你的智能手機或在眼皮底下偷走你的信息

  當中國知名手機制造商小米承認其智能手機會將用戶的個人信息發送到其位於中國大陸的服務器上的時候,它立即引發瞭中國臺灣地區政府的抗議和調查。

  這一事件也讓人們開始關註我們的智能手機和外部世界之間的聯系。簡而言之,你的智能手機可能裝在你的口袋裡,但是你做不瞭它的主。

  隻要你的智能手機處於開機狀態,它就會與至少三個不同的主人進行通訊:手機生產公司、無線運營商和你手機中安裝或預裝的第三方應用程序開發者。

  所有這些公司都可能會編寫相應的程序,讓智能手機通過無線網絡或手機網絡給他們回傳用戶數據。他們這樣做可能沒有征得用戶的同意,或者根本就沒有讓用戶知道。就小米手機而言,用戶一旦開啟智能手機,它就開始回傳個人數據。

  小米稱,它的目的是讓用戶經由小米服務器來發送信息,而不必向無線運營商支付費用。而要達到這個目的,它就必須瞭解用戶的地址薄。

  “小米的做法顯然是錯誤的:他們會收集你的地址薄信息,並在未經你同意的情況下就傳回給他們。”米科-哈普寧(Mikko Hypponen)說,正是他的電腦安全公司F-Secure幫助揭露瞭這個問題。“而且,這些數據是在未經加密的情況下傳遞的。”

  小米稱,它已解決瞭這個問題,事先會征得用戶的同意,並隻會發佈加密的數據。

  行業問題

  小米絕不是唯一一傢從你手機中抓取數據的公司。

  互聯網安全公司FireEye亞太地區首席技術官佈萊斯-柏蘭德(Bryce Boland)說,無線運營商可能會從你的手機中收集收據。手機制造商也可能會收集各種信息,包括你的地理位置信息。

  “這不是哪個手機制造商或電信公司的問題,而是整個行業的問題。”柏蘭德說,“各傢公司都會以各種理由來收集數據,這樣做可能合法,但卻會帶來隱私方面的問題。”

  例如,很多無線運營商在其服務條款中就包含瞭收集有關手機、電腦和網絡活動(包括用戶訪問的網站)等個人數據的權力。惠普和法國互聯網安全公司Qosmos所做的一項案例研究發現,無線運營商能夠跟蹤個人設備,查看用戶發送瞭多少條Facebook信息。他們這樣做的目的是:利用這些數據來向用戶投放更有針對性的廣告。

  但是,一些用戶擔心不隻有無線運營商在收集這些詳細的數據。

  三年前,用戶驚訝地發現,美國無線運營商預裝瞭Carrier IQ公司的一款應用程序,該應用程序可以將個人數據傳輸給無線運營商。

  用戶於是提起瞭集體訴訟,但他們狀告的不是無線運營商,而是手機制造商,包括HTC、三星電子和LG電子。他們聲稱這些手機制造商利用這款軟件收集瞭遠超出無線運營商所需要的診斷性數據的內容。

  這起訴訟案聲稱,手機公司利用Carrier IQ軟件攔截個人信息為己所用,包括在未經用戶允許的情況下記錄用戶的電子郵件和短信——這些數據還可能會共享給第三方。這些公司為自己進行瞭辯護。

  此外,收集用戶數據的還有用戶安裝的應用程序。每款應用程序均需要征得你的同意才能夠訪問你手機中的數據或功能。例如,如果你想要用手機錄音,那麼你就要允許相應的應用程序訪問你的麥克風;如果你想要它推薦附近的酒店,你就得允許它獲得你的地理位置信息。

  曙光初現

  但是,用戶並不能夠輕易地知道哪些信息或功能被訪問,哪些數據被傳回到開發者的服務器上以及這些被傳到服務器上的數據是怎麼被處理的。羅馬尼亞殺毒軟件開發商Bitdefender去年發現,三分之一的Android智能手機應用程序會在“用戶不知情的情況下”上傳個人信息給“第三方公司”。

  不僅這些數據是瞞著用戶上傳的,而且它往往與這款應用程序的功能沒有多大關聯。

  例如,有一款Android應用程序可以將你的手機變成一個“火炬”,即開啟手機上的所有燈光,包括攝像頭閃光燈和鍵盤背景燈。用戶抱怨說,這款應用程序會發送用戶的地理位置信息。美國聯邦貿易委員會敦促該應用程序的位於愛達荷州的開發者明確說明:這款免費的應用程序還會收集用戶的地理位置信息,以便向他們投放針對性的廣告。盡管如此,這款應用程序已被安裝瞭逾5000萬次,並獲得瞭極好的用戶口碑。

  雖然大多數人都在擔心Android手機,但是蘋果的設備也不是不存在這樣的隱私問題。

  例如,無線運營商控制著SIM卡的代碼,因此它可能通過它來訪問手機上的數據。盡管蘋果應用商店對於應用程序的管制更為嚴格,但是FireEye公司的柏蘭德說,他的公司經常會發現針對iOS平臺的惡意應用程序以及在用戶不知情的情況下悄悄發送敏感數據的iOS應用程序。“iPhone平臺要比Android平臺更安全一些,但是它也不是完美的。”他說。

  蘋果稱,它自己的iOS安全系統會對其應用程序進行數字簽名和認證,從而保護瞭用戶的數據。

  用戶做主

  問題不在於手機制造商、應用程序開發者和無線運營商是否會從你的手機中收集數據,而在於它們會收集什麼樣的數據、何時收集以及用來做什麼。

  “如果我們考察諸多應用程序發送的內容,我們就會驚訝地發現我們有多少數據被上傳瞭。”柏蘭德說,“在不知道背景信息的情況下,人們根本無從判斷發送這些數據是否合理。”

  小米競爭對手一加手機主管卡爾-裴(Carl Pei)稱,手機制造商需要向用戶清楚說明他們正在做什麼以及為什麼要這樣做。一加手機會收集“匿名統計信息”,例如手機激活的地點、手機中運行的軟件類型和版本,這些信息有助於公司更好地決策,以更好地服務用戶。

  全球移動行業貿易協會GSMA的設備安全組的主席、牛津大學移動系統安全教授大衛-羅傑斯(David Rogers)說,“糟糕的安全設計和隱私保護的缺失讓用戶做出瞭很多犧牲。”他說,“與此同時,收集用戶數據也是很多公司的一大盈利點,因為他們不會輕易讓用戶阻擋他們的財路。”

Comments are closed.