你的個人資訊是如何洩露的？APP正窺伺你的隱私

小心！APP正窺伺你的隱私

用著GPS，連著免費WiFi，守著驗證碼，註冊著各種APP，享受著智慧手機帶來的便利生活。但同時，騷擾電話、詐騙簡訊、精準到恐怖的推送，讓你在不知不覺中也承擔著隱私資訊洩露所帶來的風險。離不開智慧手機的都市人正在面臨一種困境：既不知道自己的資訊流向何處，也不知道黑暗中有什麼正在窺伺著你的個人隱私。

應用索取的許可權合理嗎？你的個人資訊是如何洩露的？該如何在移動網際網路時代主動保護我們的個人隱私？昨天，騰訊聯合DCCI釋出《2017年度隱私安全及網路欺詐行為分析報告》，透過統計1129款APP獲取使用者手機隱私許可權的情況，評估移動端隱私安全性，並對近期肆虐網路的欺詐現象，剖析手法，提出應對措施。

現象：

APP越界獲取資訊

一款手機桌布應用竟然要讀取你的通訊錄，一個瀏覽器應用竟能隨時給你錄音。別覺得不可思議，透過越界索權獲取使用者個人資訊的APP不在少數，個人隱私洩露問題也日趨嚴重。北京晨報記者開啟自己手機中的應用商店，隨機搜尋安裝了幾款軟體，發現絕大部分軟體都要求使用者開放儲存、位置資訊、電話等許可權，還有的要求開通訪問通訊錄的許可權。如果選擇不同意，就無法安裝這些應用。

根據《2017年度隱私安全及網路欺詐行為分析報告》（以下簡稱《報告》），行動網路隱私的洩露主要有手機軟體獲取、免費WiFi竊取、舊手機裝置洩露，以及駭客盜取企業大資料等渠道。報告指出，針對手機軟體獲取情況，研究團隊共選取了852個Android手機APP、275個iOS手機APP，對三類隱私許可權的獲取情況進行逐一分析，包括核心隱私許可權、重要隱私許可權及普通隱私許可權。

“核心隱私許可權”包括獲取位置資訊、讀取手機號、讀取簡訊記錄、通話記錄等；“重要隱私許可權”包括開啟攝像頭、使用話筒錄音、傳送簡訊、傳送彩信、撥打電話等；“普通隱私許可權”則包括開啟WiFi開關、開啟藍芽開關、獲取裝置資訊等、開啟資料網路等。

《報告》隱私安全測試結果顯示，2017年下半年，852個Android手機APP中有98。5%都要獲取使用者隱私許可權，這比去年一季度增長了2%。其中，網路遊戲與常用工具是獲取使用者手機隱私許可權佔比最高的兩類應用，分別達到獲取隱私許可權總數的24。4%和18。8%。

一個良性的變化是，與2017年一季度測評結果相比，Android手機APP對核心隱私許可權的獲取情況有所降低。特別是讀取手機號碼、讀取彩信兩個許可權大幅度下降，下半年測評中所佔比例分別為10。9%和0。8%。此外，Android應用在下半年越界獲取使用者隱私許可權的比例也有明顯下降，從25。3%降至9%。

測評還發現，對隱私許可權管理相對完善的iOS系統，同樣也存在隱私洩露問題。

《報告》顯示，2017年下半年iOS應用獲取的使用者手機隱私許可權比例相較於第一季度有所上升，達到81。9%，提高了12。6%個百分點。其中，通訊社群、影音娛樂類APP為100%獲取手機隱私許可權，此外，常用工具、影象美化、投資理財類的軟體獲取比例也有所上升，均達到90%以上。

支招：

對來路不明程式說不

大家該如何保護好自己的隱私呢？《報告》建議可從以下五點著手：

一是下載軟體選擇正規渠道，如應用寶、安卓市場等；二是謹慎填寫個人隱私資訊，防止資訊被無謂採集；三是管理手機軟體中的隱私許可權，瞭解軟體許可權行為，關閉不必要的授權；四是防範公共WiFi，轉賬與支付時改用資料流量；五是透過“恢復出廠設定-格式化-反覆拷入大檔案並刪除”三步驟，徹底清理舊手機資訊。

此外，對於來路不明的WiFi、連結、程式……即便再有吸引力，為了安全起見，使用者最好說不；簡訊驗證碼、身份證資訊，也萬萬不可貿然交給別人；不要為了好記將不同賬戶設定相同密碼，否則一個被攻破全部都遭殃；也不要使用純數字、生日等特別簡單的密碼。

“有多少人在手機裡存了身份證的照片，一旦隱私洩露，後果不堪設想。”胡延平建議，使用者應當養成關閉不必要的授權的習慣。“即使安裝了安全軟體，也應該隨時關閉不必要的授權，不要怕麻煩。涉及轉賬時，最好不要使用公共WiFi而是採用移動基站。手機上的安全還得是靠自己保護。”

■記者手記

培養保護個人隱私好習慣

養成好習慣，生活必然受益。這些好習慣不僅是飯前洗手、睡前刷牙，也包括保護你自己的個人隱私。

在如今網際網路+大環境中，隱私的安全一方面體現在主觀能動，一方面也必須客觀創造。在日前由知名網路安全線上教育平臺i春秋發起的2018首屆網際網路安全責任峰會上，滴滴出行資訊保安部戰略副總裁弓峰敏表示，做好資料隱私保障是網路運營者的重要安全責任，弓峰敏認為做好資料隱私保障是每個網際網路企業都必須擔負起來的責任，而有效處理好漏洞就是網路運營者對使用者負責的一種表現。儘早修復漏洞，儘量幫助使用者應對安全威脅減少安全風險，是每一個網際網路企業最基本也是最重要的工作。永信至誠高階副總裁潘柱廷也表示，在物聯網、大資料、人工智慧粗放發展的今天，網際網路的安全責任問題，不同群體網際網路安全責任的界限問題變得更加重要。

而作為隱私資訊產生的源頭，使用者自己更需要加強安全防範意識，杜絕一切隱私資料被洩露的可能，培養保護個人隱私的習慣。對眼花繚亂的APP謹慎選擇使用，看似有趣的測試遊戲別太好奇，太過優惠的朋友圈團購想想再加入……清醒些，讓自己從壞習慣養成的路上及時退回安全地帶。

分析：

一切源於對資料的渴求

在移動網際網路時代，為了實現更準確、更全面的服務，一些APP在使用期間往往需要調取使用者的位置、相簿等隱私資訊而實現定位、掃碼等功能。然而，越界掌握使用者隱私的行為卻在肆意蔓延，隱私洩露也往往在使用者不知情的情況下發生。今年1月3日，支付寶開放年度個人賬單查詢之後，其APP存在預設選項誘使使用者授權芝麻信用使用個人資訊事實在網上曝光，引發熱議。支付寶隨後表示道歉，並稱這個做法“肯定是錯了”、“愚蠢至極”。隨後，百度、今日頭條也相繼因涉及使用者隱私問題陷入輿論漩渦而被工信部約談，引發了社會對使用手機APP時儲存個人資訊保安問題的討論。

“從行業看，都在盡一切可能收集使用者資訊。”移動網際網路系統與應用安全國家工程實驗室高階安全研究員朱易翔指出，本質上就是一些APP開發商沒底線。北京晨報記者發現，近日，不少應用在升級後都會彈出使用者協議，會對調取的使用者隱私許可權作出說明。但如果想繼續使用這些應用，使用者必須選擇同意。“一個地圖應用，提示需要讀取使用者的簡訊記錄、通訊錄。這到底算不算越界獲取使用者隱私？有可能它的確是為了提供生活服務而給使用者傳送簡訊驗證，但基於地圖的社交真的到了需要讀取使用者簡訊記錄的時候嗎？這是值得商討的。”

DCCI網際網路資料中心創始人胡延平表示，大資料時代，資料對商家變得越來越重要，但對資料的渴求和對使用者的隱私保護之間的這個度，是值得商討的。應用更新後彈出使用者協議的變化，一方面體現了從“拿了白拿”到“告訴你我要拿”的變化，這是積極的一面。但另一方面，也存在應用在使用者協議中把所有有可能要調取使用者的隱私許可權都進行窮舉，反倒是使用者只能選擇同意。“現在一些中小應用開發者會盡可能地獲取使用者的隱私許可權，即便很多隱私許可權他們只是放在伺服器上，不去立即使用，但為了以後的不時之需，還是會過度地索取使用者的隱私許可權。如果沒有針對使用者隱私獲取的規範，沒有立法保護，使用者早晚被扒個精光。”

本版撰文 北京晨報記者 韓元佳