今年央視的“3·15”晚會上,讓兩個互聯(lián)網(wǎng)安全方面的問題,曝光在用戶面前,“廣告技術公司利用Cookies偷竊網(wǎng)民隱私”及“66.9%的智能手機移動應用在抓取用戶隱私數(shù)據(jù)”,PC用戶的隱私被人獲取,最多也就是多接收一些廣告頁面。然而手機里被鎖住的隱私一旦被挖掘出來的話,那對于許多人的生活而言,無異將產(chǎn)生一場大地震,那么我們就有必要審視一下自己的手機為自己安裝了多少枚“炸彈”?
應用隱私實測
如果用戶在平時安裝應用時稍加注意的話,就會發(fā)現(xiàn)在安裝界面中,可以看到應用將在手機中獲取的各種權限,這其中涉及到隱私權限的包括:撥打電話、收發(fā)短信、讀取通訊錄、讀取位置信息及獲取設備信息等。如果用戶安裝了360手機衛(wèi)士等安全類工具,那么就會發(fā)現(xiàn)自己手機中的應用獲取隱私的比率真是高的驚人,筆者的Android手機中安裝了60款應用,并且全部是通過Google play與豌豆莢這種相對值得信賴的平臺獲取,但是在打開了360的“隱私行為監(jiān)控”時,發(fā)現(xiàn)獲取用戶隱私的應用高達40款(如圖1)!這樣看來豈不是真的如CCTV所說的那樣,7成手機應用都在竊取用戶隱私?
不過這里,CCTV和安全廠商們都混淆了一個概念,應用擁有涉及到獲取隱私的權限并不能說明它在竊取用戶的隱私,我們可以打開360手機衛(wèi)士,并依次選擇“隱私行為監(jiān)控/讀取短信記錄”(如圖2),可以看到手機中“偷看”自己短信的應用大致分為3類:豌豆莢、應用助手等同步類應用需要調(diào)用短信記錄進行同步與備份;擁有分享功能的圖片、音樂類應用進行短信分享,以及短信的拓展應用。
所以我們在此可以看出,雖然在后臺獲取用戶隱私的應用確實存在,但是絕大多數(shù)正常應用僅僅是因為自身服務的需要而去獲取權限,而不是刻意去挖掘用戶的秘密。
獲取更安全的應用
當然,大部分應用的“光明正大”,不代表沒有少量應用真的在渾水摸魚收集用戶的信息。然而對于普通用戶的我們,該如何辨別應用獲取隱私權限的目的是否呢?
首先,用戶應該盡量從值得信賴的應用平臺獲取應用,在這一點上,蘋果的App Store有著先天的優(yōu)勢,惡意竊取用戶隱私的應用很難通過App Store的驗證。而Android用戶的Google Play雖然一直都在嘗試做出改進,但目前在安全驗證方面仍然不能100%保證其安全,不過好在Google Play提供的應用評論可以讓大家直接看到其他用戶對該應用的評價,除非是特別冷門的應用,否則用戶還是可以很容易從他人的評論中看到該應用中存在的問題(如圖3)。
假如用戶想通過第三方市場或網(wǎng)站下載應用,筆者建議通過豌豆莢、或應用助手這類輔助工具安裝,這樣在安裝的過程中用戶可以很清晰的看到該應用將獲取哪些隱私信息,而不是手機安裝時得到泛泛的權限提示,如筆者安裝了聊天機器人SimSimi的中文版,卻在豌豆莢中發(fā)現(xiàn),該應用將獲得監(jiān)控用戶“安裝新應用”的權限(如圖4),當筆者安裝后,發(fā)現(xiàn)它會根據(jù)用戶手機已使用的應用,進行各種應用的廣告推薦(如圖5)。
能從源頭阻斷惡意應用的進駐雖好,但用戶總是會因各種原因獲取某些安全性未知的應用。所以,用戶在手機中最好也安裝一款可以監(jiān)控手機隱私權限的應用,以360手機衛(wèi)士為例,用戶進入應用主界面后,依次點擊“隱私行為監(jiān)控/設置”,并滑動“服務設置”下的“隱私行為監(jiān)控”按鈕使其變成“已開啟”狀態(tài)(如圖6)。
接下來返回隱私監(jiān)控的主界面,進入用戶擔心的隱私項目,如用戶擔心自己玩的游戲會后臺扣費,可依次進入“撥打電話”和“發(fā)送短信”項目,選中相關應用,將該用戶權限由默認的“允許”改為“總是詢問”。這樣游戲在每次試圖扣費時,360都會彈出詢問窗口(如圖7),當然,用戶如果根本不準備付費,可以直接選擇“禁止”,這樣就不會得到任何提示,而自動阻止所有扣費行為。
| Tips |
少量應用在完全禁止了隱私行為后,可能會造成應用閃退的問題,此處建議將不放心的應用都改為“總是詢問”。
隱私權限作用
無論用戶使用什么樣子的安全工具制定隱私規(guī)則,都會發(fā)現(xiàn)界面上林林總總的列舉了許多項隱私權限,如果一刀切的全部禁用,會發(fā)現(xiàn)大部分應用都沒辦法正常工作了,其實用戶只需了解手機中獲取各項應用的功能,就能比較容易的制定出適合自己的隱私設定了。
撥打電話發(fā)送短信
手機管理軟件的手機端、撥號工具、通訊錄應用、擁有撥號功能的通訊應用都會獲取此權限;而其他的應用和游戲如果獲取此權限則是為了擁有扣費功能,用戶如果不準備為應用付款,則不要允許他們獲取此權限。
獲取通訊記錄
幾乎所有的手機管理工具、社交應用、擁有分享功能的應用都會獲取此權限。不過用戶需要特別注意的是,以上所有的應用都不會試圖獲取本機號碼,如果用戶發(fā)現(xiàn)有應用在后臺獲取本機的號碼時,一定要千萬小心,這很有可能是涉及到詐騙信息的應用。
讀取位置信息
雖然定位物理地址這是一項最暴露用戶現(xiàn)實信息的功能,但在絕大多數(shù)情況下都是用戶在社交應用中自愿分享。當然會有少量監(jiān)控類應用(如家長監(jiān)控類軟件)會獲取此權限,用戶可以拒絕此類軟件讀取位置信息讓此類應用失效。
獲取設備識別碼
此權限用于通過識別碼知曉手機型號,并讓開發(fā)者得到統(tǒng)計數(shù)據(jù)后作出調(diào)整與改進,在隱私權限中,屬于低風險隱私信息。
監(jiān)聽新安裝應用
這項權限在常規(guī)的隱私保護工具中并沒有被列出來,因為大部分使用此功能的應用都是殺毒應用或安全工具。不過,經(jīng)過筆者測試發(fā)現(xiàn),一些自帶推送功能的應用會獲取此權限,掃描本機安裝的應用后,再向用戶推送相應的應用,筆者建議用戶不要允許非安全類應用獲得此項權限。