首圖來自壹圖網

每天只讓你選擇一件物品出門，你會選擇什麼呢？

相信大家心裏已經有了答案，那就是手機。

你的工作生活是不是已經被手機填滿？早上起來查看天氣，手機APP自動提醒你注意防曬；開車經過某一個城市，手機APP馬上推薦相關城市的衣食住行。作爲資深手機控，我們充分享受各類APP帶來的便利。

另外，你的手機是否頻繁收到一堆優惠活動的垃圾短信；除了快遞小哥給你打電話，更多時候對方直接報上你的大名，當你以爲是老朋友或者同事時，卻發現對方讓你帶上小孩來參加課程體驗，或者某某房源又有優惠。對於個人隱私泄露，你是否深惡痛絕呢？

對於越來越懂你的手機，你懂它嗎？

本文起底惡意APP如何竊取你的隱私，以及教你如何防範。

隱私泄露屢禁不止，精準詐騙頻發

2020年5月15日，工信部發布關於侵害用戶權益行爲的APP通報（2020年第一批）。依據《網絡安全法》《電信條例》《電信和互聯網用戶個人信息保護規定》等法律法規，工業和信息化部近期組織第三方檢測機構對手機應用軟件進行檢查，對發現存在問題的企業進行督促整改。

到底有哪些APP？它們涉及到的違法違規行爲是什麼？

據通報，噹噹、店長直聘、e代駕、大街等16款APP在列，這些應用軟件均涉及私自收集個人信息問題，另外還包括私自共享給第三方、超範圍收集個人信息、不給權限不讓用、強制用戶使用定向推送、過度索取權限、賬號註銷難等7大類問題。

工信部要求，存在問題的APP應在5月25日前完成整改落實工作，逾期不整改的，工業和信息化部將依法依規組織開展相關處置工作。

2018年8月，中消協發佈《APP個人信息泄露情況調查報告》稱，APP已經成爲個人信息泄露的重災區，遇到過個人信息泄露情況的人數佔比爲85.2%，沒有遇到過個人信息泄露情況的人數佔比爲14.8%。

當消費者個人信息泄露後，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件，排名位居前三位。

調查結果還顯示，如果手機APP導致個人信息泄露，最擔心的問題是被利用從事詐騙竊取活動，佔70.5%；其次是販賣或交換給第三方約佔52.4%；被推銷廣告騷擾佔比約爲37.7%；名譽受損約佔6.6%。

值得關注的是，最終有大約三分之一的受訪者選擇“自認倒黴”，一方面可能是基於無力應對的選擇，另一方面也可能是應對無效後的接受現狀。

騙子獲取用戶信息以後，最擔心的是對個人進行“量身定做”的精準詐騙，這種騙術很難被當事者識破，因爲騙子往往能夠準確地說出當事者一些較爲私密的信息，足以“以假亂真”，讓用戶放鬆警惕。

2019年9月20日，黑龍江雙鴨山一位劉女士報警稱，她前幾日在第三方平臺上購買了一張飛機票，就在飛機起飛的前一天，她突然收到短信稱行程取消。她電話聯繫退款，結果被騙15000元。

隱私泄露原因多樣，套路滿滿識別難

用戶個人隱私泄露原因多樣，本節主要從黑灰產人員、APP開發者、APP本身和用戶自身四方面進行分析。

1、黑灰產人員通過對系統反編譯、攻擊篡改、植入後門等方式對數據進行竊取

2013年10月，國內安全漏洞監測平臺“烏雲網”披露，自稱是中國最大的酒店數字客房服務商的浙江某某公司，因爲安全漏洞問題，使與其有合作關係的大批酒店的開房記錄在網上泄露。

數天後，一個名爲“2000w開房數據”的文件出現在網上，其中包含2000萬條在酒店開房的個人信息，容量達1.7G。開房數據中，開房時間介於2010年下半年至2013年上半年，包含姓名、性別、國籍、民族、身份證號、生日、地址、郵編、手機、固話、傳真、郵箱、公司、住宿時間14個字段。

黑客利用平臺漏洞，收集網站和APP應用程序泄露的個人信息，再嘗試登錄其它網站系統進行“撞庫”，不斷非法獲取用戶信息。通過手機號、身份證號將用戶碎片信息不斷關聯清洗，再把這些信息“打包”賣給不法分子，以此牟利。

目前，“人肉搜索”已經成爲一門灰色生意，價格從數百元到數千元不等，而這些信息均來自於黑灰產人士用於儲備個人信息的“社工庫”。

需要指出的是，社工庫及“人肉搜索”行爲嚴重觸犯了《網絡安全法》及其他有關法律、行政法規關於個人信息保護的規定。

2、APP開發者技術實力參差不齊，數據管理不善容易造成數據泄露

一般中小公司APP開發者技術能力薄弱，在數據安全技術力量上欠缺，數據保護意識不強。這給了黑客可趁之機。

以金融行業APP爲例，這些和“錢”有關的APP到底安全性幾何？2019年9月11日，中國信通院的報告團隊從232個安卓應用市場中收錄了 133327 款金融行業APP。經檢測發現，共有20.48%的金融行業APP被嵌入了第三方SDK，嵌入的SDK 數量共計高達104005個。在嵌入SDK的金融行業APP中，有45%的APP嵌入了5個及以上的SDK。而第三方SDK存在隱蔽收集用戶信息、自身安全漏洞易被不法分子利用等安全風險。

而這批APP中僅17.08%進行了安全加固，超過 80%的金融行業APP在應用市場“裸奔”，未進行任何的安全加固。基於 Java 語言編寫的安卓應用程序如不進行加固，則其打包的 APK 文件很容易被反編譯工具進行逆向分析，進而暴露風險。

3、APP本身過度索取手機權限帶來隱私泄露風險

對APP來說，獲取手機權限一部分是因爲功能需求（如導航軟件獲取位置信息）；而另一方面也是爲了儘可能多地收集用戶數據，更加詳盡地瞭解用戶特性，進而有針對性的進行推廣，提高用戶體驗等。

APP最熱衷收集的就是獲取用戶位置和通訊錄信息。根據《APP個人信息泄露情況調查報告》，讀取位置信息權限和訪問聯繫人權限是安裝和使用手機APP時遇到情況最多的，分別佔86.8%和62.3%。受訪者被要求讀取通話記錄權限(47.5%)、讀取短信記錄權限(39.3%)、打開攝像頭權限(39.3%)、話筒錄音權限(24.6%)的比例也相對較高。

APP在安裝的時候，有一個服務協議與隱私政策，長達幾頁甚至十幾頁且文字密集。一些軟件不授權就無法使用，絕大部分用戶沒有興趣閱讀並直接默認選擇同意。一些看似“正規”的APP在條款內埋下陷阱，披着“合法”的外衣，以“本人已經閱讀且同意履行”爲由蒐集用戶個人信息。被發現維權時就以“已經在條款中說明要求，用戶已經同意”的理由爲自己開脫。

4、用戶自身安全意識缺乏，經不住“誘惑”容易造成隱私泄露

互聯網時代，大量用戶不知道怎麼正確管理賬號密碼，普遍存在安全意識缺乏，容易中毒或被釣魚軟件欺騙。

大量高仿低質APP充斥在市場。以在IOS Appstore搜索“查社保”爲例，出來幾十個類似APP，普通用戶很難區分哪一個APP是官方出品，排名靠前的APP有可能是通過刷評論、刷下載量等手段衝上去的。用戶在註冊使用過程中，其數據被這些APP保留下來。2019年315，“社保掌上通”因過度收集用戶信息數據被點名，用戶填寫各種資料註冊這款APP後，這款APP會通過隱藏的用戶條款竊取用戶社保信息，現在這款APP已經被全網下架。

還有一些APP通過優惠短信鏈接、掃碼打折等誘惑信息，吸引用戶直接下載APP。這時用戶要擦亮雙眼，不要圖方便或只看評價等，在不清楚APP來源的情況下，不要下載和輸入個人信息。在使用APP某些功能提示需要讀取通訊錄時，一定要慎重考慮這個要求是否合理，增加自身的辨別能力和隱私保護意識。

熱衷獲取個人隱私，商業利益是誘因

商業的本質是逐利的，正確合理地使用數據本無可厚非。正如百度CEO李彥宏所說，中國人多數情況下願意用隱私換便利，但用戶仍然不希望被過度查看自己的個人數據，例如聊天記錄、通話記錄等。

拋開“販賣和交換個人信息”、“詐騙竊取活動”等不法行爲外，個人信息是如何被拿來做推銷廣告的呢？讓你收廣告收的明白，本節爲你簡單介紹一下套路。

首先，我們在註冊使用購物或者社交APP時，你的姓名、手機號、性別和地址等信息會被記錄下來。

其次，你在使用APP過程中，你的行爲數據如瀏覽時間、地理位置、瀏覽路徑、消費記錄等上千個行爲都會保存下來。

接下來，系統建立模型，從這些基本數據和行爲數據中構建標籤，試圖從無數個標籤中構建出你的用戶畫像。

舉個例子，你看到一款“電視”產品的介紹，系統計算你對“電視”的購買慾程度。通過一個簡單的標籤加權算法：

購買慾權重=行爲權重×停留時間×衰減因子

當你對“電視”產品評論、點贊、轉發和收藏等操作後，你的行爲權重會增加。停留時間是加分項，如果瀏覽“電視”的時間長，表示你對其有興趣。短暫的停留無法代表你長期的興趣，單次瀏覽行爲的權重會隨着時間流逝不斷衰減。

最後，系統根據這些標籤，通過你的瀏覽行爲給你推薦商品；也可以將其他跟你相似用戶的瀏覽記錄和購買過的商品推薦給你。

在互聯網誕生初期，《紐約客》曾有一句聞名全球的俚語：“在互聯網上，沒有人知道你是一條狗。”而現在，狗比你更瞭解你自己。

防範隱私泄露，提升個人安全意識

在互聯網時代該如何守護我們的個人隱私？需要APP開發者、應用發行市場和APP使用者共同努力。

1、APP開發者履行責任，從源頭上保護個人隱私安全

一個APP上線，要經歷設計、開發和上線環節。APP開發者需自覺遵守《APP違法違規收集使用個人信息行爲認定方法》等相關法律；遵循個人數據採集的基本原則，包括目的明確、最少夠用、公開告知、個人同意等。對信息泄密建立所謂的“問責制”，使所有人能更重視數據問題的解決之道。

2、應用分發平臺完善審覈機制，幫助用戶守好“最後一道門”

我國境內應用商店數量已超過200家，大部分應用商店都推出了一定措施來保障用戶的安全體驗, 嚴格審覈把關，提升用戶體驗尤爲重要。一些應用分發平臺已經採用“惡意行爲檢測”+“隱私泄露檢查”+“安全漏洞掃描”+“人工實名複檢”四重檢測體系，以多樣安全審覈措施保障上架應用的安全合規。

3、APP使用者加強信息安全保護意識，不讓非法應用“有機可趁”

APP使用者具體可通過下述四種方法加強個人信息安全保護：

（1）對APP分等級管理，設置不同的賬號密碼。涉及資金類的APP和一般APP，設置兩套不同的賬戶和密碼可防止連環盜號。

（2）不要隨意登錄免費WiFi，隨意刷二維碼。下載APP時最好從官方網站上下載，或通過合格經營的第三方應用市場下載，並適當查覈發佈者的資質。山寨APP，或存在竊取個人信息、惡意扣費等問題的APP，提前瞭解甄別，以防落入山寨陷阱。

（3）關閉APP的敏感權限。查看應用索取的權限，讀取通訊錄、讀取短信通話記錄等敏感權限盡量關閉。

對於蘋果手機，點擊設置-隱私，查看哪些程序還在使用你的“定位服務”、“通訊錄”等服務。關閉設置-通用-後臺應用刷新功能，有些APP通過後臺應用刷新功能收集用戶信息。

對於安卓手機，慎開USB調試模式，因爲手機一旦開啓USB調試模式，PC端的軟件可以快速地對手機進行root操作。一旦有了root權限，手機的鎖屏密碼、綁定賬號等信息很容易被其它軟件隨意調用，其安全風險不言而喻。

（4）個人信息不要隨意填寫，不主動泄露。平時接收快遞，使用X先生/女士，優先使用小區自提櫃，不對應具體門牌號；使用隱私小號進行聯繫等。

“出來混,遲早要還的”。個人信息保護已經成爲兩會熱點話題。5月25日，全國人大常委會工作報告在下一步主要工作安排中指出，將制定個人信息保護法、數據安全法。央行將嚴打無證經營違規獲取個人隱私數據。個人隱私數據的違規收集和野蠻使用時代將會終結。