近年来,随着手机的智能化和通信技术的快速发展,我们正逐步迈向以智能手机为标志的移动互联网时代,从社交娱乐到移动支付,手机已经渗透到我们生活和工作中的方方面面。然而,在享受移动互联网时代带来的各种便利的同时,不得不面对随之而来的个人信息安全问题,2018年9月,中国消费者协会发布了《App个人信息泄露情况调查报告》,85.2%的受访者遭遇过信息泄露情况,当用户个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件。可见,手机App个人信息安全问题不容小觑。
2019年3月15日,央视“3·15”晚会揭露了一款名为“社保掌上通”的热门个人社保查询App泄露用户个人信息的问题。主持人在现场演示查询信息时,网络安全专家通过抓取分析数据包发现,用户的信息已被发送至一家大数据公司的服务器。在此过程中,用户会被默认同意一份授权协议,包括不可撤销地授权使用用户社保账户密码、采集用户个人信息等诸多条款。
随着互联网业务向移动终端大面积转移,加上移动终端用户黏性大、实时在线率高等特点,各类安全威胁也纷纷向移动终端转移,上述“社保掌上通”App泄露用户信息的情况也只是当下手机App信息安全领域的冰山一角。
手机App泄露个人信息的途径
(一)越界获取隐私权限
根据《公共及商用服务信息系统个人信息保护指南》,手机App在使用个人信息时需要对个人信息主体尽到告知、说明和警示的义务,以及如实向个人信息主体告知个人信息的收集和使用范围、个人信息的保护措施等。处理个人信息时要遵循“最小够用”原则,要征得个人信息主体同意等原则。然而,据有关研究机构发布的《App个人隐私研究报告》,超功能范围申请、收集、上传用户信息仍是目前手机App普遍存在的现象。
(1)手机联系人权限。数据显示,2018年中国各类手机App调用读取联系人权限已成隐私侵犯重灾区,社交、视频、网购等六类App读取联系人权限占比超过50%,最高的达到86.7%。究其原因,与手机App厂商推动平台社交路径传播、打造熟人社区的营销策略息息相关。
(2)读取短信权限。App读取短信权限常用于自动提取用户短信验证码,有助于用户提高App短信验证操作的效率。但在针对用户其余个人短信的读取上,App的读取权限并未受到有效监督或限制,部分不法App或可通过该权限调用,实现对用户短信信息的窃取。数据显示,移动资讯阅读、社交、理财、旅游四类App调用权限占比不低于30.0%,严重威胁用户隐私信息安全。
(3)获取定位信息。根据手机App功能,地图类、旅游类、网购类、社交类App具备定位功能,获取用户位置信息有利于提供更准确的服务,属于合理诉求。但是调查显示,部分移动视频、音频、资讯阅读、工具类手机App仍存在调取、滥用定位信息情况。
(二)植入木马病毒
智能手机主要操作系统包括Android和iOS。iOS系统相对安全,Android系统则更为开放,除官方应用商城外,部分App开发商会通过弹窗、广告等形式,为用户推送含有木马病毒的App下载链接,用户点击下载并安装后,木马病毒就会自动扫描手机中通信、短信、账号密码等个人隐私信息,并将相关数据回传服务器[4],造成用户信息泄露。2019年3月,360公司发布的《2018年中国手机安全状况报告》显示,2018年全年共截获移动端新增恶意程序样本434.2万个,平均每天新增1.2万个,其中隐私窃取类占比33.7%,严重威胁用户个人信息安全。
(三)售卖用户隐私
除上述两个手机App信息泄露途径之外,还有App厂商相互分享、买卖用户数据等途径,很多用户都有这样的体验,刚刚在某App中浏览某类商品,很快就会在其他平台中收到同类商品的推广信息。事实上,售卖用户隐私信息已形成灰色产业链,《App个人信息泄露情况调查报告》结果显示,经营者或不法分子故意泄露、出售或者非法向他人提供个人信息的比例达到调查样本的60.6%,各App厂商掌握的网页浏览记录、阅读痕迹、支付记录等碎片信息通过大数据分析整合,在精准地寻找用户、提供服务的同时,也为不法分子实施违法行为提供了便利。