“手機應用會偷偷打開錄音功能竊取用戶消息這已經(jīng)是行業(yè)公開的秘密了,但利益牽連實在太廣�,不太方面細聊。”一位網(wǎng)絡安全從業(yè)者因利益相關性婉拒了采訪�����。
8月15日��,360集團董事長兼CEO周鴻祎在訪談節(jié)目中談到個人隱私泄露話題時表示���,應關注互聯(lián)網(wǎng)廠商搜集和使用用戶數(shù)據(jù)的方式是否正當����。周鴻祎稱�,有的手機軟件會打開用戶攝像頭或麥克風偷偷錄音,從中找關鍵詞試圖匹配用戶明天的興趣愛好����。他稱自己也遇到過類似情況�,但不指名字了。
周鴻祎認為從很多消費者描述的情況來看�,被竊取的數(shù)據(jù)應該是被轉賣了,但現(xiàn)在缺乏證據(jù)�����。
“偷錄”行為需證據(jù)
周鴻祎認為手機軟件其實是可以進行用戶錄音的����,但需要提前得告,不應該悄悄地打開麥克風����。他主張手機軟件在采集用戶數(shù)據(jù)時需要做到真正讓用戶有知情權和選擇權。
但同時周鴻祎也指出��,個人數(shù)據(jù)與個人隱私很難明確界定�����,如今想要換取互聯(lián)網(wǎng)服務��,將個人數(shù)據(jù)賦能給廠商已成為客觀存在的事實��。應對廠商提出要求——善待用戶數(shù)據(jù)���。“如果處理得好就保護了用戶隱私�,大家皆大歡喜,老百姓的數(shù)據(jù)托管在廠商的服務器上�,老百姓也能得到各種免費的互聯(lián)網(wǎng)服務,自己的數(shù)據(jù)也沒有被泄露�����。”
因此周鴻祎建議����,在使用互聯(lián)網(wǎng)服務過程中,用戶向互聯(lián)網(wǎng)公司提供的數(shù)據(jù)所有權應明確定義屬于用戶���,數(shù)據(jù)只是暫時委托廠商���,存在廠商的服務器和數(shù)據(jù)庫里。當消費者不再使用服務時�����,該互聯(lián)網(wǎng)廠商應做到將用戶數(shù)據(jù)刪除�����,廠商更沒有權利轉賣該數(shù)據(jù)����。“如果廠商認為這個數(shù)據(jù)是我收集的,我擁有的���,我想干什么��,消費者的權益就很難得到保護了����。”
愛加密研究院院長魏超對第一財經(jīng)記者表示�,偷偷打開錄音進行數(shù)據(jù)采集這個行為本身就是“偷聽”,是非法行為����,但這需要證據(jù)來證明。另外用“偷聽”來的數(shù)據(jù)或未授權的數(shù)據(jù)來進行盈利活動屬于不當?shù)美��,系違法行為���。
信息安全保護尚處于努力過程中
遺憾的是�,用戶數(shù)據(jù)隱私保護這件事沒有那么容易達成��。
“剛剛我還在跟朋友聊到想喝某個牌子的奶茶,轉頭打開某款外賣應用�,第一欄的美食推薦就是這個牌子,很詭異��。”一位孫姓用戶向第一財經(jīng)記者分享了過往一則“巧合”案例����。
魏超稱,用戶保護方面依托于手機廠商的隱私防護技術����,監(jiān)管單位的隱私保護要求,app下載流通的市場渠道上架檢測���,以及事件發(fā)生后的溯源追責�����。而直到如今隱私數(shù)據(jù)竊取行為仍未得到根治�����,在魏超看來��,一方面的原因在于竊取行為定性上的邏輯障礙——APP申明業(yè)務需要錄音功能�,但錄音功能錄取得來的數(shù)據(jù)是否僅限于業(yè)務必需,很難界定��。“只能通過發(fā)生財產(chǎn)損失得事件后�����,進行回溯追責����。”
所幸�,試圖對消費者手機數(shù)據(jù)進行安全保護的努力一直在進行著。此前浙江大學網(wǎng)絡空間安全學院院長任奎帶領團隊研究了發(fā)現(xiàn)“加速度計竊聽”�,后者是一種基于深度學習加速度傳感器信號的新型“側信道”智能手機竊聽攻擊方法。簡略來講就是手機應用利用內置加速度傳感器采集手機揚聲器所發(fā)出聲音的震動信號���,實現(xiàn)對用戶語音的竊聽����。
基于這項研究發(fā)現(xiàn)����,任奎建議手機廠商提高加速度傳感器權限級別,避免各類應用在非必要情況下采集加速計數(shù)據(jù);對加速計的采樣頻率進行限制,或通過系統(tǒng)內置濾波器提前過濾掉加速度傳感器信號中包含最多語音信息的高頻部分��。
另外��,為了避免將來出現(xiàn)類似的漏洞�,任奎建議手機廠商重新評估各個傳感器的安全性和敏感性,修改Android操作系統(tǒng)對手機App調用各種傳感器數(shù)據(jù)的使用權限�����,如鴻蒙OS等自主可控的操作系統(tǒng)可以從系統(tǒng)層面考慮����,杜絕未來的側信道攻擊路徑。
