出现,可能会导致苹果与小米应用商店中基于广告的免费APP数量“大幅减少”,对此,苹果表示,如果更多的应用都需要付费,苹果将从中受益,可以弥补广告收入的损失。
3. 法律层面:更规范、更标准
技术发展倒逼法律完善。
目前,我国已发布了《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,在多个方面进行具体规范。
360 公司家庭安全大脑产品线某工程师曾建议:“相关部门应该建立一个审核机构以及一套认证标准,人脸识别机器、模块和数据库安全性只有经过机构和标准认证之后才能被市场应用,进而淘汰一部分存在风险的人脸识别公司。
就像合格的指纹识别公司在市场上只有几十家,有问题容易查。如果人脸识别能做到可溯源的话,问题就会简单很多。”
同时,立法机关应该进一步完善有关法律法规,探索个人信息分类保护体系,收集个人重要数据或敏感数据需备案。
进一步规范网络爬虫等自动化手段收集网站数据,对于对于妨碍网站运营或非法侵占数据的行为,制定明确的处罚措施。
写在最后
隐私是一个人与生俱来的本能需求,必要的需求,它是跨国界、跨文化、跨地域、跨宗教的。
很多用户是没办法、被迫、被忽悠、被糊弄中,不知不觉被某些恶意的APP或其他平台把隐私弄丢了。
因此,要找回隐私,在某些点上,无论是企业、个人还是整个行业,都要用最高的标准要求自己,避免信息泄露,加强数据安全阀。