圖片來源於網絡
DCCI互聯網數據研究中心聯合騰訊社會研究中心針對Android端和iOS端的手機APP進行的隱私安全評測發現,2018年上半年,Android端獲取隱私權限的手機APP達到99.9%,未獲取隱私權限的手機APP僅佔0.1%。
調查還發現,iOS端獲取手機隱私權限的APP比例呈上升趨勢,2018年上半年iOS端獲取手機隱私權限的APP比例已達到93.8%。
數據來源:DCCI2018年上半年手機APP隱私權限評測
近日,網上流傳“第三代身份証增加新功能”的消息,其中新增定位功能的傳言引發熱議,很多網友覺得“定位功能”嚴重侵犯個人隱私,之后官方辟謠:第三代身份証不存在定位功能,網傳消息不實。
第三代身份証新增定位功能純屬子虛烏有,但定位軟件侵犯個人隱私要負法律責任卻已有真實案例。江蘇南京警方破獲一起通過技術定位,侵犯公民個人信息案,這起案件在全國也屬首例。目前,犯罪嫌疑人已被公訴。
去年1月,陳某在飯店吃飯時被討債人圍堵,隨后陳某報案,警方調查發現,討債人是通過一款即時定位軟件找到的陳某。
這種軟件如何實現定位追蹤?公民在使用聊天軟件時該怎樣保護自己的隱私?使用定位軟件追債是否觸犯法律?
使用手機被無端定位防不勝防
2018年1月20日,南京市公安局鼓樓分局接到一起報警,一名男子稱,討債人員利用手機定位軟件,實時定位到了他聊天賬號的位置,結果對方找上門,使他人身安全受到威脅。報警人陳某表示願意還錢,但他想搞清楚,討債人是怎麼找到他的。
警方介入后,討債人員承認,確實是通過手機軟件定位到對方位置的。
原來,陳某平時愛用一款手機聊天軟件,他們就從網上買了一款定位軟件,很快找出他的具體位置。民警發現,這款叫“APP神探”的定位軟件能對多款主流聊天工具進行實時定位。
經過偵查,“APP神探”開發銷售者吳某被警方抓獲。據他交代,自己開發的“APP神探”一般賣給調查公司或者專業的討債公司。
根據警方介紹,這款“APP神探”使用方法很簡單,隻需把聊天軟件賬號輸進去,點查詢,就可以查詢靜態位置或動態軌跡。
“這款聊天軟件有好友互相定位的功能,好友知道你的大概位置,本身不是很精准,但如果他有幾個好友,通過三角定位計算的原理,就可以把這個位置計算得更准確。”東南大學計算機學院副教授凌振告訴記者。
如果查詢者不是對方好友也能進行定位查找嗎?凌振的回答是肯定的。
“很多軟件提供查找周邊的人的功能,我們可以設計一個程序向服務器發起找人的請求,並框定一個大概的位置,比如南京市新街口,服務器就會列出新街口周圍的人,反復查詢幾次后如果找不到想要的人,那就換一個位置繼續查詢,甚至可以把南京所有的GPS點都逐個找一遍。”凌振說,這是最簡單最暴力的方法,也是合法的搜索,因為服務器提供了這樣的功能。
那麼,這款APP定位精度有多高?警方多次實驗表明,精確位置隻相差20—50米。
有空可鑽折射網絡安全漏洞
警方審訊得知,吳某計算機專業畢業后做起了技術員。他喜歡黑客技術,一個偶然機會看到網上有人賣手機聊天工具定位軟件,但使用功能很一般,就想自己開發定位精度更高的軟件。沒多久,他破解了一款手機聊天程序的位置信息防護系統,開發出“APP神探”,通過QQ群、微信群、聊天室等網上渠道銷售。
目前,各種手機APP在使用時,都要獲取個人通訊、位置等信息的授權。這些個人信息是否得到各個平台安全保護,很多人心中是存有疑問的。
記者在網上簡單搜索,就找到多家號稱提供手機定位功能的廠商。有廠商聲稱隻要提供手機、微信或QQ號就可以定位,單次定位幾百元,交一部分定金,位置出來后付清尾款。
相關專家表示,類似定位軟件使用的技術原理可以用在很多APP應用軟件上,風險極大。
凌振認為:“如果聊天軟件提供的增值服務中,有查找陌生人的功能,並且沒有對GPS位置進行噪聲干擾,或是對大量的重復查詢進行限制、驗証,那就是服務器的漏洞。”
據記者了解,之前國內另一款著名的即時通訊軟件也存在這樣的問題,經過升級已經堵上了這個漏洞。但是,在黑客界還有一些模擬虛假GPS位置信息的手段,比如用一種可發射GPS、藍牙WiFi等信號的設備,配置一個程序,就可以發射出虛擬的位置信息,從而欺騙軟件服務器,達到一些不可告人的目的。
“這個人應該有一些功底,再加上網上的黑客教程很多,潛心鑽研一下,開發這款‘APP神探’的確不是什麼難事。”凌振說。
專家介紹,黑客攻擊主要是研究軟件或服務器的結構原理,反向分析查找漏洞,通過漏洞盜取所需信息,或者“合法”地發送請求,獲取海量數據進行計算分析。
根據騰訊安全發布的《2018年度互聯網安全報告》顯示,2018年曝光了大量利用家庭和工作場所中成千上萬的存在安全漏洞的物聯網設備,生成流量而發起的大型DDoS攻擊,這種情況在今后或將繼續。
缺乏保護的網民或網上裸奔
過去,公民的個人隱私掌握在個人手裡﹔現在,當我們享受互聯網的便利時,也將隱私作為交換上傳給機房的服務器。如果不加以保護,那麼所有人都將在網上裸奔。
專家認為,軟件的一些權限需要用戶自己去判斷,提高安全意識、隱私保護意識。此外,相關企業、行業組織和國家機關,應加強對網絡安全標准的制定、企業違規行為的處罰。
“比如這個案件,你一直關著GPS,他怎麼也查不到你。”凌振說,在一些看不到的地方,更需要用戶加以注意。不論是手機APP還是其他的智能設備,安全漏洞不可能百分之百杜絕,總會存在被攻擊的可能性。
專業從事網絡安全攻防研究的凌振發現,許多智能設備或多或少都有安全問題存在,“我們會定期對市面上在售的智能設備進行攻防演練,前不久我們分析了一款智能插座,幾個月就破解了,就是這麼簡單。”
技術是一把雙刃劍,就看是誰在用它。此案中,吳某是計算機專業畢業,但是所學知識沒有用在正道上,這也讓凌振等教師感到無奈。他認為,高校必須加強科研倫理教育,告訴學生哪些事情可以做,哪些事情不可以做,“雖然你掌握了這個技能,並不代表你可以用它為所欲為。”
“目前的數據搜集技術已經非常高效,但是缺少有效的控制和評價手段,這就像一個小孩拿著自動步槍玩耍,誰也不知道危險會在何時以什麼樣的方式發生。”東南大學倫理學副教授程國斌說。
而對於技術使用者的倫理和法規要求,現階段仍是支離破碎和虛弱無力。例如,去年支付寶收到罰單,因其存在個人金融信息收集不符合最少、必需原則,以及存在對個人金融信息使用不當的行為。但是,其付出的代價隻有區區5萬元。難怪有網友稱,“這處罰也就是罰酒一杯”。
法律人士指出,除非是依照法定的需要進行調取,或者說經過當事者本人的同意,除此以外,任何人、組織獲取公民的定位信息,都是一種違法行為,達到了一定的數量之后,就可能涉嫌構成違法犯罪。APP的運營商、生產商,如果研制出這樣的定位軟件,軟件本身存在技術上的漏洞和安全隱患,使用者定位信息能輕易被黑客破解、盜取,那麼,由此給消費者造成的相關損失,APP的生產者和運營商要承擔相關的法律責任。
