你被APP偷聽過嗎?
你是否經常發現,自己剛剛談論了一個話題,一些APP上就給你推送話題相關的廣告或者其他內容?
3月18日,有媒體報導稱,餓了麼和美團疑似出現App麥克風“偷聽”情況。隨後,美團和餓了麼均回應稱:“偷聽門”是無端猜測,該行為不存在。
但實際上,APP確實利用我們的信息獲取了不菲的利益,以美股上市公司汽車之家為例,2014年——2018年,汽車之家靠銷售線索獲得了96億元的收入。
信息被洩露,竟然是消費者自願的?
汽車之家成立於2005年,註冊資本1000萬元,2013年12月於美國紐交所上市。
3月11日,網友文先生通過21聚投訴對汽車之家進行了投訴。原因是汽車之家將自己的信息洩露給了4S店,導致文先生遭到汽車銷售人員的電話騷擾。文先生還提到,自己並未在汽車之家上進行過任何操作。
這並不是汽車之家第一次因洩露用戶信息而被投訴了,2018年8月,21聚投訴收到兩起關於汽車之家的投訴,原因均為信息被洩露,遭到來自汽車經銷商的電話騷擾。被同時投訴的,還有易車網。
然而,汽車之家將信息提供給4S店,並非投訴人所說的“私自公開”。
在汽車之家註冊並登錄,需要用戶提供手機丶郵箱。汽車之家提供的幾乎所有服務,也都需要用戶提供一些信息,包括換車丶賣車丶估值等。
每個服務頁面下方都有一行小字:“提交代表我同意《個人信息保護聲明》,並接受合作商的來電服務。”這一行小字很少會有用戶注意,而這份《個人信息保護聲明》 ,更是少有用戶點開細看。
這份被忽略的《聲明》中,明確寫著:
“這些能夠單獨或者與其他信息結合識別您的個人身份的信息,包括:姓名丶移動電話丶電子郵箱丶車牌號丶住址等,均是您自願提供。您有權拒絕,但如果您拒絕提供某些個人信息,您將可能無法使用我們提供的產品丶服務……”
“您同意,汽車之家可以通過以下方式對個人信息進行使用和分享:我們和關聯公司使用;我們向相關汽車經銷商丶廠商及集團分享並由其使用;我們及關聯公司及相關汽車經銷商丶廠商為滿足您的需求,可能通過您提供的信息與您聯繫……”
“您同意免除上述信息的接收和/或使用方在按照本法律聲明所述情況下進行信息披露和使用而導致的或可能導致的所有索賠丶責任和損失。”
總結起來就是:使用汽車之家的時候,用戶已經無償將自己的個人信息,送給了汽車之家平台以及相關聯的公司丶經銷商和廠商。並且,同意不對平台或經銷商的行為追責。
也就是說,用戶已經同意汽車之家“洩露”自己的信息,也同意4S店騷擾自己。
免費的信息,帶來高額利潤
雖然用戶提供信息是無償的,但汽車之家卻用這些信息賺取了高額利潤。
2月26日,汽車之家發布了未經審計的2018年第四季度及全年財報。財報中,收入被分為三個部分:媒體服務(Mediaservices)丶銷售線索(Leads generation services)丶線上交易及其他(Onlinemarketplace and others)。
財報中稱,2018年全年,銷售線索收入達28.71億。而2018年,汽車之家的總收入為72.33億元,銷售線索佔比近四成。
2018年財報中還提到,銷售線索收入增長的原因在於,經銷商支付給汽車之家的服務費平均增長了19.1%,且經銷商客戶群有所擴大。
什麼是銷售線索?又如何變現?
2019年1月,中國汽車報獨家專訪汽車之家副總裁吳濤。在採訪中吳濤稱,北京和上海的會員價格為一年20萬元,這類經銷商2018年平均從汽車之家可以獲取7500條線索。而4S店自己獲取線索的成本一般是一條200-300元,同樣花費20萬元4S店只能獲得1000條線索。
可見銷售線索就是用戶發佈在汽車之家平台上的賣車丶買車丶估價等信息。汽車之家收集有消費意願的用戶,再將線索提供給經銷商,向經銷商收取服務費,是銷售線索變現的主要方式。
早在2016年,汽車之家電商談曾邀請汽車經銷商探討過“銷售線索精細化管理之道”,寧波嘉德車業有限公司總經理程官相談到線索,他說:“前面是專門找線索,不管是後台,還是QQ群,或者到潛入到人家的論壇,潛入到人家的群裡,都是一個渠道,只要把這個口子做大。第二個是專門做回訪,做篩選,最後一個是邀約到店成交。”
也就是2016年,汽車之家將收入結構進行調整,營收分為三類:媒體丶線索丶線上銷售。 2016年財報按新標準對2014年丶2015年營收進行重新劃分。
根據重新劃分的結果,2014年至2018年銷售線索的收入分別為8.4億丶14.04億丶19.16億丶26.16億丶28.71億,五年的銷售線索收入加起來,高達96.47億元。
事實上,汽車之家收取的經銷商服務費還在不斷上漲。 2019年1月,因為汽車之家2019年會員費上漲20%,曾引發經銷商的大規模抗議,被中升丶龐大丶運通等多家汽車經銷商集團聯合抵制。
APP正在偷窺我們的生活
如今,大家越來越重視自己的隱私洩露問題,但我們的隱私卻變得越來越脆弱。
3月9日,深藍君曾在微博上向網友們提出一個問題:是否發現有些APP會監聽你的聊天。很多網友們在留言中列出了疑似被監聽的例子。
3月18日,有媒體報導,通過模擬使用場景,對安卓手機丶iPhone和iPad上的餓了麼和美團外賣進行多輪測試後發現,談話提及某種食物後,出現相關推薦的概率高達60%-70%。此外,也有用戶反映,在剛談到想吃什麼後,打開外賣App就可見到對相關店舖的推薦,疑似出現App麥克風“偷聽”情況。
美團方面回應稱,有關“根據麥克風收錄的語音關鍵詞為點外賣的用戶做推薦”的行為並不存在,美團外賣只會在獲得用戶語音使用授權,且用戶主動發起美團外賣App內的語音輸入行為時,才會使用麥克風。此外,美團外賣僅會在用戶表達了明確需求信息丶進行主動查詢後,才會進行相關推薦輸出。
餓了麼方面則表示,所謂“監聽用戶日常對話並做信息分析”,是一種無端猜測,餓了麼既沒有做類似的產品設置,也不具備相關技術條件,餓了麼嚴格保護用戶隱私,任何必要的信息採集都會在取得用戶事先同意的前提下進行,在合法合規的範圍內使用。
其實早在2018年1月,今日頭條曾陷入“麥克風竊聽醜聞”。
對此,今日頭條回應稱,“用戶使用今日頭條進行視頻錄製時,需用到手機麥克風。除非用戶明確點擊授權,否則無論哪種手機機型,今日頭條都無法獲得麥克風權限,無法收到用戶任何語音信號……從技術角度看,目前聲音信息技術的處理,也遠達不到通過麥克風獲取個人隱私的水平。”
儘管運營商都否認了監聽用戶對話,但APP調用相機丶錄音丶剪貼板等權限,確實是APP獲取用戶信息的渠道,也確實存在風險。
艾媒諮詢發布的《2018中國手機APP隱私權限測評報告》指出,超六成APP調用錄音功能引擔憂。
2018年中國各類APP開啟WLAN丶使用相機丶錄音丶開啟藍牙調用權限佔比分別為90.8%,73.8%,66.3%丶27.5%。艾媒諮詢分析師認為,該類功能權限調用大多涉及應用啟動運行需求,但在權限開放的情況下,仍有被不法分子利用空間,從而導致用戶信息洩露等惡意事件發生。
此外,2018年中國各類APP調用讀取聯繫人權限情況普遍。移動視頻丶網購丶社交等六類APP調用讀取聯繫人權限佔比超過50%,成為用戶隱私侵犯重災區。同樣被濫用並威脅用戶隱私的權限調用,還有閱讀短信和定位功能。
除了圖片丶語音和位置,文字也未能倖免。
KEEN公司GeekPwn實驗室宋宇昊曾對《IT時報》表示,蘋果手機的系統設計允許任何App訪問剪貼板,如果用戶將一些數據放到剪貼板,再去打開其他App,那麼其他App自然而然就會讀取剪貼板的內容。比較典型的應用是,如果在微信裡要訪問淘寶中的某個商品,複製一個淘口令,再打開淘寶的時候會自動導向某個商品。
更有甚者,APP在讀取信息之前,並不會告知用戶,而是偷偷讀取。
據江蘇衛視報導,3月5日,東南大學副教授宋宇波通過測試發現:一款App明明讀取41項信息,卻告知用戶只讀取6項;部分軟件超範圍收集信息,時鐘軟件竟讀取通訊信息;一些軟件即使退出,仍會在後台發送數據。
被共享的個人信息
如同汽車之家可以將用戶信息提供給4S店一樣,某個獨立的APP也未必需要通過監聽的方式來獲取用戶的即時信息,因為我們的信息不僅會被APP獲取,還會被第三方數據公司匯集丶整合。
日前,浙江每日互動網絡科技股份有限公司(以下簡稱:“每日互動”)招股說明書公佈。
每日互動成立於2010年,主要業務包括:提供開發者服務丶精準營銷服務和各垂直領域的大數據服務。簡單來說,就是根據APP的用戶數據,描繪用戶畫像,進行消息推送。新浪丶百度丶今日頭條丶滴滴丶唯品會等知名互聯網企業都是每日互動的客戶,安卓和IOS系統均可覆蓋。
作為一家第三方數據分析公司,每日互動掌握了大量的“用戶授權數據”。
招股書顯示,基於公司產品“個推SDK(Software DevelopmentKit,即軟件開發工具包)”運營所積累的用戶授權數據,公司構建了自己的“個推大數據平台”,形成了“冷數據”丶“溫數據”和“熱數據”的獨特數據分類。
包含的信息如下:
“冷數據”:用戶性別丶興趣丶常駐地丶職業丶收入丶年齡段等。 “溫數據”:近期活躍應用丶近期去過的地方等。 “熱數據”:當前地點丶當前打開的應用等。
而這些數據的獲取全部都是合法的,招股書中提到,APP開發者通過《用戶協議》丶《隱私政策》等協議(統稱“《用戶協議》”)約定獲得用戶授權。
“用戶協議”,也就是類似於汽車之家《個人信息保護聲明》一類的協議,這些被忽略的協議,讓我們信息被利用甚至被共享。
數據公司為你描繪的畫像丶貼上的標籤,並以此為依據進行消息推送。也就是說,“用戶畫像”可以被多個APP利用。也導致我們在A應用搜索的熱詞,B應用也能看到;授權一個應用瀏覽我們的通訊錄丶短信,就等於授權其他多個應用瀏覽我們的通訊錄丶短信。
每日互動的招股說明書還指出,公司服務了數以萬計的APP,公司運用合併鏈路技術,將使用“個推SDK”的APP之間的長連接鏈路進行合併,只要其中任何一個應用活躍,就可完成消息的下發推送,實現了跨APP的鏈路共享。
為了保證信息的精準丶實現合併鏈接,個推SDK還會獲取手機MAC地址和應用列表。
3·15晚會上曝光的探針盒子,正是通過獲得手機的MAC地址,匹配出手機號,用戶性別年齡丶微博感興趣話題,手機50天搜索關鍵詞等。可見,手機MAC地址,是獲取更多信息的鑰匙。
每日互動招股書顯示,通過“個推SDK”採集的用戶數據包括:
① IMEI/IDFA/MAC 丶機型等設備信息
② 應用列表(APP List)
③ 網絡信息,包括WiFi丶基站等網絡信息連接狀態。
而信息被匯聚在一個統一的平台,本身也增加了信息洩露的風險。 2019年1月,360安全發布了《2018政企機構數據洩露形勢分析報告》(以下簡稱《分析報告》)指出,2018年,平均每個漏洞可導致3089.2萬條個人數據洩露。如果平台系統出現漏洞或者“內鬼”,將導致大量信息洩露。
每日互動招股書中也提到了相關風險,對公司盈利能力產生重大不利影響的因素就包括,不當使用互聯網用戶信息的風險丶數據資源安全風險。
還有誰對我們的隱私虎視眈眈
我們的信息不僅成為各類手機應用索取的資源,還成為了暗網上的交易商品。
360安全《分析報告》指出,網絡攻擊丶內鬼竊取丶內部人員操作失誤,已經成為當前政企機構數據洩露的三大主要原因:
從2018年政企機構重大數據洩露事件洩露數據的原因來看,約一半的事件是由於外部攻擊導致的;16%的事件是由於內部人員違規操作,主動洩露的數據;10.2%的事件是由於合作夥伴洩露。
《分析報告》顯示,2018年1月到10月,共有86.5億條數據洩露。 2018年,全球政企機構重大數據洩漏事件中,13.1%為生活服務行業,12.1%為IT信息技術,11.7%為互聯網行業。
而實名信息(主要是指姓名丶電話丶身份證丶銀行卡丶家庭住址等),是政企機構洩露最多的信息類型,也是暗網上信息販賣最多的類型。
實名信息在暗網上被販賣後,一般用於:
① 營銷
保健品丶保險丶理財丶房地產中介等行業是數據的主要購買者。在眾多公民個人信息中,老人和學生的信息相對來說更受歡迎。老人的信息經常會被相關公司用來推銷保健品,而學生的信息則被一些教育機構用來招生宣傳。
② 詐騙
中國銀聯也曾利用大數據分析向社會發布安全提醒,電信詐騙案丶盜竊銀行卡丶非法套現丶冒用他人銀行卡丶網絡消費詐騙等,其中超過90%是由於個人數據洩露引致,已成為犯罪主要源頭。
③ 再度販賣獲利
信息倒賣者以低價購買公民個人信息丶隨後以高價賣出。在齊齊哈爾農墾區人民法院2017年的一起判決中,被告人崔文虎便是一名從上線低價購買公民個人信息丶隨後以高價賣出的倒賣信息者。從2015 年5月開始,崔文虎在一年半的時間裡先後倒賣6 次公民個人信息,累計獲利近10000 元。
對於個人信息洩露的問題,東南大學法學院副教授單平基表示,法律需要為軟件讀取個人信息的行為設置邊界。
單教授還表示,保護個人信息最根本的辦法,在立法層面,目前個人信息保護法已經列入立法規劃,正在製訂中的民法典,對於個人信息保護也有更明確的規定,隨著立法的不斷完善,網絡個人信息的保護有望得到進一步的加強。