文章来自于果核剥壳公众号首发:https://mp.weixin.qq.com/s/F4A7Z98AvSf45HAZ4DKgHw
在使用手机的时候,大家也许会有一个疑惑,手机APP会不会在使用的时候偷偷监控自己的个人信息?多数人感受最深的可能是自己在网上讨论和关注过的事情,立马会在广告推荐位出现,然后就以此来推断有软件在收集自己的隐私和信息。
网上也有UP分析了,这些操作其实是在合法合规的前提下也是能做到的。只不过刚与朋友讨论完固态硬盘,各个APP里的广告就变成推荐硬盘的类似场景,确实有点膈应。
在这样的场景下,只是文字聊天的话其实是不太会被推送的,如果你从电商平台进行了搜索或分享操作,那么推给你的概率就很高了。
在前两天,网信佛山发布了一份《在线影音类》的手机软件调查报告,检测了19家应用商店下载量超过1亿的8款观影APP,像是腾讯家的腾讯视频、字节的西瓜视频、百度的好看视频,以及经常露脸的哔哩哔哩等软件都在测试范围里。
他们测试的内容,简单来说就是在APP里进行四项操作:启动、搜索、播放、发弹幕评论。然后统计APP进行了哪些权限调用,个人信息和网络流量使用情况。
在系统权限调用环节,完整的测试结果如下:
其中位置权限、设备信息权限,以及剪贴板权限这三个几乎是必备的了(测试里只有搜狐视频启动没要剪贴板权限)。现在的软件大多需要显示归属地IP,所以位置可以正大光明地获取,设备信息和剪贴板这两个也是必备的权限,用来提供正常软件服务和粘贴内容的识别。
搜索的时候,有的APP也会调用位置和剪贴板相关的权限,这个也能理解,或许有附近的内容相关的功能,因为位置不同而对内容进行优化啥的。
系统权限调用的内容没那么有趣,因为光是从调用次数也看不出什么,唯一比较有用的信息是,PP视频是这8个软件调用权限最频繁的,开启一下就调用16次。
第二阶段的测试内容,是这次测试最有看点的,它展示了APP到底上传了什么内容到服务器,虽然不能得到软件的全部行为,但是也可以反映出一些问题。
像是在启动阶段,许多软件会获取你的经纬度、连接的WIFI MAC地址、还有...附近的WIFI地址,这个就很妙了,就算你换了设备和网络,只要你附近其他人的WIFI是一样的,理论上还是能匹配到弱区域关联。
还有基站信息以及手机上安装列表等等。这有一个比较冷的经验,在以前的安卓版本上,如果手机软件大于1000多个,有些设计得不好的软件在尝试读取软件列表的时候,可能还会崩溃,就像是升降屏手机里的软件,想要偷拍你,就必须探出头来然后被逮住的感觉。
这里就PP视频搞特殊,直接要起手机号码来了。
在搜索的场景下,PP视频依旧是比较特殊,其他的APP最多就是手机设备信息加上搜索词,PP视频直接一股脑打包再传一次各种信息。
在播放场景下,只能说PP视频中“发挥稳定”。由于表现过于突出,都有种这个测试就为了突出它的感觉。
在发送弹幕评论过程,这些都比较正常。
而在后台静默场景下,可以看到搜狐视频又有点小毛病了,会上传各种信息,甚至还要去搜集你新安装和新卸载的软件信息?这收集来是想做什么?相比之下...PP视频它只想要你的手机号码,啊这,单独测试一个软件可能还不直观,放在一起对比后,有的软件或者软件里的第三方SDK小动作,就显得很滑稽。
最后一项就是网络使用情况了,可以看出来,数据的上传量和上传信息的种类多少没有太大的关联,有的软件只传一点,你的个人信息就都带走了,有的流量比较大,也可能只是正常请求,具体它们在干啥,可能只有更加严格地抓包才能知道。
这8个软件测试下来,就单从官方给出的结果来说,从首到末排序,西瓜视频和优酷表现接近,好看视频和哔哩哔哩接近,腾讯视频和爱奇艺接近,然后是搜狐视频和PP视频。
看完整个测试,不知道大家有什么想法,这些信息是很基础的,只能看出在比较明显的地方是不是正规,这种强度对于揪出那些“演都不演”的APP还是有用的。
除了软件级别的测试,上面还有系统级别的、硬件级别的、网络传输级别的、CPU级别的等等,每个环节后面要深究的话,或多或少都会有些有意思的发现,像是之前酷安也有人讨论过关于系统级别监控的话题。
对于隐私这个话题,有很多可以展开说的内容,随着大家使用的软件越来越多,碰到不遵守规矩的软件概率也是会随着提高的,更何况大家有时还会顶着风险去装一些神秘的小软件,那些风险其实更大。
不同人对隐私的看法也有很多层,还会因为所处的位置的不同,而对隐私有不一样理解,像是对于学生来说,自己的学习成绩或者考砸了就算是隐私,对于放荡不羁的成年人来说,自己的聊天记录就算是隐私,还有小伙伴觉得自己平常在网上看两个小视频也算是隐私,往大了说,为了维护自己在社会中的某种利益,不想公开的信息就都算是。
一些不好的病情也是隐私,一些机密地点和商业内容,甚至影响国家安全的内容也是隐私,一些不安好心的人诈骗话术与私密的交易记录等等,都可以算作为隐私。
但也不是人人都有精力去在乎这些所谓的隐私的,陌生人的这些信息,普通人拿着无异于信息垃圾,只有这些隐私能为第三方带来“利益”和“稳定”的价值,才会有人想去抽取。
由于对隐私的理解有不同,于是也形成了毫不在意和担惊受怕的两种极端。对于监管者来说,不重要的信息,有时候装作没看见也是一种手法,像是漂亮国的棱镜门和恶意监控员工设备的公司,很多时候是感知不到隐私是否安全的。
隐私不过是信息系统的一部分,对于个人来说最好办法是保持长久的加密意识。话说在遥远的未来,各国审查制度和个性化定制的信息系统都愈加强大,加上脑机接口等技术,现在的隐私标准就过于廉价,而那时对于隐私的定义,恐怕会指向自由意志本身吧。
参考资料:
网信佛山-你手机里的视频软件有没有在“监视”你?报告来了。
评论列表(2条)
反炸中心笑了,在座各位都是辣鸡
帮老大哥看着你