如何不让手机出卖你?
为什么安装一个APP要求这么多的权限?免费的Wi-Fi到底还能不能连?我们享受着智能手机带来的便利,同时也总被隐私泄露的担忧困扰。DCCI互联网数据中心创始人胡延平认为,如果一个人的手机上装了100个APP,有98.5个APP在获取隐私信息,不获取的只有一个半。
2018年1月17日,腾讯社会研究中心与DCCI互联网数据中心,联合举办2017年度《网络隐私安全及网络欺诈行为研究分析报告》发布会,通过统计上千款APP获取用户手机隐私权限的情况,评估移动端隐私安全性,并提出应对措施。
以下内容由腾云整理发布。
胡延平
DCCI数据中心创始人
我们都安装了手机管家,但是有多少人会定期对自己APP的功能权限进行管理,把不必要的功能权限,比如读取通讯录和短信内容等功能关掉呢?答案是少数,这就是问题。
每年我们都会对主流1000多款APP,逐一做测评,看每一个APP的功能权限和它们在手机里做什么,哪些是不要的,哪些是不必要的。回看过去几年,一些关键指标有改善,但个人信息安全问题其实正在变得更加复杂。
01
隐私泄露的四大渠道
■ 手机里的应用软件。很多1000多款主流APP以外的应用软件,越不知名、越是小公司做出来的APP越是会在你手机上浑水摸鱼。
■ 上网场所。公共场所的Wi-Fi,比如网吧里或某个咖啡厅的免费Wi-Fi等,钓鱼或者趁机获取数据信息,拿走你的二维码为了做各种各样所谓精准营销以及互相买卖数据。
■ 旧设备的处理。很多人认为把手机的个人信息删除一下,甚至有些人都不知道删除个人信息,就把手机卖了,或者给别人回收、再维修、旧机换新机等。
■ 网络黑客。手机在网络访问过程中,道高一尺,魔高一丈,黑客技术手段在提升。除了个人信息安全以外,包括政企单位的大数据安全问题,也正在变得越来越突出。
02
Android和iOS谁更安全?
应用软件依然是个人信息泄露里最关键、最重要的部分。2017年下半年,获取用户隐私权限的Android应用的比例是98.5%,这里的98.5%是“越界+不越界”获取信息的总合。也就是装100个APP,有98.5个APP在手机里获取一些隐私信息,不获取的只有一个半。与2017年上半年以及过去2016、2015、2014、2013年相比这个比例都是在增长的。
Android获取手机里各种隐私信息的相关应用里,网络游戏APP是重灾区,比例最高,由上半年的22%增长到下半年的24.4%,其次是常用工具,同时增长的还有像抖音、快手等一些直播软件的影音娱乐以及投资理财。
与Android相反,游戏在iPhone获取个人信息隐私数据的APP里是比例最低的。因为iPhone整个APP的提交、审核、认证相对比较严谨,所以iPhone游戏反而相对安全。
Android手机应用里,2017年下半年获取用户核心的、重要的隐私权限比例有所降低,尤其读取手机号码的比例有显著下降,但打开摄像头、使用话筒录音等权限比例都有明显增长。
在越界获取用户隐私权限的Android应用里, 2017年下半年主要有影音娱乐、资讯阅读、生活购物、常用工具、网络游戏等等。2017年下半年,出行地图类应用越界获取隐私权限情况也没有得到根本改善。
在不同功能权限中,获取位置信息的APP里主要是通讯类和社区类,这与它的应用特性本身有关系。除了位置信息发送短信以外,有很多地图类的APP也在读取联系人、短信记录,获取这些信息的目的也让人十分费解。
获取用户信息的iOS APP的比例从上半年的69.3%上升到下半年的81.9%。不获取用户信息的iOS APP的比例从上半年额30.7%下降到下半年额18.1%。iOS纯粹不获取用户隐私数据的APP的比例,是Android的10倍多。
获取用户手机隐私权限的iOS应用里,影音娱乐是最重要的,然后是生活购物等,从结构来讲,大致分布同Android差不太多,只有网络游戏这项差别比较大,游戏排在最后一位,上半年是25.3%,下半年是43.1%。
总体上看,2017年下半年相对于上半年的情况有显著改善,这跟媒体舆论的呼吁和努力分不开,跟一些恶性事件的警醒、行业的自律,以及跟政府出面进行多管齐下的治理都紧密相关。与iOS相比,Android的整个生态还有较大差距。
03
诈骗犯罪的温床
根据腾讯安全实验室所提供的数据,诈骗案件的发生数量可以用“庞大”两个字形容,从手机里获取数据是犯罪的土壤、温床,给诈骗创造了便利条件。
2017年,腾讯安全实验室的检测数据如下:恶意网址数量是2837万次,诈骗电话标记数是6717万,这里只是标记次数,实际数量只会比这个高;诈骗短信举报总数是4433万条;垃圾短信举报总量是18.3亿次,这也只是举报量,不是实际收到垃圾短信量。
垃圾短信中有3.2%是诈骗类短信,94.3%是广告,相关其他违法的短信是2.5%,合计有严重问题的短信是5.7%。
诈骗短信里有56.1%是非法贷款;病毒软件、恶意网址在诈骗短信里所占的比例是11.7%;伪基站比例9.8%,也就是说收到的诈骗短信里,每10条中就有1条诈骗短信是从伪基站发出来的。伪基站不只是撒广告,而且通常和恶意诈骗是绑在一起的,例如冒用银行的号码发送的诈骗短信。
在骚扰电话里,每6个就有1个是诈骗电话。诈骗电话在骚扰电话中标记的总数是16%。有26.8%的诈骗电话会直接要求转帐,这个比例比2017年上半年的15.4%有显著的提高;冒充领导的比例,上下半年差不多,都是在17%左右;索要验证码比例有所降低,这和前一段时间的集中治理有关;冒充公检法的比例有百分之三点多的上升,这其中有相当一部分是恶性诈骗。
诈骗电话标记数量,2017年第二季度和一季度还在上升,但三季度有下降,第四季度还有1338万的标记。
恶意网址,主要是跟色情网站有关。恶意网址四季度检测数是792万次,比前三季度有所显著上升,其次还与博彩网站和信息诈骗相关。
但是通过包括腾讯在内的业界企业的努力,不仅仅是恶意网址数量在增长,拦截次数也有急剧增长,已经达到1007亿次,这相当于平均为每个互联网用户拦截了100次之多。
04
“四要”“八不要”
用户通过“四要”“八不要”防范数据泄露,保护个人隐私,包括避免被卷入到恶意诈骗中。
■ “四要”:要安装安全软件,设置功能权限做;开启设备锁,帐号保护;要在正规渠道购买或下载APP;汇款前核对对方的真实身份。
■ “八不要”:不连接来路不明的Wi-Fi;不透露验证码给别人;不把个人身份证信息存放在手机;不涉及黄赌毒网络行为;不点击来路不明的链接;不安装来路不明的程序;不在不同的帐号设置相同的密码;不使用纯数字或生日等简单密码。
需要提醒大家的是,除此之外,还有一个不要是:不要把你的生物信息轻易给到任何一个APP或任何一个服务商。生物信息包括指纹、面孔、虹膜等唯一性的信息,不可复制,一旦泄露,你自己也无法更改了。
生物信息是这一波技术的创新,尤其智能手机里正在流行人脸识别,包括很多应用里刷脸、按指纹等,这的确是未来的趋势,现在很多应用做得很创新、很好玩,但是相应的安全机制、安全保障、数据保护还没有达到非常高的程度,一旦指纹、面孔、虹膜等生物信息被泄露,可能比泄露密码和身份证更严重。
除了生物信息以外,还有一些新的多发领域,比如基于语音和图像的识别,以及后端所谓的人工智能,这些都是以后个人信息安全的重灾区,陆陆续续已经透露出来很多问题。智能手机、智能电视、智能音箱,或个人助理的智能终端,那些能实施24小时监控的功能都要留意,里面的数据是存储在端侧还是在云侧?还是云端互动?这方面既没有规则,也没有行业性的机制,都是在探索或酝酿阶段,可以想象会有多不安全。
现在对于个人信息的保护、网民隐私的保护等等已经到了非常严峻的时刻了,大量的新问题已经出现,有些领域有局部改善。相信在各有关部门的支持和治理下,企业和媒体都发挥重要的传播及推动作用,广大用户提高安全意识,我们共建更加安全的网络环境。
李新
腾讯守护者计划安全专家
公民个人隐私的泄露是诈骗分子能实施精准诈骗的关键原因。
守护者计划是2016年4月由腾讯公司首先推出的一个反电信网络诈骗的公益平台,针对电信网络诈骗的泛滥,联合公安、工商、银行、运营商,互联网企业和及网民,共同治理,打击电信网络诈骗。2017年腾讯守护者计划全面升级,将企业责任上升为社会责任,呼吁全民行动参与其中,共同对抗新型网络违法犯罪。
01
电信网络诈骗新趋势
2017年,我国电信网络诈骗案件新的形势严峻。据公安机关发布的权威数据显示:每个月发生的诈骗案件高达4万起,受骗金额达到10亿。去年一年,全国人民因为电信诈骗造成的损失达到120亿,在我国从事诈骗行业的从业人员180万,由此整个行业的总产值超过1000亿。
排名前三的地区是广西、广东和海南,这是根据公安部门在最近发布的重点诈骗地区进行的分类。现在电信网络诈骗呈现区域性特征,即某一个区域出现某一类诈骗高发的态势。第一,广西宾阳县是整个电信网络诈骗中“冒充公司领导”诈骗财务类犯罪最高发的地方,这一类犯罪是仅次于“仿冒公检法”诈骗,因为这一类针对的主要是财务人员,所以每一笔案件的诈骗金额都非常高。第二,广东饶平是游戏币诈骗。通过在游戏平台里发布游戏充值或游戏代练类诈骗信息,引导用户加为好友之后实施诈骗。第三,海南有机票改签类诈骗。源头也是公民个人信息泄露,订了机票之后,诈骗分子用最快捷的手段获取用户的航班信息,给用户发短信,编造用户的航班因机械原因或天气原因,需要改签,通过这样的方式一步一步引导你来实施诈骗。
02
受害人集中在移动端
因为现在移动互联的发展,八成欺诈场景集中在移动端。2017年,我国手机移动用户已经超过14亿,随着智能手机的普及以及移动4G网络的发展,大家基本上都会用手机进行上网和日常生活操作。
广东、江苏、浙江这一区域成为诈骗重灾区,主要因为这三个区域是我国经济最为发达的地方,诈骗分子也是紧盯这一类区域的人员,通过精准信息获取三个地区潜在受害人信息,再实施下一步犯罪。
男性及90后最容易上当受骗。为什么男性最容易上当受骗?因为中间有一类诈骗是专门针对男性的,就是色情诈骗。之前我们协助公安机关打掉一个色情APP的诈骗,通过一个APP,层层诱导你去注册、充值,最终整个环节全部走完可能还是只能看到那10秒的视频。这种诈骗涉及金额很小,可能就一两百元,但受众非常广,90后和男性是最容易上当受骗。
骗子会紧盯着哪一类人员?第一,宾阳地区最关注的是财务人员;第二,海外用户,原因是跟国内的沟通不顺畅,可以利用时间差实施诈骗;第三,游戏用户,广东饶平地区针对游戏用户实施诈骗。
03
台湾巨额诈骗
台湾冒充公检法诈骗,是所有诈骗里危害最大的,也是诈骗金额最高的一类犯罪,也是我们深恶痛绝的。
每年分布在全球各地的台湾电信网络诈骗分子往国内打的电话超过100亿个。台湾从事电信网络诈骗的从业人员有10万人,占全国电信网络诈骗从业人员180万人的6%不到,每年能够抓捕回大陆的只有2000人左右。在我们国家每年立案的案件数中,台湾冒充公检法诈骗的案件数只占整个案件数的10%,然而诈骗金额,却高达全年电信网络诈骗金额的50%,去年是120亿,可见其危害之巨大。
台湾电信网络诈骗的头目会在台湾或内地招募一些话务人员,把这些话务人员按照剧本分类,分为一线、二线和三线。一线负责冒充邮政部门、银行部门来给你打电话,说你的包裹可能涉嫌藏毒,或你的银行卡涉嫌被人冒用,涉及到非常严重的案件。二线负责冒充警察,冒充内地公安,说你涉及到非常严重的刑事犯罪,需要你来证明你自己没有参与。三线就是所谓的检察官和法官,给你一个通缉令,让你对自己身陷刑事犯罪的境况深信不疑,之后他们会给你提供一个安全账户,把你的钱转到安全账户,等这个案件调查完毕之后,证明你的清白,就会把钱返还给你。
这个骗局并不严谨,但是台湾电信网络诈骗分子不停跟内地法律进行对抗,编造新的剧本,变化话术,实施诈骗行为。最关键的问题是,台湾电信网络诈骗分子把诈骗基地已经从以往的东南亚国家向欧洲转移,第一是离大陆更远,第二是法律体系不同的原因。“西班牙案件”抓获120多人,是当时在境外抓获台湾诈骗人数最多的一个案件,但是西班牙法律是首先要有法官的拘捕令,过程非常繁杂,经过一年多,现在终于可以把他们引渡回大陆。
04
其他诈骗手段
在2016年时,清华大学教授被骗1800万;去年广东一个退休大学教授被骗1100万;一个星期前,广州一个博士生被骗了90万。现在这种手法不但骗你的积蓄,最终会让你倾家荡产。此类骗局是骗你的房产去抵押、变卖、贷款,这类诈骗的危害非常大。
还有两类危害很大的诈骗手法就是红包诈骗和法师诈骗。
红包诈骗是在社交网络中、社交群体里出现一个诈骗手法。首先群主会拉很多人进一个群里面,然后发布一个信息,“只要支付0.01元就可以获得299元的红包”,他把自己收款二维码和一个红包PS在一起,变成一个所谓的“二维码红包”,发到群里面,让群成员进行扫码支付。应用一个社工手段,在用户名上做了特殊的处理,让人觉得真的只要支付0.01元就能获得299元。
另一种红包诈骗是“欧阳大善人”的诈骗,首先会添加很多好友,每天会在自己朋友圈分享自己比较奢华的生活,如晒一下名表、名车,发自己在全球各地旅游信息,突然有一天他在朋友圈发一条信息,“现在做一个活动,叫以一返十,你给我发10元红包,给你返100元。”无数好友上当受骗给他发红包。
红包类诈骗有一个共同特性,金额非常少,但是受骗的人群非常多。
法师诈骗本来是传统线下犯罪,封建迷信。随着互联网发展,这一类诈骗也开始通过网络、社交平台来实施这一类违法犯罪活动。很多人会因为婚姻不合、自己事业不顺,在网上搜,请一个法师做法或请一个法器回来,道士会跟你讲有一些开光法器或给你做法事,发各种各样档次的红包,如果开始没有效果,他可能继续下一步骗局,说你这一段时间有“杀身”等运势。
现在在互联网上各类犯罪层出不穷,很多背后全是公司化运作的团伙。
周汉华
中国社会科学院法学研究所研究员
2016年,徐玉玉案之后,多部委联合治理打击电信网络诈骗,工作力度非常大,去年6月1号实施《网络安全法》,在《网络安全法》实施前后,四部委又进行10款重要应用隐私政策的评估。通过一系列在国家层面上的举措,整个社会被动员了起来,公权力机关积极的制度推进和积极执法,以一个决定性的变量,使得网络安全的形势有明显改观。
尽管多部委最近几年联合打击网络诈骗行为,公安部门为保护个人信息采取了相关行动,以及《网络安全法》实施前后高密度的制度推进,总体上这个领域面临的挑战还是具有长期性的。确实基数太高,尽管下降了一倍多,但依然不能低估。
前一段时间,全国人大常委会“一法一决定”的执法检查里,有些吸收了学者的观点,包括网络实名制。但是《网络安全法》执法检查刚启动时,法工委召开专家座谈会,当时我们内部又提出这个问题,一定要检讨实名制可能也会带来相应的风险。因为只要把身份证号和电话号告诉任何人,只要有这两个码,以后任何人的重要信息,花750元,都能买到。所以实名制一旦泛滥,后果很严重。这次人大常委会“一法一决定”的执法检查,其中特意提出“要研究实名制的范围”,最高立法机关能够对这个问题提出振聋发聩的警示,意义很深远。现在很多地方都搭车实名制,最后把风险外溢。同时,这次人大常委会执法检查提出了“加快个人信息保护法的制定”,可见国家层面对公民个人隐私问题的重视。
大数据的核心就是个人数据,随着大数据的发展,这其中的风险也是同步增长的。未来人工智能一定会遇到重大的信息安全方面的挑战,关注个人数据安全问题其实是整个数据治理最核心环节。
刘明
中国社会科学院文化法制研究中心研究员
每打开、安装一个应用,会弹出很多对话框,让你点各种各样的“同意”。经过你的同意之后,理论上来说,APP对信息的使用和收集就有了一定合法性的保障。但这种理论上结果的前提应该是消费者确实充分认知自己的同意会产生什么样后果。现在的问题是用户对于自己作出同意之后的后果其实并不非常了解。“同意”本来这应该是用户对自己个人信息授权的一个选择权和知情权的程序,却越来越成为经营者或信息收集者的挡箭牌。
有些时候,消费者和商家之间也可能存在一种误会,收集某个数据,消费者认为没用,但商家认为是他提供服务的组成部分或必要部分,这时一个简单的告知就不够了,不止要告诉消费者收集了哪些信息,还要告知这些信息用于哪些服务。比如很多APP都收集IMEI手机码,却不告知我们收集那个码到底有什么用处。只有告知相关的具体用途和服务,才是对消费者知情权最有力的保障。否则只是告诉你我收集了你的信息,除了同意以外也没有其他选择。
这是以后无论是在行政检查还是市场竞争方面,应该注意的一个点,谁能够更好、更清晰地向消费者传达信息的收集范围和用途,可能对消费者来说是更有意义或更友好的一种体现。
周辉
中国法学会网络
与信息法学研究会副秘书长
一天我打开12306的APP订火车票,弹出一个对话框“在您使用12306时,可能会获取您部分必要的个人信息,以提供相关积分服务,包括位置信息、相机相册、文件存储和电话。”我如果点击同意就没法预定火车票,但是这个服务对购买车票是必要的吗?可见过度收集个人信息,是很多应用软件的普遍问题。
2017年网信办主要针对隐私政策的文本做了一个评价,那段时间很多应用都会在集中更新自己的隐私政策文本。隐私调用权限问题已经受到了各界的关注,网信办未来如果继续做隐私政策或对隐私评估和评价,还有更进一步的空间去改进和完善。第三方监督或者评价,在技术上也是可行的。期待监管部门能够吸收我们目前在做的研究的思路和方法。
在面对网络隐私和网络欺诈行为,最关键还是用户自身保护意识的提升。在这种情况下,怎么发挥像腾讯这样大的网络平台企业在用户教育方面的功能,也是未来可以进一步去探讨的话题。
李霞
中国社会科学院文化法制研究中心秘书长
互联网背景下的个人信息的保护是需要多方共同推动的,包括企业、媒体、NGO、公众等一些私部门的重要参与。
第一,要创造互联网安全洁净的环境,需要监管部门加强和提高监管能力、监管技术和监管意识,确立各种标准,发布指南,进行违法的纠正和处罚;
第二,互联网企业要强调自律、自我规范、自我赋能,培养一种内生的动力,从企业生命线的角度来看待和保护个人信息;
第三,普通公众也需要不断端正意识、更新观念,养成一种规范的、卫生的使用网络习惯,掌握有效防范的一些技能;
最后,研究机构和研究者需要更多关注和深度参与这个领域一些前沿和重要的问题,发挥自己的作用。
王晓冰
腾讯社会研究中心总监
腾讯社会研究中心邀请专家跟我们一起来做这样一个探讨,包括推出《网络隐私及网络欺诈行为分析研究报告》,最大的原因是希望能够推动整个网络空间自我进化,形成一个更加完善的生态。但这个生态确实需要方方面面共同努力,不仅是企业,可能非常主体的一方需要作出更积极的回应和应对,展现对于用户对于个人隐私的关切。
另一方面用户自己应该给自己建立一套自保的藩篱,这是共同学习和提高的过程。希望研究中心能够促成用户自我学习、互相学习,以及社会各个层面给予用户更多的保护,从这个层面上我们做更多的工作。
XXXXXX
丨往期回顾丨