新闻观察:手机APP安全隐患令人担忧
您的手机可能正在被“窃听”
现在,我们手机中都安装了各种应用,也就是各种App,的确方便了我们的工作、生活,但是这些APP也获取了我们大量的个人信息。一些App的推送能“精准”到你在想什么,它就给你推送什么。App的这种“正合我意”是怎么实现的?个人信息安全有没有风险呢?
哪来的“精准推送”?
江苏扬州市民小陈喜欢网上购物,最近她发觉自己的手机太“了解”她了。前几天,她在办公室与同事闲聊了一款产品,当晚电商APP就向她推送了相关信息。
扬州市民 小陈:我在办公室跟同事讨论了一下,然后我也没有在淘宝京东上搜过。当天晚上我打开淘宝京东的时候,就发现它们给我推送蓝牙耳机,各种各样的品牌。
小陈说,类似的情况,已经遇到不止一次。
扬州市民 小陈:包括给小孩买尿不湿,我自己买化妆品。它好像知道我什么时候用完,什么时候需要买,然后就会主动给我推送这些,包括在刷抖音的时候。
自己只是口头提及,从未搜索过,却被精准地推送广告,小陈据此怀疑,自己手机被“窃听”了!对此,不少人也表示有过类似的经历。
扬州市民:比如说你最近感兴趣什么东西,就跟你推什么东西,后台直接给你推出来。你就很惊讶,它为什么知道你喜欢这些东西。
扬州市民:这个(窃听)事情在我们这里很多,所以我们很多时候会把后台关掉甚至删除。
那么,手机APP究竟有没有可能实现“监听”功能?记者也做了一个实验。
记者 孟祥坤:现在我拿到了两台手机,一台是苹果手机,另一台是使用安卓系统的手机。那么接下来,我将在两种系统之下的应用商店当中,我们所需要的APP,我们来看一看需要哪些授权才能够下载。
记者在两款手机上,分别下载了四款APP,内容涵盖生活、金融、游戏等服务应用。四家平台向用户索取了相机、麦克风、定位、通讯录等多个权限。
记者 孟祥坤:我发现这些手机软件,都是要求我们进行不同内容的授权的。而且其中一款手机APP,如果你不授权的话将是无法打开,也是无法使用。
业内人士:技术上实现“监听”并不难
业内人士表示,只要用户给予APP相关权限,技术上是可以做到“监听”等操作的。
江苏云智公司研发部技术员 杨瑞利:日历、相册、语音、蓝牙都是需要用户的授权。这个授权可能是一次性的,它下次就可以直接获取你的信息。
而目前,大部分的手机用户并不清楚自己开通相关权限后,会把什么信息暴露在风险之中。
江苏云智公司研发部技术员 杨瑞利:比如上传照片之类的,有时候他也获取了权限。有些用户可能不注意,直接就允许了。
在业内人士看来,收集个人信息有无必要,取决于产品的功能和定位。例如很多外卖APP收集用户访问记录,分析用户的兴趣、偏好,以便实现精准推荐。
那么,用户该如何守护自己的信息安全呢?业内人士建议:除了要在正规应用商城下载主流APP之外,还要注意在不使用APP时,应主动关闭后台以及相关隐私权限。
江苏云智公司研发部技术员 杨瑞利:如果你发现他获取你的照片信息,使用你的相册或者使用你的相机,跟你无关的,你最好就要拒绝。
新闻链接:很多手机APP过度收集信息 国家着手整治
对于手机APP过度索权的问题,不仅要从技术层面拦截,还要从法规上加以遏制。去年,上海市消保委发布对网购平台、旅游出行、生活服务等39款手机APP开展涉及个人信息权限的评测结果。其中,9款涉嫌过度获取用户权限。前天我们栏目也报道了,在近日央视播出的315晚会上,一些手机APP应用的第三方SDK插件被曝存在窃取用户信息的情况。针对这一系列APP引发的安全问题,国家正着手进行整治。
对于类似行为,我国法律已有一些相应条款,例如《网络安全法》规定,网络运营者应当遵循合法、正当、必要的原则,不得收集与其提供服务无关的个人信息。但由于软件种类繁多,现行法律法规很难对各细分领域逐一界定,而且对违规行为的处罚也较轻。
江苏擎天柱律师事务所律师 徐悦:国家干预的程度、处罚的手段,相对来说还是比较轻的,信息不是完全就在一个手机上面。那这个证据怎么来调查?第一你需要懂相应的技术,第二个还需要相应的职能机关来配合。
对于手机APP带来的个人隐私安全问题,近年来,国家多部门已经着手进行整治,去年1月,中央网信办、工信部、公安部、国家市场监督管理总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,成立了App违法违规收集使用个人信息专项治理工作组。在随后的几个月时间里,仿冒App、过度索权、账户注销难、霸王隐私政策等问题得到了社会各界的广泛关注。在这段时间里《App违法违规收集使用个人信息行为认定方法(征求意见稿)》、《移动互联网应用基本业务功能必要信息规范》等文件相继出炉。在一系列文件出炉的同时,公安部、国家网信办、工信部等监管部门开始对违法违规App“点名”,2019年下半年几乎每个月都会有一批违法违规App被曝光。
去年11月,央行下发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,并随通知发布了《移动金融客户端应用软件安全管理规范》。在规范中,对移动客户端的身份认证安全、逻辑安全、安全功能设计、密码算法及密钥管理、数据安全都做出了要求。
今年10月,我国将正式施行《信息安全技术 个人信息安全规范》,针对当前APP运营管理中无法关闭个性化推送信息、第三方接入缺乏有效管理、内部管理职责不明等问题,“规范”进一步梳理了相应条款,以完善对个人信息的保护体系。
新闻观察:手机APP安全隐患令人担忧
今天的新闻观察员是许晓露。新闻中提到的部分手机APP侵权行为,你是否有遭遇过?对此你怎么看待?
细思恐极的手机App侵权行为亟需遏制
新闻中提到的情况,我在现实生活中也真切地遇到过。享受到如此精准的商业推送,让我的心情从“惊讶”变成“惊吓”,而且细思恐极。网络技术的违规越矩,超出了社会大众的想象。我们在生活中重度依赖的手机和各种App软件,正在不知不觉中伤害着我们。不仅仅是新闻中提到的窃取个人信息,相关部门已经证实,通过APP窃取公民通讯录、短信等隐私信息进行敲诈勒索、网络诈骗等案件高发。更为严重的是,信息泄露开始从一般信息向生物识别信息蔓延,有些App尝试偷拍用户的人脸照片。所以,我们必须清醒地认识到,网络技术的延伸发展已经大大超出了公众的认知和自我保护的能力,如果不对行业乱象加以遏制,我们的网络安全从何谈起?
在各种恶劣的侵手机APP侵权行为面前,我们不得不承认,手机用户的自我保护太有限了,那么“国家队”的出手能否帮助我们更好地实现网络安全呢?
惩治违法行为要有态度更有力度
不得不说,目前相关部门对于部分APP违法违规收集个人信息的处罚手段很有限,主要依靠企业自律,或是监管部门采取限期整改、约谈和下架等方式。这也就意味着没有锋利的“牙齿”能震慑这类行为。大数据时代,数据成为重要的资产,如果任由这棵高科技的参天大树越长越歪,恐怕真的会“人人自危”了。我们希望能尽快看到监管部门联手“重拳出击”,加大处罚力度,增加违法成本,罚到企业有痛感。甚至,是不是可以更多地让严重泄露个人信息的互联网企业适用刑法,进一步加大对相关责任人的处罚力度。
此外,App个人信息保护问题还涉及手机厂商、应用商店、第三方合作伙伴等整个移动生态的自律规范。我们希望进一步强化应用商店对App个人信息在安全方面的审核,提高相应标准。作为手机用户,也要加强个人信息保护意识和手段,下手勾选开通信息之前多看一眼,遇到违法违规的App及时投诉,给自己和他人多一层保护。