西安潮生活社

訂閱

發行量:6 

你的隱私,是怎麼被手機扒光的

前幾天 iOS 14 更新,MIUI 12 正式上線,都針對用戶隱私做了更多優化。更新 iOS 14 之後,總有白色小框提示你,當前應用正在讀取你的剪切板。

2020-07-09 08:52 / 0人閱讀過此篇文章  

生活中總有無數個巧合,讓你覺得自己在被手機監視。

你的工作,收入,住址……這些隱私的泄露,不僅決定你看到的廣告,還決定了你購物時網站顯示的價格,甚至會被打包售出賺錢。

前幾天 iOS 14 更新,MIUI 12 正式上線,都針對用戶隱私做了更多優化。

停,先別著急對線,無所謂安卓蘋果,這詞和誰更好沒關係。我們會從四個方面,談談「你給手機的授權,是怎樣泄露你的隱私」

一、剪切板怎樣泄露你的隱私

更新 iOS 14 之後,總有白色小框提示你,當前應用正在讀取你的剪切板。我們做了個測試,在30多主流 App 里,只有5個 app 不會獲取你的剪貼板。

為什麼是剪切板?

因為它最重要,也是最容易下手。

回憶一下,你幾乎沒有複製過無用信息:冗長的用戶名和密碼,即將到訪的地址,朋友給你分享的站,沒聽說過卻感興趣的名詞……

並且系統並不會限制軟體讀取剪切板,開發者只需要寫幾行代碼,就能看到你剛剛複製的內容。

應用獲得了剪切板的內容後,能拿來做什麼?

第一,獲取你複製的隱私

文字占用空間很小,這意味著信息上傳至雲端所消耗的資源極少,軟體分析也更簡單,關鍵詞過濾後就能輕鬆獲取你的個人信息。

我用兩天時間,統計了自己所有複製過的內容。從內容上來看,這些軟體極有可能在你毫不知情的情況下,掌握了你無數條重要隱私。

移動設備可以互通的用戶則更危險,如 iOS端 啟用了通用剪貼板,這些應用程式也可以訪問在 電腦(Mac) 上複製的內容。

第二,劫持剪切板,寫入信息

有些流氓應用,會強行在剪切板中寫入吱口令/淘口令可以牟利的內容,打開相關應用就會彈出。(有過這種經歷的用戶呢,麻煩反省下自己看過什麼網站。)

不只是文字,用戶還可以複製相機里的照片,我們很可能在不知情的情況下,向軟體公開了自己精確的位置。

這也就是今天第二個問題:

相冊為什麼會泄露你的隱私?

通過相機,主要會泄露用戶所在的位置。

我們都知道,未經處理的照片中儲存了GPS信息。

一但允許應用訪問照相機,即使沒有開啟位置權限,惡意程序只需要篩選出哪張由你的手機拍攝,就能知道你的地理位置。

下一段篇幅會有點長,但只講一件事。

這些應用為什麼非要知道你的身份?

是為了永遠的記住你,在任何情況下都能知道,你在使用這部手機。通過追蹤你的行為,讓用戶畫像更精準。

你的隱私,是怎麼從WiFi里泄露的?

通過WiFi,應用程式能讀取到很多你的隱私。

第一,可以獲取設備的硬體信息。

有些應用可以通過 WiFi 獲得 Mac 地址,也可以追溯到製造商,它就相當於一個身份證,每個人證件號都不同,並且包含你來自哪裡,家庭地址等信息。

作為每個設備唯一的標識,可以通過跟蹤Mac地址,來收集企業或個人的活動和偏好。

第二,通過本地網絡,可以獲取連接該 WiFi 的其他智能設備的型號。

我們每個人的家裡,或多或少都有幾件智能家居,這些設備都會接入家庭WiFi。

當 APP 擁有本地網絡權限後,應用就能夠讀取連接了這個 WiFi 的所有設備。

表面上問題不大,畢竟誰還不投個屏啊。但細思極恐的是,這也能成為追蹤你設備的方式。

很多智能設備,是以你自己的名字命名的 ,非常容易泄露的個人信息。

不僅如此,因為每個人家庭里的智能設備組合幾乎不會有重複。應用可以根據設備信息,追蹤你的手機。

比如你家裡有電視、電燈、電飯煲和音響,下次只要識別到這些設備,應用即使不知道設備的 Mac 地址/IMEI,仍然可以識別出是你在使用這台手機。

識別到你的其他設備後,還能向它們推送廣告。如果不加以限制,應用程式還可能會操控你的智能設備,比如在你不知情的情況下,打開智能音響/冰箱/洗衣機、配置路由器。

你的隱私,是怎麼從應用/網站(跨應用追蹤)泄露的?

第一,通過廣告跟蹤記錄用戶在網頁上的活動

為了出售廣告,很多網站都會內置廣告跟蹤器,它第一次追蹤到你的手機時,會為它分配一個獨特的ID,可以跟蹤並驗證你的身份,從而記錄你所有的活動。

很多網站都使用同一個追蹤器,(比如 Google Ads),能夠跨網站收集你的隱私。比如瀏覽記錄/位置,通過ID識別你的設備,無需追蹤IP,也能得知你的活動範圍。

比起反追蹤技術已經很成熟的網頁,剛興起的移動端更容易被追蹤。

第二,通過第三方應用統計平台

APP會如何跟蹤你?和網站很相似,給每個用戶一個唯一的設備標識符(安卓平台的OAID/ iOS的IDFA),再記錄下你之後的操作。

在蘋果禁用UDID之後,部分應用為了繞過系統限制。會通過鑰匙串來識別用戶身份。也就是除了帳戶和密碼,該應用還會在鑰匙串中輸入一串特殊代碼,讀取到這串代碼時就能了解用戶是誰。

而廣告跟蹤,通常是應用借用第三方程序,比如通過友盟統計監測 APP 的渠道曝光、點擊、激活及後續的留存。

友盟統計官網

開發者使用第三方提供的軟體包後,即可追蹤手機用戶的瀏覽/購買行為。

但第三方平台具體會收集哪種信息,開發者本身也不知情,第三方很可能會收集一切數據可以得到的數據。

包括但不僅限於——郵箱地址、電話號、IP位址和用戶的位置,還可能利用「後台應用刷新」功能,在未開啟的情況下向雲端傳輸數據。

之前列舉了很多可能性,但不代表現實生活中真的有APP會這樣做,很多驚悚的情況大多都是巧合。

第一,可能是通訊錄暴露了你的交友圈,他們也在搜索這些內容,系統認為你也感興趣,所以推送給了你。

第二,國內很多APP會聯手打造大數據平台,比如「京易計劃」,京東可以通過與網易的合作,在網易新聞的場景內實現更精準的廣告投放。

第三,開發者還要考慮性價比,以及法律是否允許。

有些手段太複雜了,就像明明能毒死你,卻非要拿把40米大刀來殺人。比如把所有相片上傳到雲端分析,工作量太大風險太高,一般的開發者不會選擇這樣做。並且多數軟體在註冊時就要求後台實名,也就是說手機號碼。

如果你想了解在自己在賽博世界裡的形象,Google 就為用戶提供了畫像。

我們可以合理的質疑,但不要有「被迫害妄想症」。有時候APP請求這些權限,也會給用戶帶來更便捷的功能。新聞的個性化推薦,複製口令,圖片打開連結……從互動設計的角度考慮,完全禁止這些工呢過,操作步驟會變得複雜,對用戶也更加不友好。

但這不代表廠商沒有責任,他們也該增強對開發者的約束。iOS 14 和 MIUI 12 更新的這些功能,也能讓用戶更好的保護隱私。

上面說了這麼多,看上去保護隱私是挺絕望一個事兒,但是視頻結尾,我還是想跟你談談為什麼保護隱私這麼重要。

很多人都看過三體,裡面有個黑暗森林理論編得不錯。對於三體人來說,人類最有力的武器就是謊言,那與之相對應的,人類最寶貴的資源就是隱私。而隱私需求,其實是人類刻在基因中的。這事兒從我們非洲的祖先從樹上爬下來,回家路上不能讓野獸發現自己擱哪兒住就已經開始了。

失去隱私,就意味著你要和你攻擊力完全不對等的攻擊者面對面,接受降維打擊。這個降維打擊,就是你在攻擊者眼裡,根本不是一個真實的人,你只是一行存著你個人特徵的數據。

所以像蘋果的 iOS 14,還有小米的 MIUI 12 這種,格外在意設備權限隱私的系統,通過系統層面的更新,儘可能嚴格規範開發者行為,而不是讓開發者舉著你根本不會看的用戶許可,冠冕堂皇拿走你的隱私。

如對本稿件有異議或投訴,請聯繫[email protected]





文章標籤: