干货
观点
案例
资讯
我们
岂安科技
最真诚的业务安全公众号
据IT时报报道,近日,有媒体爆出国内不少App存在强制向用户索取隐私权限的行为,来自不同应用商店的同一款App对用户隐私权限读取要求竟截然不同——在安卓平台上要求读取的通讯录、通话记录等权限到了苹果应用商店竟全都不见了踪影。
是这款应用的功能改变了吗?并不是,与苹果商店对App的权限审核相比,安卓应用商店的大部分应用对用户隐私的调用不仅涉嫌“越权”,同时缺少明确交代。
手机APP这些权限有这么重要、这么可怕?当然,这些权限所包含的内容,正是个人信息。从狭义层面来说,其主动获取的用户个人信息数据,完全可以通过第三方公司整合后卖个好价钱。
拿了你的信息卖钱,你还帮着数
我找来岂安科技数据分析师大星,以某个地铁 APP 为例,告诉你手机权限对你个人信息如何神不知鬼不觉的进行获取。
我们举例的这个 APP 提供非官方的地铁地图展示和换乘相关功能,很多这类小型工具类应用为个体开发者独立开发和运营,看似没有成熟的盈利模式,实际在广告上的收入很高。
分析师设置手机代理、安装证书、指定 SSL 代理站点并打开应用后,安装好了 Charles 抓包软件后,软件展示了大量和应用功能不相关的请求:
——打开 APP 后的十秒内,客户端一共向服务器发起 30 余条请求,其中仅有 3 条是应用功能相关的请求,其余全是广告类请求和用户信息数据类请求。
和应用功能不相关的请求是用户信息数据类请求。在搜索引擎中搜索请求的域名,结果显示为第三方用户行为统计分析网站。从Charles请求体预览中能看到POST表单中包含了用户的地理位置、操作系统、手机序列号、手机容量等用户信息数据。
也就是说用户在打开APP的同时,个人的手机信息数据会被被动采集上传至第三方数据统计分析网站。
刚刚所举例的实操过程,是在 Windows 平台抓包 IOS 平台下的 APP,应用仅能获得手机序列号、地理位置、手机容量这类不算特别隐私的数据,应用采集数据后一般会进行合理的用户画像分析和用户标签整理,然而,root 过的安卓系统,用户安装了哪些应用、通讯录名单、通话记录等极为隐私的数据都有可能被后台采集。相对而言,IOS系统的应用权限控制的较好。换句话说,在个人信息调用这个层面,苹果系统比安卓系统保护得好一点。
一个小型APP都能有如此多得信息获取,何况…… 至于是否放到黑市贩卖,纯粹凭良心和职业道德,用户可做的主动保护措施很少。
拿你的信息卖钱、套现,你只能干瞪眼
有这么一群叫信息采集者的人在黑市流动,他们能用较低的现金和礼品奖励获得大量真实的主动提供的手机号码、证件号码等,或者是与制作、合作、攻破上述这类拥有“越权”权限手机APP,进行进一步诱导操作,信息获取几乎没有任何成本。
这类数据处在黑市数据价值金字塔的顶端,代办信用卡是其常见的变现途径。一张信用卡即使只能套现五千,数量堆积上去后黑产的收益极其客观,随之而来的给被泄露者带来的伤害也尤其大,个人的信用记录都会受到影响。
网络服务提供者窃取信息最高罚100万元
据了解,目前国内手机App审核上线是一种企业行为,保障用户账号安全与信息安全的主要责任当然在企业。而目前的现状是,App开发者在申请地理位置、通讯录、通话记录等涉及用户隐私的权限时,无需提供任何资质备案,上线后还可随时开通,因此想要获取涉及用户隐私权限几乎没有阻碍。
今年4月4日,由公安部起草的《公安机关互联网安全监督检查规定》起向社会征求意见:在重大网络安全保卫任务期间,公安机关可对互联网安全情况实行专项检查。意见稿拟规定:
“
互联网服务提供者窃取、非法出售、非法提供个人信息,即使尚不构成犯罪,没有违法所得,也将被处以最高一百万元的罚金。
”
什么样的好处能够让我们选择忍受种种不足,**最终我们愿意为便利付出多少代价?**在互联网安全问题愈演愈烈的当下,我们拭目以待。