Google 作惡！99.9％的Android 手機 App 都在竊取隱私

隱私神經「不敏感」的中國人，還要繼續無動於衷嗎？

《網路安全法》實施的第二年，成效初顯，卻也危機四伏。僅近半年，就有大量的 App 們，以前仆後繼的英勇姿態在隱私安全的危險邊緣瘋狂試探。

1 月，12306 因強制用戶授權信息而被推上了風口浪尖，只有用戶同意 App獲取用戶的位置信息、相機相冊、文件存儲和電話等個人信息才能訂票。3 月，WiFi 萬能鑰匙被央視財經《經濟半小時》欄目爆出竊取了 9 億用戶隱私，包括用戶手機號碼、WiFi 密碼、IP 地址、子網掩碼、路由器、甚至關聯的銀行卡及密碼等，用於營銷推廣，謀取暴利。6 月，漫天刷屏的足跡地圖引發全民貼圖狂潮，僅 6 月 1 日當天頁面訪問次數就突破了 1000 萬，在滿足了用戶攀比心理的同時也輕易獲取了大量隱私數據。7 月，QQ 瀏覽器、百度手機輸入法相繼中招，涉嫌私自調動攝像頭、自動錄音等侵權手段......

可以看出來，國內用戶的隱私信息似乎十分「廉價」，不勝枚舉的 App 們只是再次佐證了這一點罷了。而且國內尚且如此，國外似乎也不遑多讓。

今年 3 月，Facebook毫無徵兆地爆發了波及甚廣的「數據泄露門」，震驚了整個技術圈，5000 萬用戶信息被竊取用於建立模型和影響選民投票，最終以扎克伯克登報致歉並接受公開質詢作結，過了近半年至今還仍有餘波。

但是從個人數據收集的角度來講，另一科技巨頭 Google 的做法似乎更為嚴重——據外媒今日報道，Google 正利用 Android 設備和 iPhone 上的許多旗下服務追蹤用戶活動，並存儲他們的位置數據——即使用戶關閉了相關設置，許多Google應用程序也會自動存儲有時間戳的位置數據，而無需詢問用戶。此舉直接涉及了數十億智能手機用戶，而這種「流氓做法」今天再一次地把隱私話題推到了公眾面前。

但是對比國內，國外的用戶、市場抑或是政府對隱私暴露的容忍度似乎都更低一些。無論是歐盟出台的GDPR 隱私法規、Twitter 上掀起的刪除 Facebook 輿論活動、還是 Google 此前的軍事化項目妥協等等，一系列的「反抗」都彰顯了國外人民對於隱私的「不妥協」。那麼對於身處信息爆炸時代的國人們，是不是該把隱私保護再次提上日程了？

《網路安全法》的推出是一劑良藥，但在立法立規尚不十分完善的情況下，也許用戶的隨手「同意」，就暴露了所有的隱私數據，無意間為「數據灰黑產」貢獻了一份力量——所以，隱私保護意識的提升實屬迫在眉睫。

近日，騰訊社會研究中心聯合 DCCI 互聯網數據中心聯合發布的《網路隱私安全及網路欺詐行為研究分析報告》也披露了嚴峻的應用隱私市場現狀。

報告表示，近兩年來中國的移動互聯網在快速發展中，2017 年全國數字經濟規模達到了 27.2 萬億，占 GDP 總量的 32.9%。但與此同時，隱私泄露、網路詐騙等也愈加泛濫，網路安全問題時有發生。然而，網民在互聯網信息保衛戰中始終處於弱勢地位，網民個體的防禦意識也十分薄弱。

為此，這份報告基於869 個Android 手機 App 以及275 個iOS 手機 App 進行了隱私安全評測，全面剖析了移動開發者獲取用戶手機隱私許可權的情況。

Android 手機 App 評測的隱私許可權包括：6 項核心隱私許可權（獲取位置信息、讀取手機號、讀取簡訊記錄、讀取彩信記錄、讀取聯繫人、讀取通話記錄）；5 項重要隱私許可權（打開攝像頭、使用話筒錄音、發送簡訊、發送彩信、撥打電話)；4 項普通隱私許可權（打開 WiFi 開關、打開藍牙開關、獲取設備信息等、打開數據網路）。

iOS 手機 App 評測的隱私許可權包括：定位服務、通訊錄、日曆、提醒事項、照片、藍牙共享、麥克風、語音識別、相機、健康、Homekit、媒體與APP、運動與健康等共 13 項。

7.53 億手機網民遭遇隱私泄露的威脅

截止 2017 年 12 月，中國手機網民規模達 7.53 億。移動開發者可以利用大數據挖掘這些信息更好地為用戶服務，而有些不法分子卻趁機利用這些信息來發送垃圾簡訊、打騷擾電話、竊取手機資費等，甚至發生詐騙勒索事件。

目前通過移動互聯網泄露隱私的渠道主要有：手機 App、公共 WiFi、舊手機、企業數據。

如果接入不安全的公共 WiFi，用戶的隱私信息也會被不法分子獲取。通過公共 WiFi 獲取用戶隱私信息的方式主要有以下三種：惡意架設 WiFi，通過直接抓取數據包、修改 DNS 地址、或者向手機植入木馬等方式獲取用戶信息；流量劫持，利用公共 WiFi 的漏洞進行攻擊，如推送惡意廣告、誘導用戶進入釣魚網站等；通過手機驗證碼獲取用戶手機號，這是最為常見的一類免費 WiFi 的服務形式。

舊手機處理不當，同樣會導致隱私被盜取。如果舊手機通過二手市場或回收環節落入不法分子手中，一旦對方通過技術手段對信息加以恢復了，手機原主人的照片、視頻等隱私信息都會被曝光，簡訊、通訊錄、微信、QQ 的信息會被用來詐騙，銀行卡、信用卡或第三方支付會被盜刷等。

企業大數據也成了黑客攻擊的主要目標。隨著互聯網的發展和市場競爭的加劇，用戶數據的價值也越來越高。不法分子會利用黑客技術非法攻擊、盜取企業大量數據，並逐漸形成了一條從數據盜取、售賣、到數據利用的完整產業鏈條。例如最近的 A 站數據泄漏事件：黑客攻擊並盜取了 A 站近千萬用戶數據後，這部分數據竟然被明碼標價放在暗網上售賣。

99.9% 的 Android 端手機 App 都會獲取隱私許可權

Android 6.0 操作系統推出以前，Android 系統中雖然有應用通知管理功能，但更為深入的應用許可權管理只能依靠第三方 App 實現。6.0 版本以上的 Android 系統進一步強化了應用許可權管理，應用許可權管理也成為系統級功能，用戶可以方便地自主決定授予 App 哪些隱私許可權。

但是，即便是否授權 App 相關許可權掌握在用戶自己手中，手機隱私泄露風險依然存在。App 獲取隱私許可權的用途信息不對稱，造成用戶始終處於弱勢地位，普通用戶根本難以判斷 App 獲取相應隱私許可權的目的。

評測發現，2018 年上半年 Android 端獲取隱私許可權的手機 App 佔比相較於 2017 年下半年提高了 1.4%，達到 99.9%，未獲取隱私許可權的手機 App 僅占 0.1%——幾乎所有的 Android 端手機 App 都會獲取隱私許可權。

2018 年上半年，在獲取隱私許可權的 App 類型分布中，網路遊戲和常用工具仍是佔比最大的兩類應用，分別達到 24.8% 和 12.7%。相比 2017 年下半年，網路遊戲類 App 佔比進一步提高，常用工具類 App 佔比繼續縮小。

另外，2018 年上半年，隨著人們理財觀念和消費觀念的進一步提升，生活購物類和投資理財類 App 佔比明顯增大，相比 2017 年下半年，生活購物類 App 佔比由 7.6% 增加到了 11.2%，投資理財類由 9.1% 增加到 10%。這一現象與近年移動開發熱點向生活購物、投資理財等領域轉移有著直接關係。

此外，在所評測的三類隱私許可權中，Android 端手機 App 對部分核心隱私許可權和重要隱私許可權的獲取比例大幅提高，它們分別是屬於核心隱私許可權的「讀取聯繫人」許可權，屬於重要隱私許可權的「打開攝像頭」和「使用話筒錄音」許可權。

iOS 端獲取手機隱私許可權的 App 僅一年增加了 24.5%

iOS 操作系統的口碑一向比較好，但也不是絕對安全。在 2017 年 10 月的 GeekPwn 國際安全極客大賽上，一名中國選手現場演示了自己發現的 iOS11 系統最新漏洞。在演示中，用戶打開黑客提供的偽裝連接後，黑客就能獲得 iPhone 8 的最高許可權，可盜用戶手機內的隱私、自由安裝 App 等。

調查發現，iOS 端獲取手機隱私許可權的 App 比例正在呈現上升趨勢，2018 年上半年 iOS 端獲取手機隱私許可權的 App 比例已達到 93.8%。僅僅時隔一年左右，iOS 端獲取手機隱私許可權的 App 比例增加了 24.5%。

據評測發現，iOS 端獲取手機隱私許可權的 App 中，常用工具類、生活購物類和影音娛樂類 App 佔比最大，分別占 15.1%、14.7% 和 11.2%。

此外，報告通過針對 iOS 端不同類型 App 獲取隱私許可權的情況分析發現，除通訊社區類 App，其他類型的 App 獲取隱私許可權的比例都在 80% 以上。其中，圖像美化類 App 獲取隱私許可權比例最高，達 100%；網路遊戲類 App 獲取隱私許可權比例增幅最大，由 2017 年下半年的 43.1% 增長到了 2018 年上半年的 88.9%，增幅達 45.8%。

為了確保隱私安全，對於 iOS 用戶來說，一方面需要蘋果公司及時修複發現的系統漏洞，另一方面用戶也需要提高安全意識和能力，儘可能地保護自己的隱私，阻止 App 越界獲取不必要的隱私許可權。

寫在最後

99.9% 的 Android 端手機 App，93.8%的 iOS 端手機 App——在這兩大系統平分天下的移動端，隱私泄露的問題已經不容小覷。高達九成的比例告訴所有用戶，「明哲保身」是不切實際的，「僥倖心理」更不能有，或許下一秒，隱私被濫用的火就會燒到自己身上。

用戶作為隱私信息的源頭和最終受害者，需要大力加強網路安全意識和知識，了解隱私保護手段。在此，附上手機隱私安全保護指南供大家參考。

手機 App 使用安全建議：盡量選擇官方渠道，不要下載來歷不明的山寨 App；謹慎授予 App 許可權；觀察 App 流量使用情況，及時檢查和刪除；不要設置自動登錄，密碼定期更換；不再使用 App 時應徹底退出；關閉 App 自啟動功能。

公共 WiFi 使用安全建議：在公共場所盡量不去使用沒有密碼的免費 WiFi；認真核對 WiFi 名，避免接入假冒 WiFi；將手機上的 WiFi 設置為手動連接，避免不經意間連入風險 WiFi。

舊手機安全處理建議：手機操作系統執行文件刪除時，僅是對文件做了一個「刪除」標記，但存儲的數據本身依然存在。如未進行新的數據操作，最上層的數據很容易被恢復。所以建議採取以下措施防止舊手機里的信息泄露：把重要數據備份後，多次存取一些無關緊要的內容或者大型文件（如電影），直至將手機的存儲空間全部佔滿；給手機安裝一個「文件粉碎機」，進行全盤擦除；將舊手機低價處理或扔掉前，確保隱私信息已經被妥善處理。

最後，希望大家都能做一個「敏感」的網民，對自己的個人信息負起責來。

本文報告部分摘錄整理自《網路隱私安全及網路欺詐行為研究分析報告》，完整報告可點擊 https://m.qq.com/security_lab/news_detail_473.html。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！