苹果产品国内售后与国际采取双重标准、江淮同悦汽车使用的廉价钢板可腐蚀车身、周大生等品牌千足金涉嫌造假……2013年央视315晚会又在一片惊叹声中落下了沉重的帷幕。当中尤其让人忧心的莫过于后台程序盗取用户信息的行为——安装一个软件,或浏览一个网址都可能让你的个人信息层层“脱光”,暴露于一只只看不见的“眼球”里。
1. 手机软件,几秒把你“看光”
315晚会中,安卓软件成为了一大关键词。
作为当今三大主流手机系统之一的安卓,因软件开发自由性强、软件免费好用而得到大多程序员和用户的青睐,不过,自由度过大未必是好事,正因为安卓这一自由的概念,导致了权限的管理如同虚设,用户“喜欢安装啥就装啥”,而开发者在软件的设计上则是“对用户爱干嘛就能干嘛”。
有评论认为,“自由”是安卓用户最为津津乐道的话题,然而对安卓软件千依百顺的后果也许就是任人蹂躏,安卓松散的权限管理机制给了用户自由,也将自身暴露在了危险之中。
这种隐藏的危险,就包括了315晚会曝光的安卓软件通过安装到用户手机而获取信息这一行为。315晚会曝光了一款手机应用软件“重庆小面”可以获取用户一些信息,包括串号、地理位置,甚至有的APP(Application的简称,第三方应用程序)可以上传用户手机的通讯录、短信、手机存储的文件等。
复旦大学计算机科学技术学院院长王晓阳表示,58%以上都有隐私信息泄密的问题。大部分是把信息送回了(软件)开发商、广告商,还测到一部分是送到不知名的第三方的网站去了。
从事数据应用与网络服务行业的系统分析师陆太保告诉记者,一些软件会装后台服务程序,即使在没有开启程序的情况下,也可以实时与远端服务器通信;软件只要获得足够的手机权限,手机上的信息几乎都可以获取。最常见的是获取通信录、短信、手机型号、位置等信息。
信息伪装与对抗教育部重点实验室副主任、中山大学教授孙伟认为,由于安卓是个开放自由的开发环境,许多程序员都会竞相开发安卓软件,而免费下载使用这一特质也导致大量用户广泛应用安卓软件。不过,许多软件的设计者就通过向用户免费提供软件的使用以换取用户信息,再根据用户信息作进一步的服务推送,包括广告宣传、定位追踪等。“这就类似给用户手机装上木马程序,获得权限后便源源不绝地把用户信息发送到开发商手里,开发商再对信息作进一步的利用。”
不过,按道理来讲,用户的手机对软件都有一个权限的管理,那开发商是如何获得权限?陆太保说,软件获取用户信息确实是需要权限的,但也存在软件通过欺骗用户而获得权限的,毕竟大部分用户是不了解手机系统的工作原理。
孙伟认为,一般具有安全防护的手机在安装各种安卓软件前,都会询问用户“是否让软件获取相关用户信息”的提示,但如果不接受这一要求,软件是不能被成功安装的。
许多安卓手机的用户对安卓软件此举都十分感慨,他们说,一般安装这些手机软件都是有所需的,如果不接受权限的公开,那这些手机软件根本装不了和用不了,所以不得不硬着头皮装来用。
更让人心寒的是,一些软件获取用户信息似乎直接跳过权限提醒这道坎。
复旦大学移动互联网数据安全技术研究中心常务副主任杨珉表示,一款预装在摩托罗拉XT928手机内,名为“公信卫士”安卓软件,在第一次应用时,监测人员发现该软件竟然会偷偷地向软件公司的服务器发送一条短信,而在手机里又找不到这条短信的发送记录,“这条短信直接包含了用户的手机设备号等一些私密信息。当然,它也会直接造成用户手机号码的泄露。”
那有没有什么办法制止软件获取信息的行为呢?
孙伟拿出手机向记者展示说,其实很多软件都要求获得你很多权限才能安装成功,但安装以后,可利用手机里安全防护之类的软件对其他软件进行权限管理,把获取信息的要求通通禁止。不过,这些防护软件其实自身也是在传输用户的信息。“就像去医院,医生肯定得知道你的病情,无隐私可言。但你不说怎么治?重要的不是医生获取了多少隐私,重要的是医生执业需要规范,让执业者知道滥用隐私是完全非法的。”孙伟认为,对于网上用户信息保护关键要立法,制定细致的规则,建立监管投诉鉴定机制,严厉的惩罚,这样才能避免信息滥用。
2. Cookie,用“甜点”诱取信息
Cookie,被比喻为用户的网络身份证。是用户登录某一网站时,网站会将用户的浏览记录、IP地址、网卡号、用户名、密码等信息,存放到用户电脑一个叫Cookie的数据包中,当用户下次再登该网站时,网站便可以利用Cookie文件自动识别用户,是一种方便用户上网的技术。
一般情况下,用户电脑中的Cookie只会被放置它的网站所读取。不过,央视315晚会上就披露了第三方公司通过加放代码窃取用户Cookie的行为。
315晚会的视频中,品友互动大客户总监张杰介绍说,他们在很多网站都加了代码,这样他们就可以知道通过这个媒介,知道所有浏览者Cookie的一切的行为。
陆太保说,Cookies是用户浏览网站,网站留在本地电脑的临时信息,是由网站产生的,用户在下次浏览相同网站会发送该网站的Cookie信息,是属于网站与用户的交互信息。“如果一些网站被嵌入脚本代码,Cookie就很容易被这些代码识别到,并发往其他的网站,从而被第三方收集到”,而一般的网站都有认识到这种问题,所以会利用技术来禁止添加代码的行为。
“但一些提供模板或自定义网页内容功能的网站依然会开放代码添加,这类网站也可以通过一些手段来屏蔽恶意代码的运行。同时用户也可以禁止Cookie的使用,大部分浏览器提供了相应的设置。”陆太保解释说。
尽管Cookie可能被利用,但禁止使用或许不是明智之举。
新浪科技网页就再次强调Cookie本身并不会侵犯用户隐私,亦深信大部分用户认同Cookie技术能够提升他们的浏览体验。
对此,孙伟表示了认同,他认为Cookie是一小段文本信息,伴随着用户请求和页面在Web服务器和浏览器之间传递。Cookie包含每次用户访问站点时Web应用程序都可以读取的信息,同时也包含了一些敏感信息,如用户名、使用的浏览器和曾经访问的网站等,“用户不希望这些内容泄漏出去,尤其是当其中还包含有私人信息的时候。Cookie在生成时就会被指定一个Expire值,这就是Cookie的生存周期,在这个周期内Cookie有效,超出周期Cookie就会被清除。有些页面将Cookie的生存周期设置为0或负值,这样在关闭浏览器时,就马上清除Cookie,不会记录用户信息,更加安全。”
孙伟认为,用户其实可以改变浏览器的设置,以使用或者禁用Cookie。所以,从开发网站中禁止其使用显然不合理。
探讨:后台信息获取,有理亦要有度
其实,后台对于信息的获取也有其合理的一面。
陆太保认为,正规的软件获取信息都是为了更好地服务用户,“获取用户信息,是许多软件或网站都会做的事情,出发点也有其合理的一面。如网站获取用户Cookie是为了识别用户,提供用户所需的或定制的服务,也避免用户的重复登录;又例如一些提供商会收集用户的信息,并进行一些用户行为数据分析以发现更多市场信息或提供更好的服务,也是允许的。”他还认为,一些提供云服务的软件,如云备份会同步手机上的信息,这种获取信息是合理的,这是这类软件提供服务的本质。
不过,后台获取到的信息是属用户私有的,不能用于其他获利的行为,用户也应意识到软件或网站所需的用户信息,必须是非常有限的。
“过多获取用户信息或获取不应该获取的私密信息,必定带有不良的目的,最有可能的是信息被出售而获利;被不良之徙获得这些信息,危害非常大,可能会带来信誉与财物的损失,严重者会危害到用户的生命。”陆太保还指出,由于手机软件的提供商大都没有有效的营利模式,往往会采集用户的信息来获利,这种情况在国内比较严重。
对此,陆太保提到了一些应对措施,一是选择使用信誉高的软件或网站;二是安装或使用前,应仔细阅读说明或指引,特别要注意需授权的事项,不明白的地方尽量了解清楚,在完全明白风险的情况下使用软件或服务。此外,还应使用一些监测工具或杀毒软件,定期检测手机与电脑。
“违法成本显然太低了,国内应加大对后台的监管力度。”孙伟认为,无论是软件还是网站,对用户获取信息以促进服务的的推进,显然具备一定的合理性,不过后台也容易会过度获取用户信息,因此在应对这类后台信息获取的行为上,关键不在于禁止,而在于对后台的管理。“我认为首要是加强监管的力度,这要通过政府与企业的共同努力,二是加强个人对信息的安全意识,还有个人在电脑方面的技术,包括安装专业的安全法防护软件、定时清理遗留的信息和修补漏洞等。”
