兰州大学本科生谢青此前并没有注意到自己手机上安装的安卓应用有很多已经默认打钩同意的条款,直到安装《鳄鱼小顽皮爱洗澡》时,软件提示他必须允许该软件“读取通讯录、日志”、“修改/删除SD卡、USB储存内容”,甚至“读取手机状态和ID”……而游戏“水果忍者”——这款只需要划划手指头的游戏则要求读取他手机中的“大概位置(基于网络)或精确(GPS)位置”。
这些选项已经默认同意,没有更改的可能,谢青要么接受条款要么放弃游戏。谢青很快就点击了“同意”——他不知道的是,此后这些应用可以肆意扫描并把他手机内相关信息上传到互联网云服务器上,这就是“读取”的含义。
如果说陈冠希还知道自己隐私照片是从送去维修的硬盘泄露的,那么将来当“谢青们”的隐私照片出现在网上时,他很可能都不知道从哪里流出去的。尽管那样他还是幸运的,更不幸的是,他根本不知道自己的隐私照片在互联网上被转来转去。
这并不是人们唯一需要担心的事。
智能手机能告诉别人你的位置,跟谁通了电话,发了短信,你的手机出厂号码是多少,玩什么游戏,几点玩游戏,几点出现在办公室周围,是否喜欢吃川菜,搜索过什么新闻,看过什么网站……而通过你泄露的这些信息,就能判定你是不是高富帅,你的收入水平,你是否在家——如果单身的你刚刚在遥远的新疆某个饭馆“签到”的话,基本就可以断定是否现在适合到家中“拜访”。
你的这些庞杂信息正在被手机里的众多APP应用上传到无数服务器上,这些APP的拥有者、应用商店以及一些手机制造商,都在成为这个链条上的参与者,他们的提醒隐晦,措辞模糊,你不知道他们拿这些信息做什么用途,也不知道他们的公司可能只有几个工程师,根本无力保护你的这些信息的安全。
免费服务附带有“要约”性质的默认条款未尝不可,作为开发新功能或者寻找盈利模式的数据挖掘也无可厚非,但这些大小公司至少要在那些“万能的协议”中也相应承诺用户数据不能用于出售或被泄露——但现在,距离出台能够保护用户个人隐私的有力措施还遥遥无期。
模糊的告知脆弱的保护
奇虎360公司副总裁李涛称,手机隐私泄露的重灾区是手机号码、通讯录、位置、短信和软件安装情况。腾讯无线一位内部人士也指出,大多数人并不知道“读取手机状态”是允许该软件能够看到手机中的基础信息,例如使用的运营商网络以及手机底层装了哪些软件。
而“读取手机ID”则意味着上传手机中唯一的标识码——IMEI(In-ternationalMobileEquipmentIden-tity,全球每台手机都用拥有的,绝不重复的标识码),标识码可用来对移动式设备进行身份识别和跟踪。标识码通常用来做一些APP应用在渠道推广上的结算。如果你使用的是苹果手机,那么用来付费的苹果账号甚至密码也可能被扫描到。“检索正在运行的应用程序”涉及这些APP的使用数量。“这款应用有多少用户,有多少下载量,无论是自己的还是别人的数据都很值钱,自己的数据可以拿给风投看用来谈融资,别人的数据可以出售。”该腾讯无线内部人士指出。
在本报综合各家应用商店中40款最常用 APP的测试中,97.44%的软件要求读取“读取手机状态和ID”。要求用户必须允许该应用获取“大概位置(基于网络),精确(GPS)位置”的占69.23%。
直属于工信部的中国软件评测中心在2012年3月曾做过一份《安卓手机软件个人信息安全评测报告》。中国软件评测中心副主任刘陶对《经济观察报》表示,所有泄露的个人信息类型中,IMEI号泄露行为最为严重,手机号码次之,其他依次为地理位置和SIM卡序列号,说明IMEI号和手机号码是“个人信息获取方”所关注的主要内容,且大多数软件在对外发送个人信息时并没有给用户相应提示。
当然,并不是说APP应用不能读取跟自身功能弱相关的信息数据,只是这个读取行为是否不应该是默认必须接受的?用户能否有选择?且各家公司只有安装前的告知,并没有对用户讲清数据用途以及如何保护这些个人隐私信息。
其实,用户并不都拒绝用自己允许的个人信息作为对免费游戏的回报,APP应用方收集、分析及使用这些信息都没有问题,关键的问题是如何让用户放心——这些数据不会被泄露出去,尤其是泄露给不认识的第三方……甚至第N方。
被糊弄的小白
在“关于个人信息的用途及保护措施”等问题上,这些APP应用客服的回答相当令人失望。
一类回答是“功能强加型”。美丽说的客服会说该公司“需要”读取通讯录是因为要看你的哪些好友也在用美丽说,且“安卓手机上的应用都是这样的!如果要给用户提供这个功能的话,得一开始就授权,不能像苹果那样,用的时候才授权。”并且无辜地表示“这也是没有办法的!”
另一类客服的回答是“毫无逻辑型”。例如要求调取用户地址信息的91桌面,其客服称:91桌面使用用户地理位置信息是为了使推荐的壁纸和应用程序更符合用户需求——难道桌面壁纸跟位置相关?而对于数据安全,91的客服干脆以“不会非法读取用户数据,至于泄露等问题,我这里就没法儿回答了”推辞。
还有一类是“敷衍型”。美图秀秀10032客服面对为什么“读取联系人数据,读取敏感记录数据”及地理位置信息时称,“肯定是为了让程序正常使用,会按照用户协议中应该遵守的义务来保护数据,防止外泄。”
高德地图的工作人员对“调取短信”功能模块的解释是“会向技术部门反映,但现在还没有这样的措施,高德软件是正规的,不会窃取您的个人信息。”,而在怎样保护用户信息不被泄露上,高德的回答只能是“这个就是互相信任”。
陌陌也属于这种情况,该公司公关经理文亚娟在如何处理用户信息上显得很有信心,表示该公司用户数据在服务器上的读取和保存是有加密处理的。“而用户在使用其产品过程中产生的照片、录音和视频,陌陌会有阶段性的备份,也使用加密存储。”
上述公司是本次调查采访过程中很小的一部分,对大部分公司的答案就更加模糊,甚至有的拒绝回答这样的问题。大多数应用APP厂商并不会特别提醒你,他们的公司其实也就几十人或者上百人,服务器也是托管在别的IDC机房里,由于还没盈利,目前其实根本没有什么精力去为保护这些数据做过多投入。
你隐私很值钱
用户信息合理的用途是软件功能的继续开发,例如获取地理位置信息可以用于定位导航,而获取用户照片则可以用于设置头像等,但其更大“价值”在于商业化。
推荐阅读
智能手机的内部长满了窥视的眼睛。 昨日,DCCI互联网数据中心发布了 《2013移动隐私安全评测报告》。报告显示,66.9%的智能手机移动应用在抓取用户隐私数据,而其中高达34.5%的移动应用有“隐私越轨”行为。 有业内人>>>详细阅读
地址:http://www.lgo100.com/a/11/20130314/262804.html
网友点评
精彩导读
科技快报
品牌展示