你的個人信息是如何泄露的？ APP正窺伺你的隱私

小心！APP正窺伺你的隱私

用著GPS，連著免費WiFi，守著驗證碼，注冊著各種APP，享受著智能手機帶來的便利生活。但同時，騷擾電話、詐騙短信、精準到恐怖的推送，讓你在不知不覺中也承擔著隱私信息泄露所帶來的風險。離不開智能手機的都市人正在面臨一種困境：既不知道自己的信息流向何處，也不知道黑暗中有什么正在窺伺著你的個人隱私。

應用索取的權限合理嗎？你的個人信息是如何泄露的？該如何在移動互聯網時代主動保護我們的個人隱私？昨天，騰訊聯合DCCI發布《2017年度隱私安全及網絡欺詐行為分析報告》，通過統計1129款APP獲取用戶手機隱私權限的情況，評估移動端隱私安全性，并對近期肆虐網絡的欺詐現象，剖析手法，提出應對措施。

現象：

APP越界獲取信息

一款手機壁紙應用竟然要讀取你的通訊錄，一個瀏覽器應用竟能隨時給你錄音。別覺得不可思議，通過越界索權獲取用戶個人信息的APP不在少數，個人隱私泄露問題也日趨嚴重。北京晨報記者打開自己手機中的應用商店，隨機搜索安裝了幾款軟件，發現絕大部分軟件都要求用戶開放存儲、位置信息、電話等權限，還有的要求開通訪問通訊錄的權限。如果選擇不同意，就無法安裝這些應用。

根據《2017年度隱私安全及網絡欺詐行為分析報告》(以下簡稱《報告》)，移動網絡隱私的泄露主要有手機軟件獲取、免費WiFi竊取、舊手機設備泄露，以及黑客盜取企業大數據等渠道。報告指出，針對手機軟件獲取情況，研究團隊共選取了852個Android手機APP、275個iOS手機APP，對三類隱私權限的獲取情況進行逐一分析，包括核心隱私權限、重要隱私權限及普通隱私權限。

“核心隱私權限”包括獲取位置信息、讀取手機號、讀取短信記錄、通話記錄等；“重要隱私權限”包括打開攝像頭、使用話筒錄音、發送短信、發送彩信、撥打電話等；“普通隱私權限”則包括打開WiFi開關、打開藍牙開關、獲取設備信息等、打開數據網絡等。

《報告》隱私安全測試結果顯示，2017年下半年，852個Android手機APP中有98.5%都要獲取用戶隱私權限，這比去年一季度增長了2%。其中，網絡游戲與常用工具是獲取用戶手機隱私權限占比最高的兩類應用，分別達到獲取隱私權限總數的24.4%和18.8%。

一個良性的變化是，與2017年一季度測評結果相比，Android手機APP對核心隱私權限的獲取情況有所降低。特別是讀取手機號碼、讀取彩信兩個權限大幅度下降，下半年測評中所占比例分別為10.9%和0.8%。此外，Android應用在下半年越界獲取用戶隱私權限的比例也有明顯下降，從25.3%降至9%。

測評還發現，對隱私權限管理相對完善的iOS系統，同樣也存在隱私泄露問題。

《報告》顯示，2017年下半年iOS應用獲取的用戶手機隱私權限比例相較于第一季度有所上升，達到81.9%，提高了12.6%個百分點。其中，通訊社區、影音娛樂類APP為100%獲取手機隱私權限，此外，常用工具、圖像美化、投資理財類的軟件獲取比例也有所上升，均達到90%以上。

支招：

對來路不明程序說不

大家該如何保護好自己的隱私呢？《報告》建議可從以下五點著手：

一是下載軟件選擇正規渠道，如應用寶、安卓市場等；二是謹慎填寫個人隱私信息，防止信息被無謂采集；三是管理手機軟件中的隱私權限，了解軟件權限行為，關閉不必要的授權；四是防范公共WiFi，轉賬與支付時改用數據流量；五是通過“恢復出廠設置-格式化-反復拷入大文件并刪除”三步驟，徹底清理舊手機信息。

此外，對于來路不明的WiFi、鏈接、程序……即便再有吸引力，為了安全起見，用戶最好說不；短信驗證碼、身份證信息，也萬萬不可貿然交給別人；不要為了好記將不同賬戶設置相同密碼，否則一個被攻破全部都遭殃；也不要使用純數字、生日等特別簡單的密碼。

“有多少人在手機里存了身份證的照片，一旦隱私泄露，后果不堪設想。”胡延平建議，用戶應當養成關閉不必要的授權的習慣。“即使安裝了安全軟件，也應該隨時關閉不必要的授權，不要怕麻煩。涉及轉賬時，最好不要使用公共WiFi而是采用移動基站。手機上的安全還得是靠自己保護。”

■記者手記

培養保護個人隱私好習慣

養成好習慣，生活必然受益。這些好習慣不僅是飯前洗手、睡前刷牙，也包括保護你自己的個人隱私。

在如今互聯網大環境中，隱私的安全一方面體現在主觀能動，一方面也必須客觀創造。在日前由知名網絡安全在線教育平臺i春秋發起的2018首屆互聯網安全責任峰會上，滴滴出行信息安全部戰略副總裁弓峰敏表示，做好數據隱私保障是網絡運營者的重要安全責任，弓峰敏認為做好數據隱私保障是每個互聯網企業都必須擔負起來的責任，而有效處理好漏洞就是網絡運營者對用戶負責的一種表現。盡早修復漏洞，盡量幫助用戶應對安全威脅減少安全風險，是每一個互聯網企業最基本也是最重要的工作。永信至誠高級副總裁潘柱廷也表示，在物聯網、大數據、人工智能粗放發展的今天，互聯網的安全責任問題，不同群體互聯網安全責任的界限問題變得更加重要。

而作為隱私信息產生的源頭，用戶自己更需要加強安全防范意識，杜絕一切隱私數據被泄露的可能，培養保護個人隱私的習慣。對眼花繚亂的APP謹慎選擇使用，看似有趣的測試游戲別太好奇，太過優惠的朋友圈團購想想再加入……清醒些，讓自己從壞習慣養成的路上及時退回安全地帶。

分析：

一切源于對數據的渴求

在移動互聯網時代，為了實現更準確、更全面的服務，一些APP在使用期間往往需要調取用戶的位置、相冊等隱私信息而實現定位、掃碼等功能。然而，越界掌握用戶隱私的行為卻在肆意蔓延，隱私泄露也往往在用戶不知情的情況下發生。今年1月3日，支付寶開放年度個人賬單查詢之后，其APP存在默認選項誘使用戶授權芝麻信用使用個人信息事實在網上曝光，引發熱議。支付寶隨后表示道歉，并稱這個做法“肯定是錯了”、“愚蠢至極”。隨后，百度、今日頭條也相繼因涉及用戶隱私問題陷入輿論漩渦而被工信部約談，引發了社會對使用手機APP時存儲個人信息安全問題的討論。

“從行業看，都在盡一切可能收集用戶信息。”移動互聯網系統與應用安全國家工程實驗室高級安全研究員朱易翔指出，本質上就是一些APP開發商沒底線。北京晨報記者發現，近日，不少應用在升級后都會彈出用戶協議，會對調取的用戶隱私權限作出說明。但如果想繼續使用這些應用，用戶必須選擇同意?！耙粋€地圖應用，提示需要讀取用戶的短信記錄、通信錄。這到底算不算越界獲取用戶隱私？有可能它的確是為了提供生活服務而給用戶發送短信驗證，但基于地圖的社交真的到了需要讀取用戶短信記錄的時候嗎？這是值得商討的?！?/p>

DCCI互聯網數據中心創始人胡延平表示，大數據時代，數據對商家變得越來越重要，但對數據的渴求和對用戶的隱私保護之間的這個度，是值得商討的。應用更新后彈出用戶協議的變化，一方面體現了從“拿了白拿”到“告訴你我要拿”的變化，這是積極的一面。但另一方面，也存在應用在用戶協議中把所有有可能要調取用戶的隱私權限都進行窮舉，反倒是用戶只能選擇同意。“現在一些中小應用開發者會盡可能地獲取用戶的隱私權限，即便很多隱私權限他們只是放在服務器上，不去立即使用，但為了以后的不時之需，還是會過度地索取用戶的隱私權限。如果沒有針對用戶隱私獲取的規范，沒有立法保護，用戶早晚被扒個精光?！?/p>

本版撰文 北京晨報記者 韓元佳