微信算命要小心 APP豪奪權(quán)限隱私隨時會“走光”
文章分類:公司動態(tài) 發(fā)布時間:2014-08-07 原文作者:tbkj 閱讀( )
東方網(wǎng)8月6日消息:據(jù)《新聞晨報》報道,昨天,一個支持和領導開源項目而設立的非盈利組織Mozilla承認,因一次失敗的數(shù)據(jù)操作,導致7.6萬名開發(fā)者的電子郵箱地址和約4000個加密密碼泄露。這一事件,再次凸顯了互聯(lián)網(wǎng)時代保護個人隱私的脆弱。事實上,黑客襲擊、互聯(lián)網(wǎng)經(jīng)營者的“小心思”、惡意廣告主的小陷阱,都會讓你的個人隱私被迫曝光。
黑客襲擊,開房記錄曝光
Mozilla是一個開源的平臺和社區(qū),匯聚了大量的專業(yè)開發(fā)者。匯聚了技術(shù)牛人和開發(fā)者的Mozilla社區(qū)都會遭遇數(shù)據(jù)和信息泄露的問題,那么普通網(wǎng)站風險顯然更高。事實上,過去數(shù)年,多個國內(nèi)網(wǎng)站曝出因為漏洞被黑客襲擊,大量隱私泄露,其中最著名的當屬“開房門”事件。
去年10月,烏云平臺曾曝光,一些快捷連鎖酒店如家、7天、漢庭等的用戶隱私遭“曝庫”。當時,酒店使用的浙江慧達驛站網(wǎng)絡有限公司開發(fā)的酒店Wifi管理和認證管理系統(tǒng)在服務器上實時存儲了酒店客戶的記錄,而上述系統(tǒng)存在漏洞,第三方可利用技術(shù)漏洞取得姓名、身份證號,開房日期、房間號等隱私信息。
如果到漏洞發(fā)布平臺烏云上去瀏覽下,就會發(fā)現(xiàn)泄密事件可謂“家常便飯”。幾乎每天都會曝出信息漏洞問題。
對于上述種種隱私問題,作為普通用戶,如何更大限度防御隱私泄露?一業(yè)內(nèi)專家提醒,不要在一些小的網(wǎng)站留下個人的聯(lián)系方式,尤其是身份證號、賬號等敏感信息,“通常小網(wǎng)站安全意識不足,即使有安全意識,也不一定有實力進行大規(guī)模的投入,引發(fā)個人數(shù)據(jù)泄露的可能性高。”
收集隱私,APP豪奪權(quán)限
徐小姐是國內(nèi)某航空公司銀卡客戶,因航班取消,希望改簽。不料,她很快收到一條短信:如需改簽,請致電某某,里面包含了她的姓名、航班信息等。徐小姐按短信中的電話打過去,“對方說出我的身份證號碼,待我把改簽的航班信息遞交,到最后支付環(huán)節(jié)時,對方要求支付10元的改簽費。這時我就起疑了。”徐小姐說,對方要求一定通過網(wǎng)銀支付,而不能到公司官網(wǎng),“我于是掛斷了電話”。徐小姐說,“可怕的是,到現(xiàn)在我仍然不知道自己的信息是怎么泄露出去的。”
在信息專家看來,上述泄密,不排除是惡意APP竊取后發(fā)布導致的。尤其是伴隨智能手機的興起,類似信息的泄露,會伴隨大量APP過度索取權(quán)限而變得易如反掌。
獵豹移動安全專家李鐵軍告訴記者:“我們曾對安卓系統(tǒng)100萬個手機APP進行測試,有超過50%的APP會讀取用戶的通訊錄、位置信息等,過度要求權(quán)限開放。”比如某個游戲APP,要求的功能只有聯(lián)網(wǎng),但在用戶下載操作中,可能會要求用戶開放通信錄讀取的權(quán)限,而這個權(quán)限實際上跟游戲本身沒有直接的關系。李鐵軍說,預計有超過90%的安卓平臺APP會過度收集用戶信息,包括聯(lián)系人、通訊錄、位置信息等,可能是為以后的產(chǎn)品升級做準備,這在業(yè)內(nèi)被稱為“占坑”;但實際上,用戶的這些敏感信息會被用來做什么,用戶可能就不知道了。
“很多APP在用戶下載安裝的時候,第一步會提示用戶開放一些權(quán)限,用戶可能為了使用APP的功能而忽略權(quán)限問題,或者說并沒有完全理解權(quán)限開放意味著什么。之后該程序利用用戶的權(quán)限做一些其他事情,就不需要再獲得用戶的許可了。”李鐵軍說,有些APP手機用戶的地理位置信息,如果是非法程序,可能涉及后門,一旦“中招”,用戶就沒有隱私可言,通話也會被監(jiān)聽。”
你搜什么,廣告商都知道
阿嘉覺得最近電腦太神奇了。炎炎夏日,他想買一雙透氣鞋,于是在網(wǎng)站上搜索了大量相關信息。沒過多久,他就發(fā)現(xiàn)上的網(wǎng)站幾乎都在向他推薦各類鞋子。阿嘉并不知道,這背后是一種“跨站Cookie”廣告機制在秘密發(fā)揮作用。IT高手小沈告訴記者,這個名詞解釋起來比較抽象,通俗來說,就是“用戶在購物網(wǎng)站購物,瀏覽了某類商品,然后在下一頁面或者是下一次進入時,就會有同類商品的推薦廣告出現(xiàn),這樣的精準廣告投放就是Cookie的功勞”。小沈說,這類廣告,部分網(wǎng)頁會以“猜你喜歡”的名義出現(xiàn),從而減輕用戶的排斥度。同樣的,如果在某搜索引擎查找某關鍵字,在相應網(wǎng)站上就會看到與其有關的廣告信息。
事實上,“跨站Cookie”早已被大眾所詬病。2013年,央視“3·15”晚會就曾曝光,網(wǎng)易郵箱搜集郵件用戶資料,默認第三方公司在其網(wǎng)站掛代碼,利用Cookie獲得用戶所有瀏覽記錄。通過長期追蹤用戶生活習慣,建立龐大的數(shù)據(jù)庫,網(wǎng)易可以看到所有郵箱使用者發(fā)出的郵件具體內(nèi)容,由此分析用戶習慣并且發(fā)送精準的廣告。
不過,曝光并未改變上述機制在互聯(lián)網(wǎng)廣告上的大行其道。記者打開國內(nèi)某領先的互聯(lián)網(wǎng)廣告聯(lián)盟官網(wǎng),上述平臺如此宣傳自己的推廣業(yè)務:“突破了僅在網(wǎng)民搜索行為中實施影響的限制,在網(wǎng)民搜索行為后和瀏覽行為中全面實施影響。”該搜索引擎稱,網(wǎng)盟推廣與搜索推廣一脈相承,當網(wǎng)民使用搜索引擎時,搜索推廣將企業(yè)的推廣信息展示在搜索結(jié)果頁面。而當網(wǎng)民進入到互聯(lián)網(wǎng)海量的網(wǎng)站時,網(wǎng)盟推廣可以將企業(yè)的推廣信息展現(xiàn)在其瀏覽的網(wǎng)頁上,覆蓋網(wǎng)民更多的上網(wǎng)時間,對其影響更加深入持久,有效幫助企業(yè)提升銷售額和品牌知名度。
“我常聽說,大數(shù)據(jù)時代只要上網(wǎng),你就會成為大數(shù)據(jù)的一部分。但我覺得,大數(shù)據(jù)也應該讓用戶有選擇權(quán)。”阿嘉說,用戶愿意提供哪些數(shù)據(jù)、不愿意提供哪些數(shù)據(jù),或是可以接受什么類型廣告、不能接受什么類型的廣告,都應該給用戶一個自由選擇的權(quán)利與機會,而不是偷偷摸摸、在不用戶不知情的情況下,自主替用戶做出不能更改的選擇。
網(wǎng)絡快照,你想刪刪不掉
“互聯(lián)網(wǎng)真是沒隱私,我想刪掉的東西,怎么刪也刪不掉”,夏小姐最近有點煩。前段日子,她一直接到一些不想聯(lián)系的人的電話,這些人或是前男友,或是曾追求自己未果的人,夏小姐十分困擾。后來才知道,這是因為在某個博客網(wǎng)站登記公開的資料,只要用搜索引擎就能搜到。“我立刻上博客刪除了相關信息,希望能夠恢復平靜。可是我打開搜索引擎一搜,發(fā)現(xiàn)通過搜索引擎還能看到原來的內(nèi)容,搜索引擎的‘快照’功能太可怕了!”夏小姐說。
搜索引擎的“快照”到底是什么呢?這相當于搜索引擎為你的數(shù)據(jù)做了備份,形成一個“快照”,這樣即使數(shù)據(jù)臨時無法訪問,搜索者也可以通過查閱“快照”看到原始內(nèi)容。這意味著只要搜索引擎沒有更新快照,那么你不希望被其他人看到的隱私并不會因為自己的刪除行為而銷聲匿跡。
黑客襲擊,開房記錄曝光
Mozilla是一個開源的平臺和社區(qū),匯聚了大量的專業(yè)開發(fā)者。匯聚了技術(shù)牛人和開發(fā)者的Mozilla社區(qū)都會遭遇數(shù)據(jù)和信息泄露的問題,那么普通網(wǎng)站風險顯然更高。事實上,過去數(shù)年,多個國內(nèi)網(wǎng)站曝出因為漏洞被黑客襲擊,大量隱私泄露,其中最著名的當屬“開房門”事件。
去年10月,烏云平臺曾曝光,一些快捷連鎖酒店如家、7天、漢庭等的用戶隱私遭“曝庫”。當時,酒店使用的浙江慧達驛站網(wǎng)絡有限公司開發(fā)的酒店Wifi管理和認證管理系統(tǒng)在服務器上實時存儲了酒店客戶的記錄,而上述系統(tǒng)存在漏洞,第三方可利用技術(shù)漏洞取得姓名、身份證號,開房日期、房間號等隱私信息。
如果到漏洞發(fā)布平臺烏云上去瀏覽下,就會發(fā)現(xiàn)泄密事件可謂“家常便飯”。幾乎每天都會曝出信息漏洞問題。
對于上述種種隱私問題,作為普通用戶,如何更大限度防御隱私泄露?一業(yè)內(nèi)專家提醒,不要在一些小的網(wǎng)站留下個人的聯(lián)系方式,尤其是身份證號、賬號等敏感信息,“通常小網(wǎng)站安全意識不足,即使有安全意識,也不一定有實力進行大規(guī)模的投入,引發(fā)個人數(shù)據(jù)泄露的可能性高。”
收集隱私,APP豪奪權(quán)限
徐小姐是國內(nèi)某航空公司銀卡客戶,因航班取消,希望改簽。不料,她很快收到一條短信:如需改簽,請致電某某,里面包含了她的姓名、航班信息等。徐小姐按短信中的電話打過去,“對方說出我的身份證號碼,待我把改簽的航班信息遞交,到最后支付環(huán)節(jié)時,對方要求支付10元的改簽費。這時我就起疑了。”徐小姐說,對方要求一定通過網(wǎng)銀支付,而不能到公司官網(wǎng),“我于是掛斷了電話”。徐小姐說,“可怕的是,到現(xiàn)在我仍然不知道自己的信息是怎么泄露出去的。”
在信息專家看來,上述泄密,不排除是惡意APP竊取后發(fā)布導致的。尤其是伴隨智能手機的興起,類似信息的泄露,會伴隨大量APP過度索取權(quán)限而變得易如反掌。
獵豹移動安全專家李鐵軍告訴記者:“我們曾對安卓系統(tǒng)100萬個手機APP進行測試,有超過50%的APP會讀取用戶的通訊錄、位置信息等,過度要求權(quán)限開放。”比如某個游戲APP,要求的功能只有聯(lián)網(wǎng),但在用戶下載操作中,可能會要求用戶開放通信錄讀取的權(quán)限,而這個權(quán)限實際上跟游戲本身沒有直接的關系。李鐵軍說,預計有超過90%的安卓平臺APP會過度收集用戶信息,包括聯(lián)系人、通訊錄、位置信息等,可能是為以后的產(chǎn)品升級做準備,這在業(yè)內(nèi)被稱為“占坑”;但實際上,用戶的這些敏感信息會被用來做什么,用戶可能就不知道了。
“很多APP在用戶下載安裝的時候,第一步會提示用戶開放一些權(quán)限,用戶可能為了使用APP的功能而忽略權(quán)限問題,或者說并沒有完全理解權(quán)限開放意味著什么。之后該程序利用用戶的權(quán)限做一些其他事情,就不需要再獲得用戶的許可了。”李鐵軍說,有些APP手機用戶的地理位置信息,如果是非法程序,可能涉及后門,一旦“中招”,用戶就沒有隱私可言,通話也會被監(jiān)聽。”
你搜什么,廣告商都知道
阿嘉覺得最近電腦太神奇了。炎炎夏日,他想買一雙透氣鞋,于是在網(wǎng)站上搜索了大量相關信息。沒過多久,他就發(fā)現(xiàn)上的網(wǎng)站幾乎都在向他推薦各類鞋子。阿嘉并不知道,這背后是一種“跨站Cookie”廣告機制在秘密發(fā)揮作用。IT高手小沈告訴記者,這個名詞解釋起來比較抽象,通俗來說,就是“用戶在購物網(wǎng)站購物,瀏覽了某類商品,然后在下一頁面或者是下一次進入時,就會有同類商品的推薦廣告出現(xiàn),這樣的精準廣告投放就是Cookie的功勞”。小沈說,這類廣告,部分網(wǎng)頁會以“猜你喜歡”的名義出現(xiàn),從而減輕用戶的排斥度。同樣的,如果在某搜索引擎查找某關鍵字,在相應網(wǎng)站上就會看到與其有關的廣告信息。
事實上,“跨站Cookie”早已被大眾所詬病。2013年,央視“3·15”晚會就曾曝光,網(wǎng)易郵箱搜集郵件用戶資料,默認第三方公司在其網(wǎng)站掛代碼,利用Cookie獲得用戶所有瀏覽記錄。通過長期追蹤用戶生活習慣,建立龐大的數(shù)據(jù)庫,網(wǎng)易可以看到所有郵箱使用者發(fā)出的郵件具體內(nèi)容,由此分析用戶習慣并且發(fā)送精準的廣告。
不過,曝光并未改變上述機制在互聯(lián)網(wǎng)廣告上的大行其道。記者打開國內(nèi)某領先的互聯(lián)網(wǎng)廣告聯(lián)盟官網(wǎng),上述平臺如此宣傳自己的推廣業(yè)務:“突破了僅在網(wǎng)民搜索行為中實施影響的限制,在網(wǎng)民搜索行為后和瀏覽行為中全面實施影響。”該搜索引擎稱,網(wǎng)盟推廣與搜索推廣一脈相承,當網(wǎng)民使用搜索引擎時,搜索推廣將企業(yè)的推廣信息展示在搜索結(jié)果頁面。而當網(wǎng)民進入到互聯(lián)網(wǎng)海量的網(wǎng)站時,網(wǎng)盟推廣可以將企業(yè)的推廣信息展現(xiàn)在其瀏覽的網(wǎng)頁上,覆蓋網(wǎng)民更多的上網(wǎng)時間,對其影響更加深入持久,有效幫助企業(yè)提升銷售額和品牌知名度。
“我常聽說,大數(shù)據(jù)時代只要上網(wǎng),你就會成為大數(shù)據(jù)的一部分。但我覺得,大數(shù)據(jù)也應該讓用戶有選擇權(quán)。”阿嘉說,用戶愿意提供哪些數(shù)據(jù)、不愿意提供哪些數(shù)據(jù),或是可以接受什么類型廣告、不能接受什么類型的廣告,都應該給用戶一個自由選擇的權(quán)利與機會,而不是偷偷摸摸、在不用戶不知情的情況下,自主替用戶做出不能更改的選擇。
網(wǎng)絡快照,你想刪刪不掉
“互聯(lián)網(wǎng)真是沒隱私,我想刪掉的東西,怎么刪也刪不掉”,夏小姐最近有點煩。前段日子,她一直接到一些不想聯(lián)系的人的電話,這些人或是前男友,或是曾追求自己未果的人,夏小姐十分困擾。后來才知道,這是因為在某個博客網(wǎng)站登記公開的資料,只要用搜索引擎就能搜到。“我立刻上博客刪除了相關信息,希望能夠恢復平靜。可是我打開搜索引擎一搜,發(fā)現(xiàn)通過搜索引擎還能看到原來的內(nèi)容,搜索引擎的‘快照’功能太可怕了!”夏小姐說。
搜索引擎的“快照”到底是什么呢?這相當于搜索引擎為你的數(shù)據(jù)做了備份,形成一個“快照”,這樣即使數(shù)據(jù)臨時無法訪問,搜索者也可以通過查閱“快照”看到原始內(nèi)容。這意味著只要搜索引擎沒有更新快照,那么你不希望被其他人看到的隱私并不會因為自己的刪除行為而銷聲匿跡。
原文來自:tbkj