自己窃取数据还不够 部分APP竟组团“偷窥”(2)
2020-07-08 18:53科技日报浏览:次
原标题:十几分钟访问数据两万余次
自己窃取数据还不够 部分APP竟组团“偷窥”
在尝试关闭软件读取权限的时候,经常有用户会发现部分APP会强制要求授权,否则无法继续使用,而打开权限后,你就会发现,手机越来越能读懂你的心——拿着到手的新包来一张自拍,打开购物网站就会出现相关产品推送;正在APP中浏览一款最新车型,销售人员就打来咨询电话……
没错,正是你的手机软件在“搞事情”。近日,媒体曝光的手机APP“偷窥”乱象调查显示,有的APP能够在十几分钟内访问照片和文件两万多次,其中涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。手机APP窃取用户隐私为何屡禁不止?作为用户,如何保护个人隐私?面对一系列疑问,科技日报记者采访了相关专家。
APP违规收集信息屡禁不止
近年来,关于手机软件“秘密访问”个人信息的事件屡见不鲜。手机软件是如何频繁窃取用户信息的?
北京理工大学计算机网络及对抗技术研究所所长闫怀志接受科技日报记者采访时表示,APP窃取用户信息,通常是通过对手机的“正常”操作而非攻击手段实现的。广义来讲,用户的数据处理、APP操作行为均需获得手机自带的操作系统支持。“而操作系统会在不同层面设置各种权限等安全机制,防止用户信息被恶意读取或滥用。但如果APP获得了某种权限,就可以轻松读取该权限项下的所有信息。”他说。
闫怀志解读,手机APP违法违规收集个人信息或是窃取用户信息,主要途径有以下两种:第一种是未明确告知而收集信息,例如有些APP在收集信息之前未予明示,有的干脆玩起文字游戏诱导用户同意;第二种是未以清晰权限限定收集的目的、方式及范围,比如通过正常渠道收集了用户信息,但是却超范围使用,给用户隐私和利益带来潜在风险和危害。
通常来说,用户信息应该遵循“收所必需、用所必需”的基本准则,也就是说,所收集的信息应该是完成用户某项业务所必需的信息,而且这些信息应该在该业务范围内被正当使用。
“需要注意的是,APP窃取信息与黑客窃取用户信息导致大量信息泄露,这是两个性质不同的事件。一款正规上架的APP软件,在用户不知情的情况下或超出用户授权的情况下来获取用户信息,在手机上的操作不必利用任何攻击手段来实现,即便系统没有漏洞,APP依然可以获取用户信息。”闫怀志说。
表面买薯条,暗拿“全家桶”
目前,我国已明确将数据纳入生产要素,很多APP过度收集隐私,就是为了商业目的。那么,频繁访问用户信息,究竟是作何用途?不同软件可彼此唤醒,共同窥探用户隐私,是否意味着开发商彼此之间存在利益交换?
据了解,一般来说,用户信息可分为两类,一类是准静态信息,比如用户姓名、年龄、住址等,通常不会频繁变更,APP采集一次即可一劳永逸。另一类是动态信息,比如用户的位置、移动支付情况、个人健康状态等信息,经常或随时处于变化之中。动态信息就需要APP频繁访问方可获取。
闫怀志解释道,从技术上来看,APP频繁访问用户信息有的是确因业务需要,比如导航路径规划,自然需要了解用户的实时位置;健康监测业务,可能会需要随时获取用户的运动数据信息。获取用户个人信息后,软件运营商会通过数据分析,对用户的活动范围、消费能力等进行标定,从而进行更为精准的广告投放或其他营销行为。
自己窃取数据还不够 部分APP竟组团“偷窥”
在尝试关闭软件读取权限的时候,经常有用户会发现部分APP会强制要求授权,否则无法继续使用,而打开权限后,你就会发现,手机越来越能读懂你的心——拿着到手的新包来一张自拍,打开购物网站就会出现相关产品推送;正在APP中浏览一款最新车型,销售人员就打来咨询电话……
没错,正是你的手机软件在“搞事情”。近日,媒体曝光的手机APP“偷窥”乱象调查显示,有的APP能够在十几分钟内访问照片和文件两万多次,其中涉及移动教学软件“优学院”、办公软件“TIM”等多款产品。手机APP窃取用户隐私为何屡禁不止?作为用户,如何保护个人隐私?面对一系列疑问,科技日报记者采访了相关专家。
APP违规收集信息屡禁不止
近年来,关于手机软件“秘密访问”个人信息的事件屡见不鲜。手机软件是如何频繁窃取用户信息的?
北京理工大学计算机网络及对抗技术研究所所长闫怀志接受科技日报记者采访时表示,APP窃取用户信息,通常是通过对手机的“正常”操作而非攻击手段实现的。广义来讲,用户的数据处理、APP操作行为均需获得手机自带的操作系统支持。“而操作系统会在不同层面设置各种权限等安全机制,防止用户信息被恶意读取或滥用。但如果APP获得了某种权限,就可以轻松读取该权限项下的所有信息。”他说。
闫怀志解读,手机APP违法违规收集个人信息或是窃取用户信息,主要途径有以下两种:第一种是未明确告知而收集信息,例如有些APP在收集信息之前未予明示,有的干脆玩起文字游戏诱导用户同意;第二种是未以清晰权限限定收集的目的、方式及范围,比如通过正常渠道收集了用户信息,但是却超范围使用,给用户隐私和利益带来潜在风险和危害。
通常来说,用户信息应该遵循“收所必需、用所必需”的基本准则,也就是说,所收集的信息应该是完成用户某项业务所必需的信息,而且这些信息应该在该业务范围内被正当使用。
“需要注意的是,APP窃取信息与黑客窃取用户信息导致大量信息泄露,这是两个性质不同的事件。一款正规上架的APP软件,在用户不知情的情况下或超出用户授权的情况下来获取用户信息,在手机上的操作不必利用任何攻击手段来实现,即便系统没有漏洞,APP依然可以获取用户信息。”闫怀志说。
表面买薯条,暗拿“全家桶”
目前,我国已明确将数据纳入生产要素,很多APP过度收集隐私,就是为了商业目的。那么,频繁访问用户信息,究竟是作何用途?不同软件可彼此唤醒,共同窥探用户隐私,是否意味着开发商彼此之间存在利益交换?
据了解,一般来说,用户信息可分为两类,一类是准静态信息,比如用户姓名、年龄、住址等,通常不会频繁变更,APP采集一次即可一劳永逸。另一类是动态信息,比如用户的位置、移动支付情况、个人健康状态等信息,经常或随时处于变化之中。动态信息就需要APP频繁访问方可获取。
闫怀志解释道,从技术上来看,APP频繁访问用户信息有的是确因业务需要,比如导航路径规划,自然需要了解用户的实时位置;健康监测业务,可能会需要随时获取用户的运动数据信息。获取用户个人信息后,软件运营商会通过数据分析,对用户的活动范围、消费能力等进行标定,从而进行更为精准的广告投放或其他营销行为。
(本网站所发布文章只作为信息传播使用,不代表本网观点)
法务网咨询平台(长按图片识别小程序)
