今年央視的“3·15”晚會(huì)上,讓兩個(gè)互聯(lián)網(wǎng)安全方面的問題,曝光在用戶面前,“廣告技術(shù)公司利用Cookies偷竊網(wǎng)民隱私”及“66.9%的智能手機(jī)移動(dòng)應(yīng)用在抓取用戶隱私數(shù)據(jù)”,PC用戶的隱私被人獲取,最多也就是多接收一些廣告頁面。然而手機(jī)里被鎖住的隱私一旦被挖掘出來的話,那對(duì)于許多人的生活而言,無異將產(chǎn)生一場大地震,那么我們就有必要審視一下自己的手機(jī)為自己安裝了多少枚“炸彈”?
應(yīng)用隱私實(shí)測
如果用戶在平時(shí)安裝應(yīng)用時(shí)稍加注意的話,就會(huì)發(fā)現(xiàn)在安裝界面中,可以看到應(yīng)用將在手機(jī)中獲取的各種權(quán)限,這其中涉及到隱私權(quán)限的包括:撥打電話、收發(fā)短信、讀取通訊錄、讀取位置信息及獲取設(shè)備信息等。如果用戶安裝了360手機(jī)衛(wèi)士等安全類工具,那么就會(huì)發(fā)現(xiàn)自己手機(jī)中的應(yīng)用獲取隱私的比率真是高的驚人,筆者的Android手機(jī)中安裝了60款應(yīng)用,并且全部是通過Google play與豌豆莢這種相對(duì)值得信賴的平臺(tái)獲取,但是在打開了360的“隱私行為監(jiān)控”時(shí),發(fā)現(xiàn)獲取用戶隱私的應(yīng)用高達(dá)40款(如圖1)!這樣看來豈不是真的如CCTV所說的那樣,7成手機(jī)應(yīng)用都在竊取用戶隱私?
不過這里,CCTV和安全廠商們都混淆了一個(gè)概念,應(yīng)用擁有涉及到獲取隱私的權(quán)限并不能說明它在竊取用戶的隱私,我們可以打開360手機(jī)衛(wèi)士,并依次選擇“隱私行為監(jiān)控/讀取短信記錄”(如圖2),可以看到手機(jī)中“偷看”自己短信的應(yīng)用大致分為3類:豌豆莢、應(yīng)用助手等同步類應(yīng)用需要調(diào)用短信記錄進(jìn)行同步與備份;擁有分享功能的圖片、音樂類應(yīng)用進(jìn)行短信分享,以及短信的拓展應(yīng)用。
所以我們?cè)诖丝梢钥闯?,雖然在后臺(tái)獲取用戶隱私的應(yīng)用確實(shí)存在,但是絕大多數(shù)正常應(yīng)用僅僅是因?yàn)樽陨矸?wù)的需要而去獲取權(quán)限,而不是刻意去挖掘用戶的秘密。
獲取更安全的應(yīng)用
當(dāng)然,大部分應(yīng)用的“光明正大”,不代表沒有少量應(yīng)用真的在渾水摸魚收集用戶的信息。然而對(duì)于普通用戶的我們,該如何辨別應(yīng)用獲取隱私權(quán)限的目的是否呢?
首先,用戶應(yīng)該盡量從值得信賴的應(yīng)用平臺(tái)獲取應(yīng)用,在這一點(diǎn)上,蘋果的App Store有著先天的優(yōu)勢,惡意竊取用戶隱私的應(yīng)用很難通過App Store的驗(yàn)證。而Android用戶的Google Play雖然一直都在嘗試做出改進(jìn),但目前在安全驗(yàn)證方面仍然不能100%保證其安全,不過好在Google Play提供的應(yīng)用評(píng)論可以讓大家直接看到其他用戶對(duì)該應(yīng)用的評(píng)價(jià),除非是特別冷門的應(yīng)用,否則用戶還是可以很容易從他人的評(píng)論中看到該應(yīng)用中存在的問題(如圖3)。
假如用戶想通過第三方市場或網(wǎng)站下載應(yīng)用,筆者建議通過豌豆莢、或應(yīng)用助手這類輔助工具安裝,這樣在安裝的過程中用戶可以很清晰的看到該應(yīng)用將獲取哪些隱私信息,而不是手機(jī)安裝時(shí)得到泛泛的權(quán)限提示,如筆者安裝了聊天機(jī)器人SimSimi的中文版,卻在豌豆莢中發(fā)現(xiàn),該應(yīng)用將獲得監(jiān)控用戶“安裝新應(yīng)用”的權(quán)限(如圖4),當(dāng)筆者安裝后,發(fā)現(xiàn)它會(huì)根據(jù)用戶手機(jī)已使用的應(yīng)用,進(jìn)行各種應(yīng)用的廣告推薦(如圖5)。
能從源頭阻斷惡意應(yīng)用的進(jìn)駐雖好,但用戶總是會(huì)因各種原因獲取某些安全性未知的應(yīng)用。所以,用戶在手機(jī)中最好也安裝一款可以監(jiān)控手機(jī)隱私權(quán)限的應(yīng)用,以360手機(jī)衛(wèi)士為例,用戶進(jìn)入應(yīng)用主界面后,依次點(diǎn)擊“隱私行為監(jiān)控/設(shè)置”,并滑動(dòng)“服務(wù)設(shè)置”下的“隱私行為監(jiān)控”按鈕使其變成“已開啟”狀態(tài)(如圖6)。
接下來返回隱私監(jiān)控的主界面,進(jìn)入用戶擔(dān)心的隱私項(xiàng)目,如用戶擔(dān)心自己玩的游戲會(huì)后臺(tái)扣費(fèi),可依次進(jìn)入“撥打電話”和“發(fā)送短信”項(xiàng)目,選中相關(guān)應(yīng)用,將該用戶權(quán)限由默認(rèn)的“允許”改為“總是詢問”。這樣游戲在每次試圖扣費(fèi)時(shí),360都會(huì)彈出詢問窗口(如圖7),當(dāng)然,用戶如果根本不準(zhǔn)備付費(fèi),可以直接選擇“禁止”,這樣就不會(huì)得到任何提示,而自動(dòng)阻止所有扣費(fèi)行為。
| Tips |
少量應(yīng)用在完全禁止了隱私行為后,可能會(huì)造成應(yīng)用閃退的問題,此處建議將不放心的應(yīng)用都改為“總是詢問”。
隱私權(quán)限作用
無論用戶使用什么樣子的安全工具制定隱私規(guī)則,都會(huì)發(fā)現(xiàn)界面上林林總總的列舉了許多項(xiàng)隱私權(quán)限,如果一刀切的全部禁用,會(huì)發(fā)現(xiàn)大部分應(yīng)用都沒辦法正常工作了,其實(shí)用戶只需了解手機(jī)中獲取各項(xiàng)應(yīng)用的功能,就能比較容易的制定出適合自己的隱私設(shè)定了。
撥打電話發(fā)送短信
手機(jī)管理軟件的手機(jī)端、撥號(hào)工具、通訊錄應(yīng)用、擁有撥號(hào)功能的通訊應(yīng)用都會(huì)獲取此權(quán)限;而其他的應(yīng)用和游戲如果獲取此權(quán)限則是為了擁有扣費(fèi)功能,用戶如果不準(zhǔn)備為應(yīng)用付款,則不要允許他們獲取此權(quán)限。
獲取通訊記錄
幾乎所有的手機(jī)管理工具、社交應(yīng)用、擁有分享功能的應(yīng)用都會(huì)獲取此權(quán)限。不過用戶需要特別注意的是,以上所有的應(yīng)用都不會(huì)試圖獲取本機(jī)號(hào)碼,如果用戶發(fā)現(xiàn)有應(yīng)用在后臺(tái)獲取本機(jī)的號(hào)碼時(shí),一定要千萬小心,這很有可能是涉及到詐騙信息的應(yīng)用。
讀取位置信息
雖然定位物理地址這是一項(xiàng)最暴露用戶現(xiàn)實(shí)信息的功能,但在絕大多數(shù)情況下都是用戶在社交應(yīng)用中自愿分享。當(dāng)然會(huì)有少量監(jiān)控類應(yīng)用(如家長監(jiān)控類軟件)會(huì)獲取此權(quán)限,用戶可以拒絕此類軟件讀取位置信息讓此類應(yīng)用失效。
獲取設(shè)備識(shí)別碼
此權(quán)限用于通過識(shí)別碼知曉手機(jī)型號(hào),并讓開發(fā)者得到統(tǒng)計(jì)數(shù)據(jù)后作出調(diào)整與改進(jìn),在隱私權(quán)限中,屬于低風(fēng)險(xiǎn)隱私信息。
監(jiān)聽新安裝應(yīng)用
這項(xiàng)權(quán)限在常規(guī)的隱私保護(hù)工具中并沒有被列出來,因?yàn)榇蟛糠质褂么斯δ艿膽?yīng)用都是殺毒應(yīng)用或安全工具。不過,經(jīng)過筆者測試發(fā)現(xiàn),一些自帶推送功能的應(yīng)用會(huì)獲取此權(quán)限,掃描本機(jī)安裝的應(yīng)用后,再向用戶推送相應(yīng)的應(yīng)用,筆者建議用戶不要允許非安全類應(yīng)用獲得此項(xiàng)權(quán)限。