互联网时代的“裸奔”：APP如何偷窥你的隐私？

　　本文由微信公众号苏宁金融研究院（ID：SIF-2015）原创，作者为苏宁金融研究院高级研究员刘培彬，首图来自壹图网。

　　每天只让你选择一件物品出门，你会选择什么呢？

　　相信大家心里已经有了答案，那就是手机。

　　你的工作生活是不是已经被手机填满？早上起来查看天气，手机APP自动提醒你注意防晒；开车经过某一个城市，手机APP马上推荐相关城市的衣食住行。作为资深手机控，我们充分享受各类APP带来的便利。

　　另外，你的手机是否频繁收到一堆优惠活动的垃圾短信；除了快递小哥给你打电话，更多时候对方直接报上你的大名，当你以为是老朋友或者同事时，却发现对方让你带上小孩来参加课程体验，或者某某房源又有优惠。对于个人隐私泄露，你是否深恶痛绝呢？

　　对于越来越懂你的手机，你懂它吗？

　　本文起底恶意APP如何窃取你的隐私，以及教你如何防范。

　　隐私泄露屡禁不止，精准诈骗频发

　　2020年5月15日，工信部发布关于侵害用户权益行为的APP通报（2020年第一批）。依据《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，工业和信息化部近期组织第三方检测机构对手机应用软件进行检查，对发现存在问题的企业进行督促整改。

　　到底有哪些APP？它们涉及到的违法违规行为是什么？

　　据通报，当当、店长直聘、e代驾、大街等16款APP在列，这些应用软件均涉及私自收集个人信息问题，另外还包括私自共享给第三方、超范围收集个人信息、不给权限不让用、强制用户使用定向推送、过度索取权限、账号注销难等7大类问题。

　　工信部要求，存在问题的APP应在5月25日前完成整改落实工作，逾期不整改的，工业和信息化部将依法依规组织开展相关处置工作。

　　2018年8月，中消协发布《APP个人信息泄露情况调查报告》称，APP已经成为个人信息泄露的重灾区，遇到过个人信息泄露情况的人数占比为85.2%，没有遇到过个人信息泄露情况的人数占比为14.8%。

　　当消费者个人信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件，排名位居前三位。

　　调查结果还显示，如果手机APP导致个人信息泄露，最担心的问题是被利用从事诈骗窃取活动，占70.5%；其次是贩卖或交换给第三方约占52.4%；被推销广告骚扰占比约为37.7%；名誉受损约占6.6%。

　　值得关注的是，最终有大约三分之一的受访者选择“自认倒霉”，一方面可能是基于无力应对的选择，另一方面也可能是应对无效后的接受现状。

　　骗子获取用户信息以后，最担心的是对个人进行“量身定做”的精准诈骗，这种骗术很难被当事者识破，因为骗子往往能够准确地说出当事者一些较为私密的信息，足以“以假乱真”，让用户放松警惕。

　　2019年9月20日，黑龙江双鸭山一位刘女士报警称，她前几日在第三方平台上购买了一张飞机票，就在飞机起飞的前一天，她突然收到短信称行程取消。她电话联系退款，结果被骗15000元。

　　隐私泄露原因多样，套路满满识别难

　　用户个人隐私泄露原因多样，本节主要从黑灰产人员、APP开发者、APP本身和用户自身四方面进行分析。

　　1、黑灰产人员通过对系统反编译、攻击篡改、植入后门等方式对数据进行窃取

　　2013年10月，国内安全漏洞监测平台“乌云网”披露，自称是中国最大的酒店数字客房服务商的浙江某某公司，因为安全漏洞问题，使与其有合作关系的大批酒店的开房记录在网上泄露。

　　数天后，一个名为“2000w开房数据”的文件出现在网上，其中包含2000万条在酒店开房的个人信息，容量达1.7G。开房数据中，开房时间介于2010年下半年至2013年上半年，包含姓名、性别、国籍、民族、身份证号、生日、地址、邮编、手机、固话、传真、邮箱、公司、住宿时间14个字段。

　　黑客利用平台漏洞，收集网站和APP应用程序泄露的个人信息，再尝试登录其它网站系统进行“撞库”，不断非法获取用户信息。通过手机号、身份证号将用户碎片信息不断关联清洗，再把这些信息“打包”卖给不法分子，以此牟利。

　　目前，“人肉搜索”已经成为一门灰色生意，价格从数百元到数千元不等，而这些信息均来自于黑灰产人士用于储备个人信息的“社工库”。

　　需要指出的是，社工库及“人肉搜索”行为严重触犯了《网络安全法》及其他有关法律、行政法规关于个人信息保护的规定。

　　2、APP开发者技术实力参差不齐，数据管理不善容易造成数据泄露

　　一般中小公司APP开发者技术能力薄弱，在数据安全技术力量上欠缺，数据保护意识不强。这给了黑客可趁之机。

　　以金融行业APP为例，这些和“钱”有关的APP到底安全性几何？2019年9月11日，中国信通院的报告团队从232个安卓应用市场中收录了 133327 款金融行业APP。经检测发现，共有20.48%的金融行业APP被嵌入了第三方SDK，嵌入的SDK 数量共计高达104005个。在嵌入SDK的金融行业APP中，有45%的APP嵌入了5个及以上的SDK。而第三方SDK存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险。

　　而这批APP中仅17.08%进行了安全加固，超过 80%的金融行业APP在应用市场“裸奔”，未进行任何的安全加固。基于 Java 语言编写的安卓应用程序如不进行加固，则其打包的 APK 文件很容易被反编译工具进行逆向分析，进而暴露风险。

　　3、APP本身过度索取手机权限带来隐私泄露风险

　　对APP来说，获取手机权限一部分是因为功能需求（如导航软件获取位置信息）；而另一方面也是为了尽可能多地收集用户数据，更加详尽地了解用户特性，进而有针对性的进行推广，提高用户体验等。

　　APP最热衷收集的就是获取用户位置和通讯录信息。根据《APP个人信息泄露情况调查报告》，读取位置信息权限和访问联系人权限是安装和使用手机APP时遇到情况最多的，分别占86.8%和62.3%。受访者被要求读取通话记录权限(47.5%)、读取短信记录权限(39.3%)、打开摄像头权限(39.3%)、话筒录音权限(24.6%)的比例也相对较高。

　　APP在安装的时候，有一个服务协议与隐私政策，长达几页甚至十几页且文字密集。一些软件不授权就无法使用，绝大部分用户没有兴趣阅读并直接默认选择同意。一些看似“正规”的APP在条款内埋下陷阱，披着“合法”的外衣，以“本人已经阅读且同意履行”为由搜集用户个人信息。被发现维权时就以“已经在条款中说明要求，用户已经同意”的理由为自己开脱。

　　4、用户自身安全意识缺乏，经不住“诱惑”容易造成隐私泄露

　　互联网时代，大量用户不知道怎么正确管理账号密码，普遍存在安全意识缺乏，容易中毒或被钓鱼软件欺骗。

　　大量高仿低质APP充斥在市场。以在IOS Appstore搜索“查社保”为例，出来几十个类似APP，普通用户很难区分哪一个APP是官方出品，排名靠前的APP有可能是通过刷评论、刷下载量等手段冲上去的。用户在注册使用过程中，其数据被这些APP保留下来。2019年315，“社保掌上通”因过度收集用户信息数据被点名，用户填写各种资料注册这款APP后，这款APP会通过隐藏的用户条款窃取用户社保信息，现在这款APP已经被全网下架。

　　还有一些APP通过优惠短信链接、扫码打折等诱惑信息，吸引用户直接下载APP。这时用户要擦亮双眼，不要图方便或只看评价等，在不清楚APP来源的情况下，不要下载和输入个人信息。在使用APP某些功能提示需要读取通讯录时，一定要慎重考虑这个要求是否合理，增加自身的辨别能力和隐私保护意识。

　　热衷获取个人隐私，商业利益是诱因

　　商业的本质是逐利的，正确合理地使用数据本无可厚非。正如百度CEO李彦宏所说，中国人多数情况下愿意用隐私换便利，但用户仍然不希望被过度查看自己的个人数据，例如聊天记录、通话记录等。

　　抛开“贩卖和交换个人信息”、“诈骗窃取活动”等不法行为外，个人信息是如何被拿来做推销广告的呢？让你收广告收的明白，本节为你简单介绍一下套路。

　　首先，我们在注册使用购物或者社交APP时，你的姓名、手机号、性别和地址等信息会被记录下来。

　　其次，你在使用APP过程中，你的行为数据如浏览时间、地理位置、浏览路径、消费记录等上千个行为都会保存下来。

　　接下来，系统建立模型，从这些基本数据和行为数据中构建标签，试图从无数个标签中构建出你的用户画像。

　　举个例子，你看到一款“电视”产品的介绍，系统计算你对“电视”的购买欲程度。通过一个简单的标签加权算法：

　　购买欲权重=行为权重×停留时间×衰减因子

　　当你对“电视”产品评论、点赞、转发和收藏等操作后，你的行为权重会增加。停留时间是加分项，如果浏览“电视”的时间长，表示你对其有兴趣。短暂的停留无法代表你长期的兴趣，单次浏览行为的权重会随着时间流逝不断衰减。

　　最后，系统根据这些标签，通过你的浏览行为给你推荐商品；也可以将其他跟你相似用户的浏览记录和购买过的商品推荐给你。

　　在互联网诞生初期，《纽约客》曾有一句闻名全球的俚语：“在互联网上，没有人知道你是一条狗。”而现在，狗比你更了解你自己。

　　防范隐私泄露，提升个人安全意识

　　在互联网时代该如何守护我们的个人隐私？需要APP开发者、应用发行市场和APP使用者共同努力。

　　1、APP开发者履行责任，从源头上保护个人隐私安全

　　一个APP上线，要经历设计、开发和上线环节。APP开发者需自觉遵守《APP违法违规收集使用个人信息行为认定方法》等相关法律；遵循个人数据采集的基本原则，包括目的明确、最少够用、公开告知、个人同意等。对信息泄密建立所谓的“问责制”，使所有人能更重视数据问题的解决之道。

　　2、应用分发平台完善审核机制，帮助用户守好“最后一道门”

　　我国境内应用商店数量已超过200家，大部分应用商店都推出了一定措施来保障用户的安全体验, 严格审核把关，提升用户体验尤为重要。一些应用分发平台已经采用“恶意行为检测”+“隐私泄露检查”+“安全漏洞扫描”+“人工实名复检”四重检测体系，以多样安全审核措施保障上架应用的安全合规。

　　3、APP使用者加强信息安全保护意识，不让非法应用“有机可趁”

　　APP使用者具体可通过下述四种方法加强个人信息安全保护：

　　（1）对APP分等级管理，设置不同的账号密码。涉及资金类的APP和一般APP，设置两套不同的账户和密码可防止连环盗号。

　　（2）不要随意登录免费WiFi，随意刷二维码。下载APP时最好从官方网站上下载，或通过合格经营的第三方应用市场下载，并适当查核发布者的资质。山寨APP，或存在窃取个人信息、恶意扣费等问题的APP，提前了解甄别，以防落入山寨陷阱。

　　（3）关闭APP的敏感权限。查看应用索取的权限，读取通讯录、读取短信通话记录等敏感权限尽量关闭。

　　对于苹果手机，点击设置-隐私，查看哪些程序还在使用你的“定位服务”、“通讯录”等服务。关闭设置-通用-后台应用刷新功能，有些APP通过后台应用刷新功能收集用户信息。

　　对于安卓手机，慎开USB调试模式，因为手机一旦开启USB调试模式，PC端的软件可以快速地对手机进行root操作。一旦有了root权限，手机的锁屏密码、绑定账号等信息很容易被其它软件随意调用，其安全风险不言而喻。

　　（4）个人信息不要随意填写，不主动泄露。平时接收快递，使用X先生/女士，优先使用小区自提柜，不对应具体门牌号；使用隐私小号进行联系等。

　　“出来混,迟早要还的”。个人信息保护已经成为两会热点话题。5月25日，全国人大常委会工作报告在下一步主要工作安排中指出，将制定个人信息保护法、数据安全法。央行将严打无证经营违规获取个人隐私数据。

　　个人隐私数据的违规收集和野蛮使用时代将会终结。