社会

十几分钟访问数据两万余次 部分APP组团“偷窥”隐私

黑帽廉颇

十分钟以上的访问次数超过20,000次。仅仅窃取数据是不够的 。

尝试关闭软件的读取权限时,一些用户经常会发现某些应用将强制授权,否则它们将无法继续使用,打开权限后,您会发现手机越来越了解您的内心  。-take用您获得的新包装进行自拍照 ,并在您打开购物网站时出现相关的产品推送;您正在浏览APP中的最新型号 ,销售人员将致电进行咨询...

没错,是您的手机软件在“制造东西”。最近,媒体披露的手机APP“窥淫癖者”混乱调查显示,某些应用可以在十多分钟内访问超过20,000张照片和文件,其中包括移动教学软件“YouAcademy”和办公软件“TIM”。产品。为什么移动应用程序会反复窃取用户隐私?作为用户,如何保护个人隐私?面对一系列问题,《科技日报》记者采访了相关专家。

APP非法收集反复禁止的信息

近年来 ,在手机软件上“秘密访问”个人信息的事件已屡见不鲜。手机软件多久会窃取一次用户信息?

北京理工大学计算机网络与对策技术研究所所长严怀志在接受《科学技术日报》采访时说,APP窃取用户信息通常是通过手机的“正常”操作而不是攻击 。广义上讲,用户的数据处理和APP操作行为需要手机自身的操作系统来支持。“并且操作系统将在不同级别上设置各种权限和其他安全机制 ,以防止恶意读取或滥用用户信息。但是 ,如果APP获得了一定的权限,则可以轻松读取该权限下的所有信息。”他说。

严怀志解释说,移动应用违反法律法规有两种主要方法来收集个人信息或窃取用户信息 :第一种是不经明确通知即收集信息 。例如,有些应用程序在收集信息之前不表达它,而有些则只是玩文字游戏,引起用户同意;第二个问题是,收集的目的,方法和范围不受明确权限的限制 。例如 ,用户信息是通过常规渠道收集的,但超出了范围使用,给用户的隐私和利益带来潜在的风险和危害。

一般而言 ,用户信息应遵循“收集 ,使用所必需”的基本标准 ,即所收集的信息应是完成用户业务所必需的信息,且该信息应在所使用的业务范围内。正确地。

“应注意的是,APP窃取信息和黑客窃取用户信息会导致大量信息泄漏。这是两个性质不同的事件。一个正式启动的APP软件,在用户不知情或未经用户授权的情况下获取用户信息,手机上的操作不需要任何攻击手段。即使系统没有漏洞  ,APP仍然可以获取用户信息。”严怀志说。

在表面上购买炸薯条并偷偷带走“家庭水桶”

目前,我国已明确将数据纳入生产要素,许多应用程序出于商业目的过度收集隐私 。好吧 ,经常拜访用户信息的目的是什么?不同的软件可以互相唤醒,共同撬动用户隐私,这是否意味着开发人员之间可以交换利益?

可以理解,一般而言 ,用户信息可以分为两类 ,一类是准静态信息 ,例如用户的姓名,年龄,地址等 ,通常不经常更改,APP一劳永逸 。另一种类型是动态信息,例如用户的位置,移动支付状态 ,个人健康状态等 ,这些信息随时都在不断变化。动态信息需要频繁的APP访问。

严怀志解释说  ,从技术角度来看,APP是由于业务需求而频繁访问用户信息,例如导航路径规划,自然需要了解用户的实时位置。健康监测业务可能需要随时获取用户的运动数据信息。在获得用户的个人信息后,软件运营商将通过数据分析来校准用户的活动范围和消费​​能力,以进行更准确的广告或其他营销活动。

“应该注意的是 ,用户信息具有特殊而重要的价值。为了增加注册数量并共享用户有用数据,一些APP开发人员将交换用户信息。此操作的前提自然是利益。”严怀志强调。

根据调查,在下载了许多手机软件后,它会频繁唤起其他软件自动启动,然后在后台共同浏览用户照片,购物记录等  ,如何在技术层面上解释这种现象 ?

颜怀志解释说,APP可以唤起其他软件的技术实现方法很多。常用的方法包括Intent唤醒 ,包名称唤醒 ,URL唤醒等 。总之 ,它是通过后台通信协议私下启动的  ,并且仅在启动后在后台运行数据,具有很强的隐蔽性 ,使用户难以察觉。严怀志进一步强调 ,唤起其他软件在后台启动,共同窥视用户信息,目的是最大化用户信息 ,以达到更准确的人像,这种表面购买薯条 ,偷偷拿走“家常便饭”行为具有更大的隐患和危害。

如何防止软件“偷窥狂”

为了确保个人信息的安全,相关部门已采取了一系列行动来纠正市场混乱。2019年1月,中央网络办公室,工业和信息化部,公安部和市场监督管理总局四个部门联合组织了一次特别治理活动,以收集和使用个人信息。违反法律法规的APP。个人信息特别治理工作组。根据10,000多名网民收到的信息 ,工作组对以下五个最典型的问题进行了统计 :超额收集不相关的个​​人信息,强制性或频繁请求不相关的许可,不合理的豁免条款,无法取消帐户以及默认绑定功能和一揽子协议。

实际上,针对移动应用程序过度收集个人信息的现象,该国还相继发布了《信息安全技术个人信息安全规范》和《网络安全实践指南-移动互联网基本业务功能的基本信息规范》。应用程序”,这超出了APP的范围 。托收,强制授权,过度索偿等信息安全问题已明确定义 。

但是,许多手机软件仍然无视国家法律和法规 ,甚至冒着为非法获利而窃取公民隐私的风险 。为什么地球上的手机应用程序反复窃取用户的隐私?作为用户,如何有效保护个人隐私?

对此,颜怀志表示,移动APP非法收集或窃取个人隐私的根本原因是禁止和不可阻挡的 ,无非就是“赢利”一词 。“在信息时代和网络空间  ,个人信息也是一种资产,具有一定的价值,并将带来衍生价值 。从某种意义上说,它属于利益链的最前沿。谁拥有用户信息,谁掌握了谁 ?用户资源,可以实现精确的促销 ,精确的营销甚至精确的欺诈。因此 ,APP“跨越边界”收集用户信息的现象自然不难理解。”他说。

最近,APP非法和非法问题个人信息的收集和使用的应用程序治理工作组发布了“关于非法使用APP和法规的个人信息的收集和使用的特别治理报告(2019年)”。的应用程序可确定测试环境以规避检测​​工具发现的异常传输行为 ,有些应用程序会绕过移动设备操作系统的权限控制机制,并使用外部存储区来获取信息 。当APP使用上述方法时 ,现有的检测方法将发现收集范围之外的个人信息的困难和证明将更加困难。因此,相关部门有必要进一步加强对深度检测技术的研究,在后续的持续监督过程中发挥主动性 ,有效遏制违法违法行为 。

为此,颜怀志建议 ,作为用户 ,最重要的是提高安全意识和隐私保护概念 。例如,在安装APP时 ,您应该仔细阅读其数据收集请求 ,并根据个人情况选择是否提供它 。并且在提供信息时,必须遵循“必需提供”的原则,并且不要提供超出业务需求的信息。二是要注意使用适当的技术检测手段,通过APP监视工具来发现哪个APP在后台秘密地频繁运行。如果隐私数据被恶意收集或滥用,应及时保存证据 ,并将权利报告有关部门。

Tags:APP用户用户信息

本文链接:http://www.gwooie.com/hots/172636.html

相关文章