央視、工信部一起曝光！這些App成為超級毒瘤

• 2020 年 7 月 12 日
• 資訊
• App, 央視, 工信部

你是否遇見過「不授權不讓用」的App 許可權？

你是否懷疑過個人的線下對話遭到竊聽？

你是否察覺過自己的個人資訊遭到泄露？

這些現象，都屬於App的越界行為，且這些違規行為，正隨著網路的發展不斷衍生。

2020年剛過半程，工信部就已公布了兩批「關於侵害用戶權益行為的App」名單。此外，央視財經也對此亂象進行了報道。

不難看出，違規越界的App，正成為資訊化毒瘤。

越界App層出不窮

7月12日，央視財經曝光了一些越界App獲取個人資訊的現象。報道指出，部分用戶在線下閑聊時出現的詞語，之後會出現在手機應用的推送中，由此懷疑手機App存在竊聽的行徑。

另外，報道還指出了一些不合理的資訊授權行為、以及利用手機驗證碼方式獲取個人資訊等問題。

在央視曝光之後，網友們紛紛表示同感——「早就有這種感受了」、「有隱私太難了「、」這個問題是很嚴重了「、「遇到這種情況不是一次兩次了，沒有秘密的世界」······· 

事實上，在央視財經曝光之前，工信部就曾公布過「侵害用戶權益行為的App名單「。

2020年第一批存在問題的應用軟體名單

其中，在5月15日，工信部就公布了2020年第一批存在問題的應用軟體名單，包括噹噹、租租車、WiFi管家等App。 

2020年第二批侵害用戶權益行為的App名單

過了不到兩個月，7月3日，工信部就公布了2020年第二批侵害用戶權益行為的App名單，主要包括智慧樹、納米盒、悟飯遊戲廳等15款App。 

從工信部公布的App名單中可以看出，其涉及的問題主要包括以下幾個方面：

私自收取個人資訊；

超範圍收取個人資訊；

私自共享給第三方；

不給許可權不讓用；

頻繁申請許可權；

過度索取許可權；

強制用戶使用定向推送功能；

帳號註銷難。

那麼，這些問題是如何在手機中發生？並且在各部門的關注之下，為什麼這些App問題仍屢禁不止？

亂象叢生的背後成因 

根據浙江大學的最新研究成果，手機App可以利用手機內置的加速度感測器，採集手機揚聲器所發出的聲音振動頻率，在用戶不知情的情況下繞開隱私協議，合法地獲取語音資訊。 

圖片截自經濟資訊聯播

另外，App專項治理工作組專家何延哲通過具體試驗指出，儘管沒有開啟應用介面，但違規的手機App仍會在後台傳輸數據。

從被傳輸的數據包中卡已看出，App會率先獲取手機的IMEI號（移動設備標識號，相當於「手機身份證」）。專家指出，移動設備標識號一旦被竊取，就為個性化推送奠定了基礎。

不僅如此，部分App不僅自己使用違規獲取的資訊，還會將這些資訊傳輸給第三方。而包含第三方工具包的App行為會更加隱蔽，從而加大了監管的困難性。

沒有買賣，就沒有傷害。

個人資訊之所以頻繁遭到竊取，除了App個性化推送的需要，還離不開一條灰色產業鏈。 

據此前報道曝光，個人資訊買賣已形成一條規模大、鏈條長、利益大的產業鏈，即非法獲取個人資訊—資訊再加工—資訊販賣，這一產業鏈結構完整，各種資訊明碼標價。

那麼，除了App內的竊取，還存在哪些非法竊取用戶數據的行徑呢？

據《新京報》此前報道，利用網路爬蟲等方式也是資訊竊取的主要行徑之一。部分機構通過淘寶、京東等電商平台商家爬取用戶數據，或是通過網頁等方式獲取用戶手機號等個人資訊，再通過數據販賣和流量牽引牟利。 

再者，能夠接觸到個人數據資訊的工作人員也是泄漏數據的「主力軍」，利用職務的便利，高價出售客戶隱私資訊。

個人資訊頻頻受到侵犯，數據泄漏亂象，亟需規範。

個人資訊泄漏，該如何防範？ 

首先，從用戶層面來看，要提高個人資訊保護意識。

在開啟相關許可權時，要謹慎勾選涉及個人資訊的選項，包括手機通訊錄、地理位置等。另外，涉及麥克風、攝影機等功能，在非必要情況下也勿輕易授權。

在使用App的過程中，用戶還需多留意是否存在資訊泄漏、後台自啟動等問題。若發現相關違規現象，應即時採取措施，加強許可權，並向有關部分反映。

在手機廠商層面，浙江大學網路空間安全學院院長任奎曾在採訪中給出了建議，任奎表示：

建議各大手機廠商提高加速度感測器的許可權級別，盡量避免各類應用在非必要的情況下採集加速計數據。

與此同時，各大廠商還應對加速計的取樣頻率進行限制，或通過系統內置濾波器提前過濾掉加速度感測器訊號中包含最多語音資訊的高頻部分。

另外，為了避免將來出現類似的漏洞，各大廠商重新評估各個感測器的安全性和敏感性，修改Android作業系統對手機App調用各種感測器數據的使用許可權，杜絕未來的側信道攻擊路徑。

在法律法規層面上，目前中國已發布了《網路安全法》《電信條例》《電信和互聯網用戶個人資訊保護規定》等法律法規，在多個方面有進行具體規範。

但隨著個人資訊收到侵犯的方式逐漸多樣化，法律法規也仍待進一步完善。例如，對於不授權不可用的問題，互聯網行業專家包冉對「央視財經」表示：

不授權就不讓用，這樣肯定是不合理的。但是，是不是合法現在在界定上還處於模糊地帶，因為我們相關的法律法規，沒有對此進行特別精準的描述和界定。

資訊化時代帶來的應是便利性、智慧性，私人數據不應成為資訊化時代的商品。並且，個人資訊的保護不僅是單人作戰，而是整個行業的事情，需要多方力量的參與。

另外，對於那些處於灰色產業鏈中的人，當你在竊取、販賣他人數據時，殊不知你的數據也同樣被竊取、被販賣，在這場數據交易遊戲中，一旦開始，就沒人例外。

為了不讓個人資訊「裸奔」，最好的方式便是，按下這場非法交易遊戲的終止鍵。