每天只讓你選擇一件物品出門，你會(huì)選擇什么呢？

相信大家心里已經(jīng)有了答案,，那就是手機(jī),。

你的工作生活是不是已經(jīng)被手機(jī)填滿？早上起來查看天氣,，手機(jī)APP自動(dòng)提醒你注意防曬,；開車經(jīng)過某一個(gè)城市，手機(jī)APP馬上推薦相關(guān)城市的衣食住行,。作為資深手機(jī)控,，我們充分享受各類APP帶來的便利。

另外,，你的手機(jī)是否頻繁收到一堆優(yōu)惠活動(dòng)的垃圾短信,；除了快遞小哥給你打電話，更多時(shí)候?qū)Ψ街苯訄?bào)上你的大名,，當(dāng)你以為是老朋友或者同事時(shí),，卻發(fā)現(xiàn)對(duì)方讓你帶上小孩來參加課程體驗(yàn)，或者某某房源又有優(yōu)惠,。對(duì)于個(gè)人隱私泄露,，你是否深惡痛絕呢？

對(duì)于越來越懂你的手機(jī),，你懂它嗎,？

本文起底惡意APP如何竊取你的隱私，以及教你如何防范,。

2020年5月15日，工信部發(fā)布關(guān)于侵害用戶權(quán)益行為的APP通報(bào)（2020年第一批）,。依據(jù)《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī),，工業(yè)和信息化部近期組織第三方檢測(cè)機(jī)構(gòu)對(duì)手機(jī)應(yīng)用軟件進(jìn)行檢查，對(duì)發(fā)現(xiàn)存在問題的企業(yè)進(jìn)行督促整改,。

到底有哪些APP,？它們涉及到的違法違規(guī)行為是什么？

據(jù)通報(bào),，當(dāng)當(dāng),、店長直聘、e代駕,、大街等16款A(yù)PP在列,，這些應(yīng)用軟件均涉及私自收集個(gè)人信息問題，另外還包括私自共享給第三方,、超范圍收集個(gè)人信息,、不給權(quán)限不讓用,、強(qiáng)制用戶使用定向推送、過度索取權(quán)限,、賬號(hào)注銷難等7大類問題,。

工信部要求，存在問題的APP應(yīng)在5月25日前完成整改落實(shí)工作,，逾期不整改的,，工業(yè)和信息化部將依法依規(guī)組織開展相關(guān)處置工作。

2018年8月,，中消協(xié)發(fā)布《APP個(gè)人信息泄露情況調(diào)查報(bào)告》稱,，APP已經(jīng)成為個(gè)人信息泄露的重災(zāi)區(qū)，遇到過個(gè)人信息泄露情況的人數(shù)占比為85.2%,，沒有遇到過個(gè)人信息泄露情況的人數(shù)占比為14.8%,。

當(dāng)消費(fèi)者個(gè)人信息泄露后，約86.5%的受訪者曾收到推銷電話或短信的騷擾,，約75.0%的受訪者接到詐騙電話,，約63.4%的受訪者收到垃圾郵件，排名位居前三位,。

調(diào)查結(jié)果還顯示,，如果手機(jī)APP導(dǎo)致個(gè)人信息泄露，最擔(dān)心的問題是被利用從事詐騙竊取活動(dòng),，占70.5%,；其次是販賣或交換給第三方約占52.4%；被推銷廣告騷擾占比約為37.7%,；名譽(yù)受損約占6.6%,。

值得關(guān)注的是，最終有大約三分之一的受訪者選擇“自認(rèn)倒霉”,，一方面可能是基于無力應(yīng)對(duì)的選擇,，另一方面也可能是應(yīng)對(duì)無效后的接受現(xiàn)狀。

騙子獲取用戶信息以后,，最擔(dān)心的是對(duì)個(gè)人進(jìn)行“量身定做”的精準(zhǔn)詐騙,，這種騙術(shù)很難被當(dāng)事者識(shí)破,，因?yàn)轵_子往往能夠準(zhǔn)確地說出當(dāng)事者一些較為私密的信息,，足以“以假亂真”，讓用戶放松警惕,。

2019年9月20日,，黑龍江雙鴨山一位劉女士報(bào)警稱，她前幾日在第三方平臺(tái)上購買了一張飛機(jī)票,，就在飛機(jī)起飛的前一天,，她突然收到短信稱行程取消,。她電話聯(lián)系退款，結(jié)果被騙15000元,。

用戶個(gè)人隱私泄露原因多樣，本節(jié)主要從黑灰產(chǎn)人員,、APP開發(fā)者,、APP本身和用戶自身四方面進(jìn)行分析。

1,、黑灰產(chǎn)人員通過對(duì)系統(tǒng)反編譯,、攻擊篡改、植入后門等方式對(duì)數(shù)據(jù)進(jìn)行竊取

2013年10月,，國內(nèi)安全漏洞監(jiān)測(cè)平臺(tái)“烏云網(wǎng)”披露,，自稱是中國最大的酒店數(shù)字客房服務(wù)商的浙江某某公司，因?yàn)榘踩┒磫栴},，使與其有合作關(guān)系的大批酒店的開房記錄在網(wǎng)上泄露,。

數(shù)天后，一個(gè)名為“2000w開房數(shù)據(jù)”的文件出現(xiàn)在網(wǎng)上,，其中包含2000萬條在酒店開房的個(gè)人信息,，容量達(dá)1.7G。開房數(shù)據(jù)中,，開房時(shí)間介于2010年下半年至2013年上半年,，包含姓名、性別,、國籍,、民族、身份證號(hào),、生日,、地址、郵編,、手機(jī),、固話、傳真,、郵箱,、公司、住宿時(shí)間14個(gè)字段,。

黑客利用平臺(tái)漏洞,，收集網(wǎng)站和APP應(yīng)用程序泄露的個(gè)人信息，再嘗試登錄其它網(wǎng)站系統(tǒng)進(jìn)行“撞庫”,，不斷非法獲取用戶信息,。通過手機(jī)號(hào),、身份證號(hào)將用戶碎片信息不斷關(guān)聯(lián)清洗，再把這些信息“打包”賣給不法分子,，以此牟利,。

目前，“人肉搜索”已經(jīng)成為一門灰色生意,，價(jià)格從數(shù)百元到數(shù)千元不等,，而這些信息均來自于黑灰產(chǎn)人士用于儲(chǔ)備個(gè)人信息的“社工庫”。

需要指出的是,，社工庫及“人肉搜索”行為嚴(yán)重觸犯了《網(wǎng)絡(luò)安全法》及其他有關(guān)法律,、行政法規(guī)關(guān)于個(gè)人信息保護(hù)的規(guī)定。

2,、APP開發(fā)者技術(shù)實(shí)力參差不齊,，數(shù)據(jù)管理不善容易造成數(shù)據(jù)泄露

一般中小公司APP開發(fā)者技術(shù)能力薄弱，在數(shù)據(jù)安全技術(shù)力量上欠缺,，數(shù)據(jù)保護(hù)意識(shí)不強(qiáng),。這給了黑客可趁之機(jī)。

以金融行業(yè)APP為例,，這些和“錢”有關(guān)的APP到底安全性幾何,？2019年9月11日，中國信通院的報(bào)告團(tuán)隊(duì)從232個(gè)安卓應(yīng)用市場(chǎng)中收錄了 133327 款金融行業(yè)APP,。經(jīng)檢測(cè)發(fā)現(xiàn),，共有20.48%的金融行業(yè)APP被嵌入了第三方SDK，嵌入的SDK 數(shù)量共計(jì)高達(dá)104005個(gè),。在嵌入SDK的金融行業(yè)APP中,，有45%的APP嵌入了5個(gè)及以上的SDK。而第三方SDK存在隱蔽收集用戶信息,、自身安全漏洞易被不法分子利用等安全風(fēng)險(xiǎn),。

而這批APP中僅17.08%進(jìn)行了安全加固，超過 80%的金融行業(yè)APP在應(yīng)用市場(chǎng)“裸奔”,，未進(jìn)行任何的安全加固,。基于 Java 語言編寫的安卓應(yīng)用程序如不進(jìn)行加固,，則其打包的 APK 文件很容易被反編譯工具進(jìn)行逆向分析,，進(jìn)而暴露風(fēng)險(xiǎn)。

3,、APP本身過度索取手機(jī)權(quán)限帶來隱私泄露風(fēng)險(xiǎn)

對(duì)APP來說,，獲取手機(jī)權(quán)限一部分是因?yàn)楣δ苄枨?/span>（如導(dǎo)航軟件獲取位置信息）,；而另一方面也是為了盡可能多地收集用戶數(shù)據(jù),，更加詳盡地了解用戶特性,，進(jìn)而有針對(duì)性的進(jìn)行推廣，提高用戶體驗(yàn)等,。

APP最熱衷收集的就是獲取用戶位置和通訊錄信息,。根據(jù)《APP個(gè)人信息泄露情況調(diào)查報(bào)告》，讀取位置信息權(quán)限和訪問聯(lián)系人權(quán)限是安裝和使用手機(jī)APP時(shí)遇到情況最多的,，分別占86.8%和62.3%,。受訪者被要求讀取通話記錄權(quán)限(47.5%)、讀取短信記錄權(quán)限(39.3%),、打開攝像頭權(quán)限(39.3%),、話筒錄音權(quán)限(24.6%)的比例也相對(duì)較高。

APP在安裝的時(shí)候,，有一個(gè)服務(wù)協(xié)議與隱私政策,，長達(dá)幾頁甚至十幾頁且文字密集。一些軟件不授權(quán)就無法使用,，絕大部分用戶沒有興趣閱讀并直接默認(rèn)選擇同意,。一些看似“正規(guī)”的APP在條款內(nèi)埋下陷阱，披著“合法”的外衣,，以“本人已經(jīng)閱讀且同意履行”為由搜集用戶個(gè)人信息,。被發(fā)現(xiàn)維權(quán)時(shí)就以“已經(jīng)在條款中說明要求，用戶已經(jīng)同意”的理由為自己開脫,。

4,、用戶自身安全意識(shí)缺乏，經(jīng)不住“誘惑”容易造成隱私泄露

互聯(lián)網(wǎng)時(shí)代,，大量用戶不知道怎么正確管理賬號(hào)密碼,，普遍存在安全意識(shí)缺乏，容易中毒或被釣魚軟件欺騙,。

大量高仿低質(zhì)APP充斥在市場(chǎng),。以在IOS Appstore搜索“查社保”為例,，出來幾十個(gè)類似APP,，普通用戶很難區(qū)分哪一個(gè)APP是官方出品，排名靠前的APP有可能是通過刷評(píng)論,、刷下載量等手段沖上去的,。用戶在注冊(cè)使用過程中，其數(shù)據(jù)被這些APP保留下來,。2019年315,，“社保掌上通”因過度收集用戶信息數(shù)據(jù)被點(diǎn)名，用戶填寫各種資料注冊(cè)這款A(yù)PP后,，這款A(yù)PP會(huì)通過隱藏的用戶條款竊取用戶社保信息,，現(xiàn)在這款A(yù)PP已經(jīng)被全網(wǎng)下架,。

還有一些APP通過優(yōu)惠短信鏈接、掃碼打折等誘惑信息,，吸引用戶直接下載APP,。這時(shí)用戶要擦亮雙眼，不要圖方便或只看評(píng)價(jià)等,，在不清楚APP來源的情況下,，不要下載和輸入個(gè)人信息。在使用APP某些功能提示需要讀取通訊錄時(shí),，一定要慎重考慮這個(gè)要求是否合理,，增加自身的辨別能力和隱私保護(hù)意識(shí)。

商業(yè)的本質(zhì)是逐利的,，正確合理地使用數(shù)據(jù)本無可厚非。正如百度CEO李彥宏所說,，中國人多數(shù)情況下愿意用隱私換便利,，但用戶仍然不希望被過度查看自己的個(gè)人數(shù)據(jù)，例如聊天記錄,、通話記錄等,。

拋開“販賣和交換個(gè)人信息”、“詐騙竊取活動(dòng)”等不法行為外,，個(gè)人信息是如何被拿來做推銷廣告的呢,？讓你收廣告收的明白，本節(jié)為你簡(jiǎn)單介紹一下套路,。

首先,，我們?cè)谧?cè)使用購物或者社交APP時(shí)，你的姓名,、手機(jī)號(hào),、性別和地址等信息會(huì)被記錄下來。

其次,，你在使用APP過程中,，你的行為數(shù)據(jù)如瀏覽時(shí)間、地理位置,、瀏覽路徑,、消費(fèi)記錄等上千個(gè)行為都會(huì)保存下來。

接下來,，系統(tǒng)建立模型,，從這些基本數(shù)據(jù)和行為數(shù)據(jù)中構(gòu)建標(biāo)簽，試圖從無數(shù)個(gè)標(biāo)簽中構(gòu)建出你的用戶畫像。

舉個(gè)例子,，你看到一款“電視”產(chǎn)品的介紹,，系統(tǒng)計(jì)算你對(duì)“電視”的購買欲程度。通過一個(gè)簡(jiǎn)單的標(biāo)簽加權(quán)算法：

購買欲權(quán)重=行為權(quán)重×停留時(shí)間×衰減因子

當(dāng)你對(duì)“電視”產(chǎn)品評(píng)論,、點(diǎn)贊,、轉(zhuǎn)發(fā)和收藏等操作后,，你的行為權(quán)重會(huì)增加,。停留時(shí)間是加分項(xiàng)，如果瀏覽“電視”的時(shí)間長,，表示你對(duì)其有興趣,。短暫的停留無法代表你長期的興趣，單次瀏覽行為的權(quán)重會(huì)隨著時(shí)間流逝不斷衰減,。

最后,，系統(tǒng)根據(jù)這些標(biāo)簽，通過你的瀏覽行為給你推薦商品,；也可以將其他跟你相似用戶的瀏覽記錄和購買過的商品推薦給你,。

在互聯(lián)網(wǎng)誕生初期，《紐約客》曾有一句聞名全球的俚語：“在互聯(lián)網(wǎng)上,，沒有人知道你是一條狗,。”而現(xiàn)在,，狗比你更了解你自己,。

在互聯(lián)網(wǎng)時(shí)代該如何守護(hù)我們的個(gè)人隱私,？需要APP開發(fā)者,、應(yīng)用發(fā)行市場(chǎng)和APP使用者共同努力。

1,、APP開發(fā)者履行責(zé)任,，從源頭上保護(hù)個(gè)人隱私安全

一個(gè)APP上線，要經(jīng)歷設(shè)計(jì),、開發(fā)和上線環(huán)節(jié),。APP開發(fā)者需自覺遵守《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等相關(guān)法律；遵循個(gè)人數(shù)據(jù)采集的基本原則,，包括目的明確,、最少夠用、公開告知,、個(gè)人同意等,。對(duì)信息泄密建立所謂的“問責(zé)制”，使所有人能更重視數(shù)據(jù)問題的解決之道。

2,、應(yīng)用分發(fā)平臺(tái)完善審核機(jī)制,，幫助用戶守好“最后一道門”

我國境內(nèi)應(yīng)用商店數(shù)量已超過200家，大部分應(yīng)用商店都推出了一定措施來保障用戶的安全體驗(yàn), 嚴(yán)格審核把關(guān),，提升用戶體驗(yàn)尤為重要,。一些應(yīng)用分發(fā)平臺(tái)已經(jīng)采用“惡意行為檢測(cè)”+“隱私泄露檢查”+“安全漏洞掃描”+“人工實(shí)名復(fù)檢”四重檢測(cè)體系，以多樣安全審核措施保障上架應(yīng)用的安全合規(guī),。

3,、APP使用者加強(qiáng)信息安全保護(hù)意識(shí)，不讓非法應(yīng)用“有機(jī)可趁”

APP使用者具體可通過下述四種方法加強(qiáng)個(gè)人信息安全保護(hù)：

（1）對(duì)APP分等級(jí)管理,，設(shè)置不同的賬號(hào)密碼,。涉及資金類的APP和一般APP，設(shè)置兩套不同的賬戶和密碼可防止連環(huán)盜號(hào),。

（2）不要隨意登錄免費(fèi)WiFi,，隨意刷二維碼。下載APP時(shí)最好從官方網(wǎng)站上下載,，或通過合格經(jīng)營的第三方應(yīng)用市場(chǎng)下載,，并適當(dāng)查核發(fā)布者的資質(zhì)。山寨APP,，或存在竊取個(gè)人信息,、惡意扣費(fèi)等問題的APP，提前了解甄別,，以防落入山寨陷阱,。

（3）關(guān)閉APP的敏感權(quán)限。查看應(yīng)用索取的權(quán)限,，讀取通訊錄,、讀取短信通話記錄等敏感權(quán)限盡量關(guān)閉。

對(duì)于蘋果手機(jī),，點(diǎn)擊設(shè)置-隱私,，查看哪些程序還在使用你的“定位服務(wù)”、“通訊錄”等服務(wù),。關(guān)閉設(shè)置-通用-后臺(tái)應(yīng)用刷新功能,，有些APP通過后臺(tái)應(yīng)用刷新功能收集用戶信息。

對(duì)于安卓手機(jī),，慎開USB調(diào)試模式,，因?yàn)槭謾C(jī)一旦開啟USB調(diào)試模式，PC端的軟件可以快速地對(duì)手機(jī)進(jìn)行root操作,。一旦有了root權(quán)限,，手機(jī)的鎖屏密碼,、綁定賬號(hào)等信息很容易被其它軟件隨意調(diào)用，其安全風(fēng)險(xiǎn)不言而喻,。

（4）個(gè)人信息不要隨意填寫,，不主動(dòng)泄露。平時(shí)接收快遞,，使用X先生/女士,，優(yōu)先使用小區(qū)自提柜，不對(duì)應(yīng)具體門牌號(hào),；使用隱私小號(hào)進(jìn)行聯(lián)系等,。

“出來混,遲早要還的”。個(gè)人信息保護(hù)已經(jīng)成為兩會(huì)熱點(diǎn)話題,。5月25日,，全國人大常委會(huì)工作報(bào)告在下一步主要工作安排中指出,，將制定個(gè)人信息保護(hù)法,、數(shù)據(jù)安全法。央行將嚴(yán)打無證經(jīng)營違規(guī)獲取個(gè)人隱私數(shù)據(jù),。

個(gè)人隱私數(shù)據(jù)的違規(guī)收集和野蠻使用時(shí)代將會(huì)終結(jié),。