预装应用的陷阱:个人隐私换廉价手机服务
作者 Newley Purnell
在隐私保护通常较弱的发展中国家,对于购买廉价智能手机的大量消费者来说,时刻用手机上网的便利性可能附带一个隐藏的代价:手机上的预装应用在人们不知情的情况下收集数据。
在中国生产、在缅甸和柬埔寨卖出的数以千计的Singtech P10手机就预装了这样一款应用,该应用会把手机用户的位置和设备信息发送给台湾一家名为通用移动科技(General Mobile Corp., 简称GMobi)的移动广告公司。安全研究人员称,该应用还出现于在巴西销售的智能手机上,以及那些由中国和印度厂商生产的智能手机上。
总部位于台北的GMobi称,该公司利用这类数据在智能手机上投放针对性广告。该公司有时还与智能手机厂商共享数据,帮助后者更好地了解客户。GMobi在上海设有一家子公司。
GMobi首席执行长Paul Wu表示,智能手机厂商可获得一个额外好处:在手机上预装GMobi的应用后,手机厂商可以向设备发送“固件”更新,GMobi不向手机厂商收取费用。对于正在新兴市场推广低价手机的智能手机厂商来说,这是一个重要考量因素。
GMobi的一名发言人称,如果终端用户希望享受免费互联网服务,他们需要为更好地投放定向广告做点牺牲。
在保护隐私与分享用户数据之间如何取舍在西方引发了一场论战。用户数据推动了很多互联网服务业务的发展。Facebook Inc因未采取足够措施保护用户数据而受到猛烈抨击。加州的新法律赋予该州居民禁止其个人数据被出售的权利,欧盟的通用数据保护条例(General Data Protection Regulation,简称GDPR)则推出了严格程度位居世界前列的数据隐私保护措施。
不过,在新兴经济体中,几乎没有针对隐私的保护措施,很多渴望上网的人可能没有意识到他们使用的设备正在将大量个人数据传输出去,而这经常是通过模糊的合作关系进行的。
缅甸曼德勒的一位销售员Thi Thi Moe表示,在《华尔街日报》告知她GMobi正从她的Singtech P10手机中收集数据之前,她对此毫不知情。Thi Thi Moe表示,她对近几个月自己手机屏幕上经常出现移动游戏广告很是恼火。
现年28岁的Thi Thi Moe说:“我不希望我的手机上出现此类应用。我不熟悉这项技术,但它似乎不该窃取我的个人信息。”她去年以77美元的价格购买了自己的手机。
GMobi是数家利用低成本智能手机和监管不力的缺口窃取大量用户数据的公司之一。上海广升信息技术股份有限公司(Shanghai Adups Technology)和印度数字广告公司MoMagic与智能手机制造商合作,提供类似的固件升级服务。
现在华盛顿特区担任独立顾问的Marc Groman表示,这些企业正从发展中经济体和买不起更好设备的个人身上挖掘市场,并且明显在对其进行追踪。Groman在去年之前一直还在白宫管理及预算办公室(OMB)担任高级隐私顾问。
Groman基于GMobi对自身行为的描述和研究人员的发现指出,这些行为在欧盟和美国是不合法的。
总部位于伦敦的移动商务和安全公司Upstream Systems发现了GMobi应用程序的活动,并与《华尔街日报》独家分享了这一信息。Upstream表示,该公司购买了四台新设备,一旦激活,这些设备就开始通过固件更新应用程序向GMobi发送数据,其中包括15位国际移动设备识别码(International Mobile Equipment Identification, 简称IMEI)以及分配给每部联网硬件的名为MAC地址的独特代码。据Upstream称,这些应用还会向位于新加坡的GMobi服务器发送一些位置数据。
Upstream还透露,该公司在近几个月阻止了GMobi应用程序企图为用户注册手游等付费服务的可疑活动。Upstream表示,如果该应用的企图得逞,那么八个国家的用户将面临总计超过700万美元的账单。GMobi的Wu表示,该公司不对源自于其应用程序的任何恶意活动负责。
许多热门智能手机应用程序都会收集用户数据,如联系人信息,甚至地理位置,但用户通常会在主动同意这些数据被收集的前提下安装此类应用程序,也可以随时卸载这些程序。然而,GMobi的软件出厂时就预先安装在新的智能手机上,只能通过复杂的专业技术步骤才能卸载。
GMobi向100多个智能手机生产商提供固件升级等服务,这些厂商生产的不同型号的手机约2,000款,在全球拥有逾1.5亿用户。
该公司以协议内容保密为由,未透露目前有哪些智能手机厂商正与其合作。华为技术有限公司、小米和总部位于迈阿密的BLU Products等数十家设备生产商都出现在GMobi网站列出的公司名单中。
华为发言人称,该公司从未与GMobi合作过。小米发言人称,该公司未与GMobi合作,而且也没有过合作经历。BLU发言人称,该公司几年前与GMobi进行过“探索性磋商”,但未与后者合作。小米进行了今年以来最大规模IPO之一,已于7月9日在香港上市。
不过,以美国和拉美为目标市场的BLU曾于2016年被发现在美国市场销售的智能手机上使用了GMobi竞争对手上海广升的固件服务。安全公司Kryptowire当时报告称,这些设备将用户的详细信息发送至中国。BLU称这是失误之举。
BLU的这位发言人表示,该公司不再与广升合作。总部位于上海的广升未回应有关其合作公司的问询。
总部位于新加坡的Singtech公司产品总监Andy Ng表示,他的公司已在去年停止使用GMobi的服务,但他表示,该公司约100万部安装有该应用的设备可能仍在缅甸和柬埔寨的市场上销售。
他表示,如果Singtech知道用户数据被收集,他是不会跟GMobi合作的。他说:“这是恶意软件。”
但深圳市图高智能有限公司(Shenzhen Hotwav Science and Technology Co., Ltd.)表示,所有应用都是应智能手机生产商的要求安装的。该公司总部位于中国,为Singtech生产设备。
总部位于台湾的移动广告公司GMobi开发的一款应用会预先安装在即将出售的智能手机中。图为该应用在部分手机上的呈现方式,这些手机由Singtech生产,销往缅甸和柬埔寨。 图片来源:UPSTREAM SYSTEMS
GMobi的应用被几家网上杀毒扫描服务公司称为恶意软件。恶意软件是一个术语,指的是偷偷收集用户数据的软件,但往往也指仅令人讨厌的软件。GMobi首席执行长Wu表示,该应用并不构成恶意软件。
GMobi称,用户在首次激活手机时被要求通过点击一项终端用户许可协议来表示对数据收集行为的认可。不过,Upstream发现,在有些情况下,数据未经用户同意就被传输至了GMobi在新加坡的服务器上。Wu表示,多数情况下,通过该应用进行的手机软件升级都需要用户接受协议才能进行,但他也称,如果设备无法运行,用户不能点击协议,该软件也能够正常工作。他表示,GMobi没有违反数据收集法律。
印度数字广告公司MoMagic提供一种与GMobi的服务类似的固件更新服务。MoMagic称该公司的手机合作伙伴包括小米、Micromax、Intex、日本的松下电器产业公司和索尼公司等。小米的一名发言人称该公司现在已经不与MoMagic合作。Micromax则不予置评。
Intex一名发言人说,MoMagic向该公司提供了固件升级服务,但没有为广告目的收集用户详细信息。索尼和松下没有就与MoMagic合作的问题立即回应置评请求。
MoMagic首席执行长Arun Gupta没有说明该公司向具体制造商提供了何种服务,但表示他的公司的业务主要集中在印度和孟加拉国。
他在提到私人数据收集监管规定时说:“我们都知道,目前印度和孟加拉的此类法律很薄弱。我们不管收集什么,都是遵守当地法律的。”
你可能还关注 ▼
WhatsApp创始人弃13亿美元股票与Facebook决裂内幕
大家也在读 ▼