当前位置:   金科网 > 区块链 > 正文

手机是如何成为隐私泄露“帮凶”的?

你身边最“亲密”的伙伴,可能会扒掉你的“数据底裤”。

手机隐私泄露已经是老生常谈的问题了,但老生常谈不等于问题已经解决,反而隐私泄露问题愈演愈烈,而且方式五花八门,令人防不胜防。今年的维权课代表——315晚会便再提隐私泄露问题。

315“重拳”打击隐私泄露

每年的315晚会都是“道歉大会”,凡是“有幸”被晚会指名道姓的企业,无一例外都会诚恳地进行公关运作。今年除了日常报道卧底餐饮企业后厨“脏乱差”现象以外,手机应用(APP)中第三方SDK(即软件开发工具包)窃取用户信息的事件是315晚会“重拳“出击的对象。

自去年起,上海市消费者权益保护委员会委托第三方公司对一些手机应用中的SDK进行了专门的测试,发现一些SDK暗藏玄机。相关技术人员针对50多款手机应用进行了检测,结果出乎意料。表面上人畜无害,为大众提供优质的APP中,却都存在用户不知情的情况下,偷偷窃取用户隐私的嫌疑。某些SDK在未经用户许可下,窃取用户手机中短信、通讯录等个人隐私信息,尤其是短信内容会被全部转移。更有甚者,验证码等关键信息都不放过,一旦用户网络交易的验证码被获取,极有可能造成严重的经济损失。

相关检测人员表示,SDK会读取这部设备的IMEI、IMSI、运营商信息、电话号码、短信记录、通讯录、应用安装列表和传感器信息。读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。此外,虽然SDK是一个看似普通的手机应用插件,但它极具通用性,几乎所有手机APP都可以内置SDK。这些SDK就像是隐藏在APP中的第三只手,随时抓取数据。很多手机APP可能都嵌入了同一个SDK,因此一旦某个SDK窃取用户个人隐私,将会涉及众多手机APP。

中国信通院安全研究所数据安全研究部副主任陈湉此前称,目前SDK自身安全性不容乐观,不仅如此,如果SDK存在问题,则凡是嵌入SDK的手机APP都存在问题。她还强调,SDK“隐蔽”收集个人信息的问题正在逐渐显现。

随着隐私泄露问题越来越受到重视,SDK也面临多种质疑声,SDK是怎样获取隐私信息并运用的呢?

SDK:移动互联网数据挖掘之钥

什么是SDK?

在了解SDK之前,我们不妨从移动互联网角度出发,浅析在时代背景下数据崛起的必然性。

时间进入千禧年,互联网泡沫在科技投资热潮时应声而破,随之而来的是科技公司的大更迭。进入移动互联网时代之后,随着互联网和移动智能硬件如野火般蔓延式的普及,数据呈现“指数级”增长。根据IDC数据预测,全球数据总量增长维持在 50%以上,至 2020 年全球数据总规模达 40ZB。大数据市场也已经突破千亿规模,并持续保持高增长态势。

手机是如何成为隐私泄露“帮凶”的?

在我们的日常生活中,大数据已经无处不在,包括社交、购物、活动出行、餐饮的地理位置等信息。有效利用这些数据可以实现精准挖掘用户需求,提高企业经营效率和业绩,尤其针对于社交、金融、医疗、广告、电商等垂直领域效果尤为显著。我国互联网巨头企业基本都集中在这几个行业之内,大数据的运用对它们的商业模式至关重要。

而大数据的运用则离不开数据智能。数据智能是基于大数据引擎,通过大规模机器学习和深度学习等技术,对海量数据进行处理、分析和挖掘,提取数据中所包含的信息和知识,使数据智能化,并通过建立模型寻求解决方案以及实现预测。数据智能行业基本可以划分为数据获取、数据挖掘、数据应用三个领域。数据获取方式与维度有着诸多不同,面向不同的行业也存在差异。SDK就是数据获取的常见方式。

SDK是广泛应用于 APP 中的开发工具集合,通过专业化分工达到缩短开发周期、节省资源的效果,其中又分为基础与专业两个类型。基础型是指通用程度比较强的平台性质的 SDK ,如 Java SDK、安卓 SDK 等;专业型则根据功能的不同可以分为推送、通信、存储、安全、地图及位置服务、统计及增长、社交、广告、语音识别、图像识别等。

SDK的运用使大数据获取方式更加便捷,但随之而来的数据隐私问题也逐渐显露。手机APP提供的《隐私保护政策》并不能良好地保护用户隐私,反而成为在法庭上用来开脱的工具。在手机隐私泄露日趋严重的今天,我们应该如何应对在数字世界“裸奔”?

数据的达摩克里斯之剑

创新工场董事长李开复曾在公开场合表达了对互联网公司拿走个人数据的看法,他表示互联网巨头拿走个人数据赚钱,获得授权和分成给个人仍是理想主义,“现在把数据还给你,它没办法做好AI了,会使你更不便,应该是谁用数据做了坏事就去惩罚它,而不是把数据全部收回来还给个人。”

诚然目前互联网公司提供的服务都是建立在经过大数据的分析与运用之上,海量的用户移动设备数据构建了数据智能行业的商业基石。但“精准推荐,为您服务”却不应是对用户隐私数据肆意获取、加工、获利的借口。

目前,数据市场面临的两个核心问题:

· 从法律层面,对个人隐私数据的使用没有严密的法律保护制度。
· 从技术层面,如何保护隐私数据,且可商用,依旧是时下最需要解决的难题。

隐私计算是指在数据或计算方法保持“加密”状态,不泄露给其他合作方的前提下,进行计算合作的技术,它为我们提供了数据在隐私保护的前提下得以合规使用的技术解决方案。隐私计算的概念最早是在2016年提出的,主要包含密码学、可信执行环境(TEE)、联邦学习等方向。而密码学则包含全同态加密、安全多方计算、零知识证明等主要技术。目前,隐私计算在金融、医疗等行业已经得到了采用,PlatON通过对密码学长时间的投入研究与技术研发,构建隐私计算网络与金融基础设施,在工程化程度和商业应用方面走在了世界前列。

我们也很欣喜地看到国内法律层面对个人隐私保护越来越重视。近期深圳市发布《深圳经济特区数据条例》(征求意见稿),其中对数据有着创新性定义,数据是关于客体(如事实、事件、事物、过程或思想)的描述和归纳,是可以通过自动化等手段处理或再解释的素材。这个定义突破了以往我们拘泥于数据是个人信息数字化的定义,将数据的范围进一步扩大。同时,自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。数据隐私保护方面相关法律法规的陆续出台,使得个人数据隐私保护初见曙光。

通过隐私计算技术与法律法规的不断完善的双保险,悬在数据市场头上的达摩克里斯之剑有望真正“锋入剑鞘”。