蘋(píng)果產(chǎn)品國(guó)內(nèi)售后與國(guó)際采取雙重標(biāo)準(zhǔn)�、江淮同悅汽車(chē)使用的廉價(jià)鋼板可腐蝕車(chē)身、周大生等品牌千足金涉嫌造假……2013年央視315晚會(huì)又在一片驚嘆聲中落下了沉重的帷幕。當(dāng)中尤其讓人憂(yōu)心的莫過(guò)于后臺(tái)程序盜取用戶(hù)信息的行為——安裝一個(gè)軟件,或?yàn)g覽一個(gè)網(wǎng)址都可能讓你的個(gè)人信息層層“脫光”,暴露于一只只看不見(jiàn)的“眼球”里。
1. 手機(jī)軟件,幾秒把你“看光”
315晚會(huì)中����,安卓軟件成為了一大關(guān)鍵詞�。
作為當(dāng)今三大主流手機(jī)系統(tǒng)之一的安卓,因軟件開(kāi)發(fā)自由性強(qiáng)��、軟件免費(fèi)好用而得到大多程序員和用戶(hù)的青睞�,不過(guò),自由度過(guò)大未必是好事����,正因?yàn)榘沧窟@一自由的概念,導(dǎo)致了權(quán)限的管理如同虛設(shè)�����,用戶(hù)“喜歡安裝啥就裝啥”���,而開(kāi)發(fā)者在軟件的設(shè)計(jì)上則是“對(duì)用戶(hù)愛(ài)干嘛就能干嘛”���。
有評(píng)論認(rèn)為,“自由”是安卓用戶(hù)最為津津樂(lè)道的話(huà)題����,然而對(duì)安卓軟件千依百順的后果也許就是任人蹂躪,安卓松散的權(quán)限管理機(jī)制給了用戶(hù)自由�,也將自身暴露在了危險(xiǎn)之中。
這種隱藏的危險(xiǎn)�����,就包括了315晚會(huì)曝光的安卓軟件通過(guò)安裝到用戶(hù)手機(jī)而獲取信息這一行為�����。315晚會(huì)曝光了一款手機(jī)應(yīng)用軟件“重慶小面”可以獲取用戶(hù)一些信息�,包括串號(hào)、地理位置��,甚至有的APP(Application的簡(jiǎn)稱(chēng)��,第三方應(yīng)用程序)可以上傳用戶(hù)手機(jī)的通訊錄����、短信�����、手機(jī)存儲(chǔ)的文件等����。
復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院院長(zhǎng)王曉陽(yáng)表示����,58%以上都有隱私信息泄密的問(wèn)題。大部分是把信息送回了(軟件)開(kāi)發(fā)商��、廣告商����,還測(cè)到一部分是送到不知名的第三方的網(wǎng)站去了。
從事數(shù)據(jù)應(yīng)用與網(wǎng)絡(luò)服務(wù)行業(yè)的系統(tǒng)分析師陸太保告訴記者���,一些軟件會(huì)裝后臺(tái)服務(wù)程序�����,即使在沒(méi)有開(kāi)啟程序的情況下�,也可以實(shí)時(shí)與遠(yuǎn)端服務(wù)器通信;軟件只要獲得足夠的手機(jī)權(quán)限���,手機(jī)上的信息幾乎都可以獲取����。最常見(jiàn)的是獲取通信錄�、短信����、手機(jī)型號(hào)、位置等信息�����。
信息偽裝與對(duì)抗教育部重點(diǎn)實(shí)驗(yàn)室副主任����、中山大學(xué)教授孫偉認(rèn)為,由于安卓是個(gè)開(kāi)放自由的開(kāi)發(fā)環(huán)境��,許多程序員都會(huì)競(jìng)相開(kāi)發(fā)安卓軟件��,而免費(fèi)下載使用這一特質(zhì)也導(dǎo)致大量用戶(hù)廣泛應(yīng)用安卓軟件�����。不過(guò),許多軟件的設(shè)計(jì)者就通過(guò)向用戶(hù)免費(fèi)提供軟件的使用以換取用戶(hù)信息���,再根據(jù)用戶(hù)信息作進(jìn)一步的服務(wù)推送����,包括廣告宣傳�����、定位追蹤等�。“這就類(lèi)似給用戶(hù)手機(jī)裝上木馬程序����,獲得權(quán)限后便源源不絕地把用戶(hù)信息發(fā)送到開(kāi)發(fā)商手里,開(kāi)發(fā)商再對(duì)信息作進(jìn)一步的利用����?�!?/p>
不過(guò)��,按道理來(lái)講����,用戶(hù)的手機(jī)對(duì)軟件都有一個(gè)權(quán)限的管理��,那開(kāi)發(fā)商是如何獲得權(quán)限�����?陸太保說(shuō)�,軟件獲取用戶(hù)信息確實(shí)是需要權(quán)限的,但也存在軟件通過(guò)欺騙用戶(hù)而獲得權(quán)限的�,畢竟大部分用戶(hù)是不了解手機(jī)系統(tǒng)的工作原理��。
孫偉認(rèn)為�,一般具有安全防護(hù)的手機(jī)在安裝各種安卓軟件前,都會(huì)詢(xún)問(wèn)用戶(hù)“是否讓軟件獲取相關(guān)用戶(hù)信息”的提示��,但如果不接受這一要求����,軟件是不能被成功安裝的。
許多安卓手機(jī)的用戶(hù)對(duì)安卓軟件此舉都十分感慨���,他們說(shuō)����,一般安裝這些手機(jī)軟件都是有所需的,如果不接受權(quán)限的公開(kāi)�����,那這些手機(jī)軟件根本裝不了和用不了����,所以不得不硬著頭皮裝來(lái)用。
更讓人心寒的是��,一些軟件獲取用戶(hù)信息似乎直接跳過(guò)權(quán)限提醒這道坎�����。
復(fù)旦大學(xué)移動(dòng)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研究中心常務(wù)副主任楊珉表示����,一款預(yù)裝在摩托羅拉XT928手機(jī)內(nèi),名為“公信衛(wèi)士”安卓軟件��,在第一次應(yīng)用時(shí)��,監(jiān)測(cè)人員發(fā)現(xiàn)該軟件竟然會(huì)偷偷地向軟件公司的服務(wù)器發(fā)送一條短信,而在手機(jī)里又找不到這條短信的發(fā)送記錄��,“這條短信直接包含了用戶(hù)的手機(jī)設(shè)備號(hào)等一些私密信息����。當(dāng)然,它也會(huì)直接造成用戶(hù)手機(jī)號(hào)碼的泄露����。”
那有沒(méi)有什么辦法制止軟件獲取信息的行為呢����?
孫偉拿出手機(jī)向記者展示說(shuō),其實(shí)很多軟件都要求獲得你很多權(quán)限才能安裝成功����,但安裝以后�,可利用手機(jī)里安全防護(hù)之類(lèi)的軟件對(duì)其他軟件進(jìn)行權(quán)限管理,把獲取信息的要求通通禁止����。不過(guò),這些防護(hù)軟件其實(shí)自身也是在傳輸用戶(hù)的信息�����。“就像去醫(yī)院����,醫(yī)生肯定得知道你的病情,無(wú)隱私可言����。但你不說(shuō)怎么治?重要的不是醫(yī)生獲取了多少隱私��,重要的是醫(yī)生執(zhí)業(yè)需要規(guī)范���,讓執(zhí)業(yè)者知道濫用隱私是完全非法的��?�!睂O偉認(rèn)為��,對(duì)于網(wǎng)上用戶(hù)信息保護(hù)關(guān)鍵要立法���,制定細(xì)致的規(guī)則,建立監(jiān)管投訴鑒定機(jī)制����,嚴(yán)厲的懲罰�����,這樣才能避免信息濫用����。
2. Cookie�����,用“甜點(diǎn)”誘取信息
Cookie��,被比喻為用戶(hù)的網(wǎng)絡(luò)身份證��。是用戶(hù)登錄某一網(wǎng)站時(shí)�,網(wǎng)站會(huì)將用戶(hù)的瀏覽記錄、IP地址��、網(wǎng)卡號(hào)�、用戶(hù)名���、密碼等信息��,存放到用戶(hù)電腦一個(gè)叫Cookie的數(shù)據(jù)包中��,當(dāng)用戶(hù)下次再登該網(wǎng)站時(shí)�����,網(wǎng)站便可以利用Cookie文件自動(dòng)識(shí)別用戶(hù)�����,是一種方便用戶(hù)上網(wǎng)的技術(shù)�����。
一般情況下��,用戶(hù)電腦中的Cookie只會(huì)被放置它的網(wǎng)站所讀取���。不過(guò)��,央視315晚會(huì)上就披露了第三方公司通過(guò)加放代碼竊取用戶(hù)Cookie的行為�。
315晚會(huì)的視頻中��,品友互動(dòng)大客戶(hù)總監(jiān)張杰介紹說(shuō)���,他們?cè)诤芏嗑W(wǎng)站都加了代碼���,這樣他們就可以知道通過(guò)這個(gè)媒介��,知道所有瀏覽者Cookie的一切的行為�����。
陸太保說(shuō)����,Cookies是用戶(hù)瀏覽網(wǎng)站�,網(wǎng)站留在本地電腦的臨時(shí)信息,是由網(wǎng)站產(chǎn)生的����,用戶(hù)在下次瀏覽相同網(wǎng)站會(huì)發(fā)送該網(wǎng)站的Cookie信息,是屬于網(wǎng)站與用戶(hù)的交互信息�����?���!叭绻恍┚W(wǎng)站被嵌入腳本代碼,Cookie就很容易被這些代碼識(shí)別到��,并發(fā)往其他的網(wǎng)站����,從而被第三方收集到”,而一般的網(wǎng)站都有認(rèn)識(shí)到這種問(wèn)題����,所以會(huì)利用技術(shù)來(lái)禁止添加代碼的行為。
“但一些提供模板或自定義網(wǎng)頁(yè)內(nèi)容功能的網(wǎng)站依然會(huì)開(kāi)放代碼添加��,這類(lèi)網(wǎng)站也可以通過(guò)一些手段來(lái)屏蔽惡意代碼的運(yùn)行����。同時(shí)用戶(hù)也可以禁止Cookie的使用,大部分瀏覽器提供了相應(yīng)的設(shè)置���?����!标懱=忉屨f(shuō)���。
盡管Cookie可能被利用���,但禁止使用或許不是明智之舉。
新浪科技網(wǎng)頁(yè)就再次強(qiáng)調(diào)Cookie本身并不會(huì)侵犯用戶(hù)隱私�����,亦深信大部分用戶(hù)認(rèn)同Cookie技術(shù)能夠提升他們的瀏覽體驗(yàn)����。
對(duì)此,孫偉表示了認(rèn)同���,他認(rèn)為Cookie是一小段文本信息��,伴隨著用戶(hù)請(qǐng)求和頁(yè)面在Web服務(wù)器和瀏覽器之間傳遞�����。Cookie包含每次用戶(hù)訪(fǎng)問(wèn)站點(diǎn)時(shí)Web應(yīng)用程序都可以讀取的信息��,同時(shí)也包含了一些敏感信息��,如用戶(hù)名��、使用的瀏覽器和曾經(jīng)訪(fǎng)問(wèn)的網(wǎng)站等���,“用戶(hù)不希望這些內(nèi)容泄漏出去����,尤其是當(dāng)其中還包含有私人信息的時(shí)候�����。Cookie在生成時(shí)就會(huì)被指定一個(gè)Expire值�����,這就是Cookie的生存周期��,在這個(gè)周期內(nèi)Cookie有效�����,超出周期Cookie就會(huì)被清除��。有些頁(yè)面將Cookie的生存周期設(shè)置為0或負(fù)值��,這樣在關(guān)閉瀏覽器時(shí)���,就馬上清除Cookie��,不會(huì)記錄用戶(hù)信息�����,更加安全�����?�!?/p>
孫偉認(rèn)為��,用戶(hù)其實(shí)可以改變?yōu)g覽器的設(shè)置��,以使用或者禁用Cookie���。所以,從開(kāi)發(fā)網(wǎng)站中禁止其使用顯然不合理����。
探討:后臺(tái)信息獲取,有理亦要有度
其實(shí),后臺(tái)對(duì)于信息的獲取也有其合理的一面�����。
陸太保認(rèn)為,正規(guī)的軟件獲取信息都是為了更好地服務(wù)用戶(hù)�,“獲取用戶(hù)信息,是許多軟件或網(wǎng)站都會(huì)做的事情��,出發(fā)點(diǎn)也有其合理的一面���。如網(wǎng)站獲取用戶(hù)Cookie是為了識(shí)別用戶(hù)����,提供用戶(hù)所需的或定制的服務(wù)��,也避免用戶(hù)的重復(fù)登錄���;又例如一些提供商會(huì)收集用戶(hù)的信息,并進(jìn)行一些用戶(hù)行為數(shù)據(jù)分析以發(fā)現(xiàn)更多市場(chǎng)信息或提供更好的服務(wù)�����,也是允許的����。”他還認(rèn)為,一些提供云服務(wù)的軟件��,如云備份會(huì)同步手機(jī)上的信息�����,這種獲取信息是合理的��,這是這類(lèi)軟件提供服務(wù)的本質(zhì)�����。
不過(guò)��,后臺(tái)獲取到的信息是屬用戶(hù)私有的�,不能用于其他獲利的行為,用戶(hù)也應(yīng)意識(shí)到軟件或網(wǎng)站所需的用戶(hù)信息����,必須是非常有限的。
“過(guò)多獲取用戶(hù)信息或獲取不應(yīng)該獲取的私密信息����,必定帶有不良的目的,最有可能的是信息被出售而獲利����;被不良之徙獲得這些信息�����,危害非常大��,可能會(huì)帶來(lái)信譽(yù)與財(cái)物的損失����,嚴(yán)重者會(huì)危害到用戶(hù)的生命���?��!标懱_€指出����,由于手機(jī)軟件的提供商大都沒(méi)有有效的營(yíng)利模式,往往會(huì)采集用戶(hù)的信息來(lái)獲利��,這種情況在國(guó)內(nèi)比較嚴(yán)重�����。
對(duì)此,陸太保提到了一些應(yīng)對(duì)措施�����,一是選擇使用信譽(yù)高的軟件或網(wǎng)站�����;二是安裝或使用前�,應(yīng)仔細(xì)閱讀說(shuō)明或指引,特別要注意需授權(quán)的事項(xiàng)���,不明白的地方盡量了解清楚����,在完全明白風(fēng)險(xiǎn)的情況下使用軟件或服務(wù)�。此外,還應(yīng)使用一些監(jiān)測(cè)工具或殺毒軟件�����,定期檢測(cè)手機(jī)與電腦����。
“違法成本顯然太低了���,國(guó)內(nèi)應(yīng)加大對(duì)后臺(tái)的監(jiān)管力度?���!睂O偉認(rèn)為,無(wú)論是軟件還是網(wǎng)站�,對(duì)用戶(hù)獲取信息以促進(jìn)服務(wù)的的推進(jìn),顯然具備一定的合理性���,不過(guò)后臺(tái)也容易會(huì)過(guò)度獲取用戶(hù)信息�����,因此在應(yīng)對(duì)這類(lèi)后臺(tái)信息獲取的行為上�,關(guān)鍵不在于禁止���,而在于對(duì)后臺(tái)的管理?����!拔艺J(rèn)為首要是加強(qiáng)監(jiān)管的力度�,這要通過(guò)政府與企業(yè)的共同努力�,二是加強(qiáng)個(gè)人對(duì)信息的安全意識(shí)����,還有個(gè)人在電腦方面的技術(shù),包括安裝專(zhuān)業(yè)的安全法防護(hù)軟件�、定時(shí)清理遺留的信息和修補(bǔ)漏洞等?�!?/p>
