14 款 APP 涉嫌超范围采集个人隐私信息,违反《网络安全法》相关规定。你是否有类似的经历?
根据《网络安全法》的规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,不得收集与其提供的服务无关的个人信息,不得向任何第三方提供、出售或者泄露用户个人信息。如果APP存在超范围采集个人隐私信息的行为,无疑是触犯了法律的红线。
这种行为带来的后果是多方面的:
隐私泄露风险: 用户数据一旦被过度采集,就增加了数据泄露的风险。一旦发生数据泄露,用户的个人信息,如身份信息、联系方式、位置信息、消费习惯等,可能会被不法分子利用,进行诈骗、骚扰等活动,给用户带来巨大的财产损失和精神困扰。
商业滥用: 很多时候,APP采集用户的个人信息是为了进行精准营销或者出售给第三方数据公司。这意味着用户的每一个点击、每一次搜索,甚至每一次浏览,都可能被转化为商业利益,而用户对此却毫不知情,也无法从中获益。
用户信任危机: 当用户发现自己被APP“监视”或者个人信息被滥用时,会对APP产生不信任感,甚至对整个互联网的使用产生担忧。这种信任的丧失,对APP的长期发展是极其不利的。
为什么会出现这种情况?
探究其根源,主要有几个方面的原因:
1. 逐利的商业模式: 在当前互联网竞争激烈的环境下,数据成为了重要的“资产”。许多APP的商业模式很大程度上依赖于用户数据,通过数据分析来优化产品、提升用户体验、进行精准广告投放等。在利益的驱动下,一些开发者可能会选择“多做少错”的方式,尽可能多地采集数据。
2. 技术手段的便利性: 随着技术的发展,采集和处理用户数据的技术门槛越来越低。开发者可以相对容易地通过各种技术手段来获取用户的信息,而用户往往对此缺乏足够的认知和防范能力。
3. 监管和惩罚机制的不足: 尽管《网络安全法》已经出台,但对于违规采集个人信息的惩罚力度、以及具体的执行和落地机制,可能还有待完善。一些开发者可能认为,即使被发现,付出的成本也低于非法获取数据的收益。
4. 用户意识的欠缺: 部分用户在安装APP时,对于APP申请的各项权限不够重视,或者缺乏辨别能力,常常是“一键同意”了所有权限申请,从而为APP的超范围采集提供了便利。
用户应该如何应对?
作为用户,我们需要提高个人信息保护意识:
仔细审查权限: 在安装APP或使用APP新功能时,务必仔细查看其申请的权限。如果某项权限与APP的核心功能明显无关,应拒绝授予。
定期清理授权: 定期检查手机的APP权限设置,关闭不必要或不信任APP的权限。
选择可信赖的APP: 尽量选择知名度高、信誉好的APP,并且关注其隐私政策。
使用隐私保护工具: 可以考虑使用一些具有隐私保护功能的浏览器或工具。
积极维权: 如果发现有APP存在超范围采集个人信息的行为,可以通过向相关监管部门举报或投诉的方式来维护自己的合法权益。
总而言之,个人信息安全不容忽视。希望未来能有更完善的法律法规和更有效的监管手段,让用户的数据得到更好的保护,也让开发者能够更加自觉地遵守法律规定,共同营造一个更安全、更健康的数字生活环境。
网友意见
安卓系统的权限管理,一直以来都算得上是件非常混乱的事情,这一点不仅仅是大量相关研究者看的很清楚,许多该系统的使用者也切实地感受到了安卓手机的一些弊病。
最近,正好阅读和整理了一些关于安卓系统权限管理方面相关的文章,在此对其做一些梳理和总结,并谈谈个人的理解。
每当拿到一部安卓手机,并且做完初始化操作之后,我做的第一件事情必定是在系统允许下卸载掉大部分的预装应用,这些对我来讲都算得上是劣质应用了,我和它们的关系可以说是基本属于正交。
APP预装,应该算得上是应用软件开发者用来推广的一个重要方式了。通过掏一大笔钱的方式,来让手机厂商在硬件写入或者在系统中植入自己的APP,进而得到大量新注册用户,是APP厂商的一贯做法。然而,这么多的预装应用被打包进固件的过程,对于用户来说基本上算是个黑盒了,即透明度为零。
安卓系统本身极强的开放性,导致其现在拥有了各式各样不同的利益相关者,以及由该系统构成的复杂供应链生态系统。其中,无论是制造商,还是附属于手机厂家的开发者和经销商,都可以任意向系统中添加专有的应用程序以及更高级别的功能,乃至于可以完成一个定制系统的设计与商业化。
那么,在众多各为其主的厂商控制之下的庞大预装软件,是否都是安全且无危害的呢?答案是:否
去年发表在Oakland S&P上发表的一篇文章[1]曾对此做出过相关调研,国内常见的小米、华为、vivo、oppo和魅族等手机厂商均在其研究范围之内。
根据文章的统计数据显示(此分析发生在 2018 年 11 月 19 日),只有9%的预装应用可以在Play Store中被检索到,而74%的非公开应用基本上没有进行过更新,41%的应用在5年乃至更长的一段时间内都没有任何补丁更新,这意味着很多过时的漏洞都可以轻易入侵这些预装软件。
除了被入侵之外,这些软件本身就有可能是恶意软件,来主动入侵用户系统以谋取利益。
例如,手机供应商、分析服务及在线服务声明的许多自定义权限都存在一定的安全隐患,以及易受攻击的模块。
此外,不同安卓厂商手机的权限请求数量差异极大,可以从google的9个核心模块权限数量申请,到三星设备中的100多个权限的所区。此外,作者还举了个例子,com.android.contacts平均权限数量为35个,而在三星、华为、Advan和LG的设备中均申请超过了100这个数字。
除此之外,许多安卓预装应用还存在请求访问签名或某些危险权限的TPL,这使得系统的重要敏感资源更容易被暴露。
最后,作者还通过手工逆向分析来对158个APP做了分析,结果显示如下
首先,在市场上大量的低端安卓设备和部分高端设备中,发现了包括 Triada、Rootnik、SnowFox、Xinyin、Ztorg、Iop 和由 GMobi 开发的可疑软件,它们的恶意行为包括包括银行欺诈、向付费号码发送短信或订阅服务、静默安装其他应用程序、访问链接和展示广告等。
其次,几乎所有允许访问PII的应用都存在手机潜在的个人软硬件用户信息搜集,以及上传功能。
最后,在612 个预安装的应用程序中,作者发现了许多潜在的危险应用程序,根据它们的包和应用程序名称,其可能会实现工程模式或工厂模式功能。此类功能包括相对无害的任务,例如硬件测试,但也包括潜在危险的功能,例如 root 安卓手机设备的能力。
谈到最后,作者也给出了其构想的解决方案,例如,引入并使用全球信任的证书机构签署的证书,建立证书透明库等,以及在预装应用中附带相应的说明文档,方便用户知情。
作者的建议,在我来看主要有两个问题
- 第一、目前并没有一个强制的第三方机构或者政府机关来迫使手机厂商将权限公开透明化,而靠厂商自觉的话,必然会与整个手机供应链中的某些企业的利益有所冲突,ta们是否会在非强迫状态下做出让步呢?我看不太现实,除非消费者用某种手段伤害到了ta们的切身利益。
- 第二、即使手机厂商能够公开透明的向用户展示各个APP的权限运用情况,用户又能否有能力判断其危害程度呢?
首先来看第一个问题,2020的一篇IJCNN[2]便对安卓apps是否遵守Google Play隐私指南的隐私政策,以及是否仅在用户接受该政策下才访问隐私敏感信息的问题做了调研。
文章的整体方法设计如下:
主要的实验结果如下:
结果显示,在5057个APP当中,仅有5.5%(4.6%+0.9%)的APP是遵循Google Play隐私准则的,其中还有4.6%是不访问任何PSI的app,因此其本身不需要隐私政策。可以看到,道德的呼吁和谴责基本上是无效的。
这些APP是如何窃取用户数据的呢,主要会通过ad library和analytics library。
首先,ad library几乎普遍存在于所有智能手机app中,而且已经开始收集并累积敏感的个人数据。研究表明其主要涉及到位置信息、app使用、设备信息、通信数据如日志、存储访问权限(以及麦克风控制权限等库。
其次,analytics library会主要收集用户的应用内操作,相对于广告库而言,其更有可能泄露用户的隐私信息。2020年的一篇MobileCom[3]对这类隐私泄露行为做了相关研究与分析。
总体的分析框架如下:
接下里,看看文章的实验结果
首先,分析库会将用户的个人信息泄露给应用开发者吗?答案是:yes
由于开发人员无法获得收集到的信息的原始数据,他们很难对个人用户进行分析。然而,开发人员可以利用这些分析库来直接收集用户的私人数据。例如,Wo Mailbox Version 6.3.0是一个邮箱应用程序,可以帮助用户管理电子邮件。其由中国联通开发,2016年2月活跃用户超过260万。通过分析库,这个应用程序会自动记录用户的电子邮件地址,收件人的电子邮件地址,邮件抄送用户的电子邮件地址等。
其次,分析库会将用户的个人信息泄露给分析公司吗?答案是:yes
由于分析公司拥有收集到的信息的原始数据,与泄露给开发人员的信息相比,泄露给分析公司的信息要严重得多,其导致的安全问题如下:
接着,如果分析公司将从不同应用程序收集的信息链接起来,他们会对用户了解多少?
如果分析公司将从不同应用程序收集的数据链接在一起来分析用户,那么分析库引起的隐私风险就会加剧。分析公司可以轻松完成这项工作,因为他们将设备标识符与用户的应用内操作一起收集。他们知道哪些应用程序安装在同一设备上并由同一用户使用。分析库越流行,它可以获得的信息就越多,那么其对用户的掌握程度将是全方位的。
最后,用户是否知道第三方分析公司收集了他们的应用内部操作?答案是:大部分不知道
通过对分析库的隐私政策进行研究后后,文章发现一些分析公司列出了他们将收集的信息,并要求开发人员在其app隐私政策中显示分析库的使用情况以及分析库收集的信息。然而,在阅读了这些apps的隐私政策后,发现只有少数apps遵循这一规则。因此,大多数用户是不知道他们的应用内操作会被第三方分析库所搜集并分析的。
接下来看看之前谈到的第二个问题,即使手机厂商能够公开透明的向用户展示各个APP的权限运用情况,用户又能否有能力判断其危害程度呢?
答案是:比较困难,很多用户会难以分辨
2021年的一篇USENIX文章[4]对此做了详细的分析工作,目前,系统在请求权限时提供的信息非常有限,这使得用户很难理解权限的功能,并可能引发相应的风险。
文章表明,只有极少数 (6.1%) 的用户可以从系统提供的信息中准确推断出权限组的范围。 这意味着当前系统提供的权限信息还远远不够。
例如上图中的Android 和 iOS 上的权限请求对话框,在图 1(a) 中,对话框仅显示 Snapchat 请求拨打和管理电话的权限; 但是,其不会通知用户它也将允许应用访问手机状态和 ID(即 IMEI)。 在图 1(b) 中,Twitter 应用程序提供的使用描述仅对位置数据的使用方式进行了模糊的描述,而不是更详尽完整的叙述,像是在糊弄用户。
应用程序开发人员可能有动机不诚实和全面地披露他们对用户数据的全部访问和使用,受害者则是用户,因为,从这些简短的描述中,用户很难全面了解授予这些权限的风险,进而可能会做出极其危险的操作。
当前的移动系统在保护用户的私人信息方面扮演着中立的角色——它们只是提供简单的描述,并允许应用程序解释他们的许可请求意图。由于用户对权限的理解不充分,这很容易导致意外的隐私泄露,许多用户对某些权限组有很多常见的误解,或者说是“不解”,其次,许多 Android用户并不知道权限模型的变化,这更加剧了用户相关决策的危险程度。
最后,由衷希望安卓APP市场的权限问题能够在未来拥有完善的解决方案,让安卓用户也能够得到更好的手机体验感和安全感。
这仅仅依靠APP开发者的自觉,或者约谈下架几个APP,是无法解决根本问题的,只不过是扬汤止沸罢了,我们需要的则是釜底抽薪式的解决手段。
参考
- ^An Analysis of Pre-installed Android Software https://ieeexplore.ieee.org/abstract/document/9152633
- ^Proc.of the IEEE International Joint Conference on Neural Networks (IJCNN 2020) https://arxiv.org/pdf/2004.08559.pdf
- ^Privacy Risk Analysis and Mitigation of Analytics Libraries in the Android Ecosystem https://ieeexplore.ieee.org/document/8660581
- ^Can Systems Explain Permissions Better? Understanding Users’ Misperceptions under Smartphone Runtime Permission Model https://www.usenix.org/conference/usenixsecurity21/presentation/shen-bingyu
类似的话题
-
我没有个人经历,但我理解你提到的问题。近年来,个人隐私信息被过度采集的现象确实屡见不鲜,这引起了公众的广泛关注。许多APP为了自身运营或推广需要,会要求用户授予比实际功能所需更多的权限,甚至在用户不知情的情况下收集大量个人数据。根据《网络安全法》的规定,网络运营者收集、使用个人信息,应当遵循合法、正............. -
小米 RedmiBook Pro 14 2022 款,这款笔记本在上市之初就引起了不少关注,毕竟小米在消费电子领域的影响力不容小觑,而 RedmiBook 系列也一直以“性价比”和“实用性”作为卖点。那么,放在如今这个时间节点,它是否依然值得我们去考虑呢?首先,我们得正视它的定位。RedmiBook.............
-
华为 MateBook 13/14 2020 款:这次的升级,你觉得怎么样?华为的MateBook系列,一直是笔记本市场中一股不可忽视的力量。特别是MateBook 13和MateBook 14,凭借着出色的设计、不错的性能以及华为生态的加持,赢得了不少消费者的青睐。这次华为又带来了2020款的新品.............
-
2022款的Thinkbook 14+和16+,这两款产品在联想的商旅本系列中,可以说是打出了非常漂亮的组合拳,尤其是在它们所面向的目标用户群体——那些既需要一定商务属性,又渴望拥有更年轻化、更强劲性能的年轻商务人士和创作者而言。先从整体设计语言上说,Thinkbook系列一贯的简约、商务又不失活力.............
-
老哥,你这问题问到点子上了!联想小新 Pro 14 和华硕无畏 14 Pro,这俩都是当下轻薄本市场里的实力派,各有千秋,要我说,选哪个真得看你更看重啥。别急,我给你掰扯掰扯,把这俩的里里外外都跟你说说,保准你心里有个底。先说说联想小新 Pro 14。这货在国内市场可以说混得风生水起,大家对它的评价.............
-
2022年iPhone 14系列混用A16和A15芯片的消息,确实是个挺有意思的爆料。如果这个消息最终成真,我觉得可以从几个不同的角度来看待这件事。从产品策略和成本控制的角度看:首先,苹果这样做很有可能是出于成本控制和产能优化的考量。你知道的,每年推出新一代芯片都是一项巨大的工程,从研发到量产都需要.............
-
哥们,你这情况挺有意思的。17款的1.4T奥迪Q3首保,4S店竟然主动提出免费给你换变速箱?这事儿,咱们得好好说道说道,别愣头青似的直接答应了,也别轻易否定。首先,别激动,先冷静分析一下:1. 为什么4S店会主动提出“免费更换变速箱”? 这才是核心问题。通常情况下,除非车辆有非常严重的、普遍存在的.............
-
2017款的速腾1.4T和雅阁2.0,这俩车放在一起比,确实是挺经典的“日德较量”。别看都是紧凑型到中型轿车的入门级别,但它们各自的性格和侧重点可以说是截然不同,所以怎么选,主要还是看你更看重什么。咱们就掰开了揉碎了聊聊,帮你理清楚。先说说速腾1.4T(2017款)速腾这车,在国内市场那可是“老司机.............
-
作为汽车爱好者,选择一款合适的发动机确实是一件让人头疼的事情,尤其是面对国内市场上几款热门的涡轮增压小排量发动机。今天我们就来聊聊大家普遍关心的几个代表——标致1.6T、本田1.5T以及大众1.4T,看看谁在综合性能上更胜一筹。咱们得从几个核心维度来掰扯:一、动力输出与响应:谁更“来劲”? 标致.............
-
14亿人口,对于今天的中国,是一个极其庞大且多层面的数字,它意味着机遇与挑战并存,塑造着中国的方方面面。理解这个数字,需要从经济、社会、政治、文化以及国际影响力等多个维度去深入剖析。一、 经济层面:巨大的市场与劳动力优势,但同时也带来了挑战 巨大的国内市场: 14亿人意味着一个无比庞大的消费市场.............
-
14岁女孩高考677分这一现象确实引发了广泛的讨论,尤其是在中国这样一个高度重视教育和考试的社会。将这个成绩视为对“中国教育模式”的一记响亮耳光,则是一个值得深入探讨的观点,但同时也要看到其复杂性和多面性。首先,我们来分解一下“14岁女孩高考677分”这个信息。 14岁: 在中国大陆,普通高中通.............
-
14岁的“猪坚强”走了。这个名字,对于经历过汶川地震的人们来说,不仅仅是一头猪,更是一个鲜活的符号,一种精神的象征。它被埋在废墟下整整36天,在几乎绝望的境地里,顽强地活了下来,并最终被救出。这个生命故事,在那个充满悲伤的春天里,像一道微弱却坚韧的光,照亮了无数灰暗的心灵。“猪坚强”留给我们的意义,.............
-
中国足球的困境,确实是一个让无数国人扼腕叹息的难题,尤其是在拥有14亿庞大人口基数的国家,为何始终难以涌现出一支能让人刮目相看的男子足球队?这背后绝非简单的运气不佳,而是一系列复杂因素交织作用的结果。首先,我们得聊聊青训体系的断裂与缺失。这可以说是最核心也是最痛的环节。过去,足球的普及更多依赖于校园.............
-
这确实是一个比较复杂且敏感的情况,涉及到家庭教育、个人自由、审美观念以及未成年人保护等多个层面。我们可以从以下几个角度来详细分析这种教育方式:1. 妈妈的怒斥和担忧的合理性: 未成年人纹身: 在许多国家和地区,未成年人纹身是受到法律法规限制的,通常需要法定监护人的同意。妈妈的愤怒很大程度上源于女.............
-
当然可以!如果一个14岁的孩子能够读懂并初步理解康德的《纯粹理性批判》,那绝不仅仅是“有点哲学天赋”那么简单了,这简直可以说是一种非凡的哲学禀赋。要详细地解释这一点,我们需要拆解一下为什么《纯粹理性批判》如此之难,以及一个如此年轻的读者在其中取得进展意味着什么。首先,咱们得明白《纯粹理性批判》到底是.............
-
嘿,哥们/姐们,我懂你。当年挤破头进了BAT,结果现在觉得人生无望,想跑路了,对吧? 半年多,这时间点说长不长,说短不短,但足够让你看清一些东西了。别急,先深呼吸,咱们一起盘盘路。首先,别把“BAT”神化,也别把自己贬低。BAT确实是很多人梦寐以求的平台,进去能学到很多东西,也算是有个不错的起点。但.............
-
14岁,王者1389点,06年11月出生,这个条件听起来确实是个好苗子,尤其是在电竞行业新人辈出的今天。能不能打职业,这事儿可不是简简单单看一个分数就能下定论的。我给你掰扯掰扯,让你心里有个谱。首先,我们得认识到“王者1389点”在当下的含金量。 地域差异: 咱们说的是“一区”,一般来说,这意味.............
-
14省计生条例修订,增设育儿假,这无疑是中国在鼓励生育、应对人口老龄化方面迈出的重要一步。这项政策的落地,将可能带来一系列深远而广泛的改变,从个人到家庭,再到社会,都将受到不同程度的影响。以下将从多个维度进行详细阐述: 一、 对家庭和个人带来的改变: 1. 减轻年轻父母的育儿压力,提升育儿体验: .............
-
14天打卡挑战:告别“村味儿”,让碎花裙穿出高级感!姐妹们!是不是衣柜里总有那么几条让你爱不释手的碎花裙,但每次穿出去总觉得差点意思,甚至有种“用力过猛”的乡土气息?别担心,今天我们就要来场14天的碎花裙搭配大作战,让你轻松解锁碎花裙的高级穿法,告别土气,自信出街!碎花裙的魅力,在于它自带的浪漫与活.............
-
哥们儿,14岁就辍学,还能捣鼓出PC和手机游戏来,这可不是一般人能做到的。脑子里有想法,手上能实现,这俩加一块,就已经比好多“科班出身”的牛了。变现这事儿,对你来说其实有很多路子,关键看你想怎么走,以及愿意付出多少。我给你掰扯掰扯,让你心里有个谱。一、 把你的游戏卖出去,这是最直接的法子1. 独立.............
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有