移动智能设备已经成为我们生活中不可或缺的一部分,现代人出门可以不带“身、手、钥、钱”里的其他任何东西,却不能不带手机,如果出门没有带手机,那对我们来说可能是灾难性的后果:不是身体上的,而是精神上的巨大打击。
移动智能设备最大的优势就是它的便携性以及内嵌的各种传感器为我们生活中的方方面面带来的便利性:导航、沟通、拍照、录音、看时间、智能助理、就医、就餐、住宿、出行、信息查询、购物、以及你能想到的一切。这一切都是移动智能设备里安装的各种应用配合智能设备本身自带的各种传感器收集的各类信息实现的。
因为移动智能设备很多应用都来自于第三方,这些应用要正常运行,就需要获取设备的一些传感器信息。
一种是App正常运行所需权限的获取。比如提供扫码和P图的应用需要获取摄像头权限,提供语音识别服务的应用获取麦克风权限,提供O2O服务的应用获取LBS权限等等,因为这些应用的服务本身就是基于获取这些系统权限的基础上的。
或者应用在必须要获取某些权限才能提供服务的基础上,获取了某些权限后,再次把获取的权限应用到对用户体验提升有帮助的一些微创新上,如有些应用在探测到用户在应用运行期间截屏时,自动出现“问题反馈+分享”气泡,或输入法在用户输入某个通讯录姓名时,自动调用该通讯录好友电话号码等,虽然这时候这些应用调用这些权限不是为了主要功能实现,但因为极大地便利了用户,所以用户也还是能欣然接受并容许的。
但权限的“善用”和“滥用”的区别只存在于应用设计者一念之间,因为基于商业公司盈利的天然诉求,必然会在追求商业利益最大化的情况下,践踏用户的隐私权,正规的公司在监管比较严的情况下,获取用户各类权限以及利用这些权限时可能还会比较克制和守法,但对于缺少监管的平台和很多公司来说,可能就没有这种自律的觉悟了。
很多P2P公司和网贷公司在用户启动时,会要求获取用户的通讯录权限,如果用户拒绝授权,那么App就会停止运行,不能进行下一步。
很多网贷公司申请获取通讯录权限的理由可能是要建立重要联系人名单,这也是网贷公司的风控措施之一,无可厚非,但实际上,网贷公司在背后所做的,可不仅仅是获取了几个重要的联系人名单这么简单,一般来说,网贷公司会把你的通讯录数据和近期通话数据上传服务器,如果用户没有违约那么万事皆休,如果用户一旦违约,那对不起,你的亲戚、朋友、同学、父母就做好准备等待催债公司的夺命连环Call吧,这种获取权限后所做的操作就大大超出了正常范围,而且不能保证网贷公司不会拿这些数据来进行其他违法犯罪活动。
很多人可能都有过类似的迷惑:
“为什么我跟别人探讨买什么东西,刚挂电话,电商就推送了?”
“为什么刚跟朋友讨论到某部电影,关于这部电影的资讯就给我首屏显示了?”
很多人怀疑智能推送产品和信息的应用在后台悄悄利用获取的麦克风权限监听用户的对话和背景声音,所以能够做到“想用户所想”,甚至“比用户还了解自己”,当然这其中有很大一部分可能是用户的“孕妇效应”,即当自己在关注某个事物的时候,会发现周围到处都是这个事物,但很多时候,这些质疑也并不完全是空穴来风。
同时被质疑的应用很快就跳出来从法律、技术、企业文化等角度来反驳这样的质疑,但只要技术上存在这种可能性,我们就不能保证这类事情不会发生。
在2018 年初,百度遭江苏省消费者保护委员会提诉、指控其旗下 APP 涉嫌 " 监听电话、定位 " 的消息,便因此扩散到更多人的视线之中。不仅如此,该记者还这一演示中发现,除经同意开启存储和位置权限外,百度浏览器还自动开启了相机权限、电话权限以及麦克风权限;而在 " 单项权限 " 一栏中,其开启的权限还包括调用摄像头、启用录音、获取浏览器上网记录……
根据这位记者的描述,事实上,上述权限其均未在打开应用时授权,属于应用 " 暗中开启 "。
有些别有用心的APP可以利用获取的麦克风权限监听用户。最出名的例子就是前一段时间爆出的多款手游帮助电视广告数据公司alphonso监听用户看电视的习惯。
关于应用滥用用户授权的权限还有个很著名的段子,是在vivo全面屏手机使用了伸缩镜头后发生的,让人哭笑不得:
然而一位网友在使用过程中用某浏览器搜索某APP时,意外发现这个伸缩前置摄像头悄悄的完成了一个弹出、缩回的动作:
用户一开始以为是手机故障,后来发现,是某些有相机权限的App,在用户不知情的情况下,不定时地偷拍周围的环境。可是普通手机用户根本无法发现摄像头被偷偷启动与关闭,用户是完全无感的,vivo的这个NEX,突然就成了那些流氓App的鉴定器。想象一下你躺在床上正在忘情地玩手机,这时候摄像头偷偷伸出来,默默地看你一眼再悄咪咪地缩回去,这种感觉是不是很惊悚?
好在用户也在长期使用移动端设备的过程中,逐渐形成了各种授权授权的风险防范意识,并能够擦亮双眼,提高警惕,对于那些想要依靠大平台品牌效应滥用用户权限信息的应用,可能会觉得“这届网民不好糊弄了”,比较著名的一个案例就是前段时间闹得沸沸扬扬的“京东金融窃取用户截屏信息”事件了。
事件的详细经过是这样的:2月16日,有网友通过社交平台爆料称,京东金融APP会在用户不知情的情况下,自行获取用户手机里的敏感图片并上传。按照当时该网友提供的视频显示,当该用户使用安卓手机打开京东金融App后进入后台运行,然后再打开任意银行手机软件并在任意界面截屏。随后,该网友发现,在手机文件管理器中的京东金融App目录下,居然可以查看到用户刚才的银行软件截屏图片!
要知道这可是一款跟钱有关的金融类APP啊!该爆料经过传播后,引发用户的极大恐慌。
而京东金融随即回复称“京东金融绝对不会收集未经用户授权的任何信息,更不会窃取!”,表示京东金融APP里面的“客服截屏反馈功能”是一个“便利小功能”,用户打开京东金融APP截图后,为方便用户与客服沟通,用户可进一步选择是否联系客服并发送图片。并表示该缓存图片仅用于用户手机上的提示,只要用户不选择发送给客服,京东金融后台系统也绝对看不到。
不过在华为手机商店中,京东金融承认安卓系统上的APP5.0.5以后的版本存在该问题。当然,也否认私自上传了用户的照片。
不过用户显然对京东金融的解释不满意,认为京东金融没有回应因何会获取其他APP的截图以及相机照片的图,因此京东金融的回复是在混淆视听。
不管京东金融是不是存在私自上传用户截图的行为,这种事件能够快速发酵并吸引很多人的关注,本身就说明了移动设备用户对于设备权限的授权和获取信息风险意识已经显著增强,而只有当整个社会包括网络信息安全部门都能意识到权限管理的重要性时,我们的个人隐私和个人信息才能够最大程度上获得保护,而这种安全体系,不仅仅来自于应用制造商的自律,也不仅仅来自于执法部门和各大应用商店的监督审核,也需要依靠广大移动端用户对自己个人隐私的保护意识的加强和重视。
天堂和地狱,就在一念之间,对于应用制造商来说如是,对于设备使用者来说,亦如是。
