互联网时代的“裸奔”:APP如何偷窥你的隐私? 秦守仁 许婷_实事_滚动天下新闻网_www.thesemar.com

互联网时代的“裸奔”:APP如何偷窥你的隐私?

2020-06-25 17:44:24 品途商业 分享

  每天只让你选择一件物品出门,你会选择什么呢?

  相信大家心里已经有了答案,那就是手机。

  你的工作生活是不是已经被手机填满?早上起来查看天气,手机APP自动提醒你注意防晒;开车经过某一个城市,手机APP马上推荐相关城市的衣食住行。作为资深手机控,我们充分享受各类APP带来的便利。

  另外,你的手机是否频繁收到一堆优惠活动的垃圾短信;除了快递小哥给你打电话,更多时候对方直接报上你的大名,当你以为是老朋友或者同事时,却发现对方让你带上小孩来参加课程体验,或者某某房源又有优惠。对于个人隐私泄露,你是否深恶痛绝呢?

  对于越来越懂你的手机,你懂它吗?

  本文起底恶意APP如何窃取你的隐私,以及教你如何防范。

  隐私泄露屡禁不止,精准诈骗频发

  2020年5月15日,工信部发布关于侵害用户权益行为的APP通报(2020年第一批)。依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,工业和信息化部近期组织第三方检测机构对手机应用软件进行检查,对发现存在问题的企业进行督促整改。

  到底有哪些APP?它们涉及到的违法违规行为是什么?

  据通报,当当、店长直聘、e代驾、大街等16款APP在列,这些应用软件均涉及私自收集个人信息问题,另外还包括私自共享给第三方、超范围收集个人信息、不给权限不让用、强制用户使用定向推送、过度索取权限、账号注销难等7大类问题。

  工信部要求,存在问题的APP应在5月25日前完成整改落实工作,逾期不整改的,工业和信息化部将依法依规组织开展相关处置工作。

  2018年8月,中消协发布《APP个人信息泄露情况调查报告》称,APP已经成为个人信息泄露的重灾区,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%。

  当消费者个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件,排名位居前三位。

  调查结果还显示,如果手机APP导致个人信息泄露,最担心的问题是被利用从事诈骗窃取活动,占70.5%;其次是贩卖或交换给第三方约占52.4%;被推销广告骚扰占比约为37.7%;名誉受损约占6.6%。

  值得关注的是,最终有大约三分之一的受访者选择“自认倒霉”,一方面可能是基于无力应对的选择,另一方面也可能是应对无效后的接受现状。

  骗子获取用户信息以后,最担心的是对个人进行“量身定做”的精准诈骗,这种骗术很难被当事者识破,因为骗子往往能够准确地说出当事者一些较为私密的信息,足以“以假乱真”,让用户放松警惕。

  2019年9月20日,黑龙江双鸭山一位刘女士报警称,她前几日在第三方平台上购买了一张飞机票,就在飞机起飞的前一天,她突然收到短信称行程取消。她电话联系退款,结果被骗15000元。

  隐私泄露原因多样,套路满满识别难

  用户个人隐私泄露原因多样,本节主要从黑灰产人员、APP开发者、APP本身和用户自身四方面进行分析。

  1、黑灰产人员通过对系统反编译、攻击篡改、植入后门等方式对数据进行窃取

  2013年10月,国内安全漏洞监测平台“乌云网”披露,自称是中国最大的酒店数字客房服务商的浙江某某公司,因为安全漏洞问题,使与其有合作关系的大批酒店的开房记录在网上泄露。

  数天后,一个名为“2000w开房数据”的文件出现在网上,其中包含2000万条在酒店开房的个人信息,容量达1.7G。开房数据中,开房时间介于2010年下半年至2013年上半年,包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。

  黑客利用平台漏洞,收集网站和APP应用程序泄露的个人信息,再尝试登录其它网站系统进行“撞库”,不断非法获取用户信息。通过手机号、身份证号将用户碎片信息不断关联清洗,再把这些信息“打包”卖给不法分子,以此牟利。

  目前,“人肉”已经成为一门灰色生意,价格从数百元到数千元不等,而这些信息均来自于黑灰产人士用于储备个人信息的“社工库”。

  需要指出的是,社工库及“人肉”行为严重触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。

  2、APP开发者技术实力参差不齐,数据管理不善容易造成数据泄露

  一般中小公司APP开发者技术能力薄弱,在数据安全技术力量上欠缺,数据保护意识不强。这给了黑客可趁之机。

  以金融行业APP为例,这些和“钱”有关的APP到底安全性几何?2019年9月11日,中国信通院的报告团队从232个安卓应用市场中收录了 133327 款金融行业APP。经检测发现,共有20.48%的金融行业APP被嵌入了第三方SDK,嵌入的SDK 数量共计高达104005个。在嵌入SDK的金融行业APP中,有45%的APP嵌入了5个及以上的SDK。而第三方SDK存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险。

  而这批APP中仅17.08%进行了安全加固,超过 80%的金融行业APP在应用市场“裸奔”,未进行任何的安全加固。基于 Java 语言编写的安卓应用程序如不进行加固,则其打包的 APK 文件很容易被反编译工具进行逆向分析,进而暴露风险。

声明:本站部分资源来源于网络,版权归原作者或者来源机构所有,如作者或来源机构不同意本站转载采用,请通知我们,我们将第一时间删除内容。本站刊载文章出于传递更多信息之目的,所刊文章观点仅代表作者本人观点,并不意味着本站赞同作者观点或证实其描述,其原创性及对文章内容的真实性、完整性、及时性本站亦不作任何保证或承诺,请读者仅作参考。
编辑: