莫犯傻,贪蝇头
“官方app”的罪恶
想看更多信息技术内容请关注黑客邦联。
不知道大家在QQ和微信上与好友联系时是否会遇上这样的问题:某些人会给你发一个拼多多的相关链接,说是打开那个链接就可以返钱,但同时也会要求你下载拼多多的客户端;有的人会建议你下载趣头条,说那个平台每天只要按时“签到”,刷够看视频的时长就会定期给你返现。许多人沉迷于其中,每天耗费了大量时间和精力,但最后可能半年也得不到多少钱。
展开全文
这种所谓的“官方客户端”或者说“官方app”,也存在于线下的实体商家那里,比如瑞幸咖啡就热衷于向顾客推销他们的“官方app”,并声称使用他们的“官方app”并邀请更多的用户,就可以喝到打折咖啡甚至“免费”咖啡。有的线上教育机构也开发了大量的“官方app”,比如在辅导界大名顶顶的日本村等等。
这些官方app的使用似乎带给了我们一些便利,比如我们可以用它们进行购物,进行一些课程的学习,进行娱乐等等(后文同样也会对这些“便利”进行论述),但同时带来的许多问题却是不容忽视的。比如上文提到的日本村就会在你注册了他们的帐号后不断给你拨打骚扰电话,有时还会在qq和微信上骚扰你。这一切都是建立在你将自己的个人隐私披露给商家的基础上的。并且当你选择不授予它们某些权限时导致的并不是app的某些功能无法使用,而是整个app都无法使用,甚至有的app,如果你不注册帐号的话,也同样无法使用,并且当你更换了设备后再登录,他们还要求你验证你的信息,你不得不继续披露更多的隐私信息。
你可能会认为,我就是一个普通的老百姓,哪有什么隐私可言?权限给他就给吧,帐号注册就注册吧,这些商家收集了我的信息就收集了吧。然而,商家为了最大限度地攫取利益是无所不用其极的。就算他们拨打骚扰电话有的人觉得没什么,因为只要擅长使用手机的屏蔽功能就好了,但是我们不能忽略一个事实,即电话号码等涉及个人隐私的信息不仅仅可以为一个商家所用,也可以为其他人所用,因为个人隐私信息的交易早就形成了一条黑色产业链,在这个黑色的信息交易网络上的买家可以是任何人——不仅有这些无所不用其极的商家,还有很多诈骗分子,当他们得到了你的详细信息包括且不限于你的姓名,你的电话,你的社会关系——如和你相关的人的电话等等信息时,你觉得你和你的亲朋好友们还能轻易识破诈骗吗?除骗子外,人贩子也会在信息交易网络中购买信息。如果你家里有小孩,你小孩和你的相关信息泄露在信息交易网络上后,这些人贩子能不对你的小孩垂涎欲滴吗?俗话说的好,不怕贼偷,就怕贼惦记。即使你们中的绝大部分人能提高警惕,但总有几个人会因此遭殃,你又怎么敢拍着胸脯保证你绝无可能是那个受害者呢?毕竟你们中的每一个可能需要面对所有骗子、人贩子的威胁,而骗子、人贩子却只需要挑你们中间的部分人下手,你们为了保护自己的财产和家人所需耗费的精力和犯罪分子为了谋取暴利所耗费的精力是不成正比的。况且仍然有很多人没有意识到问题的严重性。
这种这几年一直存在于我们身边的“官方app”,许多人往往在打折促销结束以后也就不再使用了。但他们中很多人只是停止使用这些app,却把它们依旧完整地留存在了自己的手机上。当我们以为它们不再发挥作用时,它们却在发挥着它们真正的作用——窥探我们的隐私信息。你可能会有些疑惑,这些官方app是如何窃取到我们的隐私的呢?下面就通过趣头条的案例来进行分析。
和其他官方app一样趣头条需要赋予非常多的权限才能正常使用,有的时候某些权限不经过用户的同意只通过后台也能取得,仅仅以趣头条披露在官网上的信息就显示,为了“正常”运行该app,商家会向用户索取以下权限:
- 软件版本号
- 操作日志;
- 您设备的硬件型号;
- 操作系统版本号;
- 国际移动用户识别码(IMSI);
- IP地址;
- 网络接入方式及类型;
- 国际移动设备识别码(IMEI);
- 网络设备硬件地址(MAC)。
这些权限通通写在其官网披露的隐私政策里,但是其只说明到底需要我们授权其何种权限,而不向我们展示授予这些权限到底意味着什么,对我们而言是毫无意义的。为此我们需要做些分析。
下面就让笔者来简单地分析一下:
(1)获取得到软件版本号和操作日志权限。可以分析用户的使用习惯,因而在他们在内容推送时会大力推送你最近看得比较多的内容,这样做会限制你的思维和视角,并且,通过分析可以得到很多于他们而言有用的信息,这些信息可以在不同商家之间流转,这就是为什么你在趣头条上很关注日用品的话,那么在拼多多上你同样也会收到日用品方面的推送。
(2)获取得到您设备的硬件型号和操作系统版本号的权限。这两点权限的获取有助于商家获得很多参数,以匹配您使用的操作系统版本和手机型号上存在的安全漏洞,便于商家利用这些安全漏洞渗透您的手机系统,这种渗透攻击可以直接通过app进行,在app上我们可以见到很多商家推送的数据,其中有实质性的视频或者文章内容,也有广告,但这不是推送的数据的全部,攻击指令完全可以包含在我们能见到的推送中,在我们正常可见的推送的掩护下,商家神不知鬼不觉地通过我们提供的手机软硬件型号信息达到了更加深入渗透我们手机的目的,进而窃取更多更深入的隐私信息。同时利用手机软硬件的漏洞也有助于他们绕开用户许可取得更多的权限,使渗透变得更加容易。
(3)获取得到国际移动用户识别码(IMSI)、IP地址、网络接入方式及类型的权限。IMSI是一张SIM卡所对应的唯一识别码,IP地址是我们上网时用的主要信息通讯地址,在不同的地方,不同的网络环境之下是不同的(这主要是因为在不同的局域网背景下会分配不同的动态IP进行联网),而网络接入方式,顾名思义,这项权限能使商家知道你是在用蜂窝网络(俗称的”流量上网”)、WIFI联网以及其他联网方式。这三项权限同时授予给商家的话,他们就可以精准锁定手机的位置,因为每个地区由于服务器交换机等都是固定的,因而在一定的局域网内分配到的IP地址也较为固定,再配合着得到的IMSI数据,和网络接入方式及类型的情况,锁定一台设备的具体位置是很简单的。鉴于我们大家常常手机不离身,精准确定了手机的位置也就确定了我们自己的位置。
(4)获取得到国际移动设备识别码(IMEI)和网络设备硬件地址(MAC)的权限。MAC是一台计算机设备(包括手机电脑)唯一的上网准入地址,每台计算机设备的MAC都是唯一的,出厂时便已设定好,而IMEI则是包括智能手机在内的一切 GSM 系蜂窝网络接入设备出厂时的唯一识别码,当这两项内容全部被商家得到时,他们便可以确定你手中的设备的唯一性,配合着(3)里提到的权限来为商家服务的话,他们不仅仅能知道你去了某地,且能肯定地知道是你而不是别人去了某地(想要摆脱基于 MAC、IMEI、IMSI 的追踪定位虽然是可能的,但至少需要把手机卖给别人、并去营业厅更换 SIM 卡,代价极大)。
当以趣头条为代表的这些官方app取得了过度索取来的权限后,我们的一举一动:如买了什么东西,说了什么话,全都可能被他们记录在案,然后传回它们的总部,并通过信息筛取等等技术将一个完完全全的你还原出来。这还不是最可怕的,毕竟单个app收集到的信息相对有限,但别忘了,上文提到过,在全世界范围内一种有一个涉及用户信息的黑色交易网络,往往一条信息仅仅只值几毛钱,甚至几分钱。当这些商家将他们收集到的信息互相交易时,在每个商家手里的信息都能拼凑出一个完整的你来。这也就是所谓官方app的“便利”的由来。
然而对用户而言,它们其实一点也不便利,注册需要花费较多时间(花费时间少的是直接用其他平台的信息进行注册,比如用微信号登录等等),二次登录需要验证等等不便利因素刨除,虽然单是这两项已经都是建立在隐私的丢失之上的。真正令我们稍感便利的推送功能,比如按照我们的需求推送一些信息,比如商品信息等等也无一不是建立在对我们的信息的大量收集的基础上的,这种所谓的便利本质上只是商家为了增加流量增加商品的营销手段——只是对商家的便利而已,这种“便利”是对于商家大肆搜刮用户的隐私信息的便利,也是让用户变得如同在互联网上裸奔的“便利”,实际上令我们感到有一丝丝便利的,也只是为了商家的便利,本质上对我们来说是毫不便利的,注册帐号不需要那么麻烦,使用软件不需要授予那么多对我们来说不仅不必要而且会令我们陷入危险境地的权限。况且这些“便利”也不是不可替代的:拼多多app上可以购物,其网站上也同样可以购物,并且在购物完毕后可以随时关闭其网站而不必忍受其app的窥探和渗透,如果手机端的网页访问确实不够方便,电脑端也完全可以代替;学习求助于一些知识贩卖的商家往往都会被收智商税,在其平台上花费十分高昂,但完全没有必要,实际上各类视频网站(除短视频平台外)上都有大量的教学视频,有许多甚至还是成体系的教学视频;为了娱乐也不一定需要在这些官方app上进行,而进行娱乐充其量只需要一个排他性的账户,索要超出该范围的权限和个人信息都是于这种商业行为本身而言不必要、而于我们用户而言不可接受的。
从来没有使用过这些app的用户可以稍微暗自庆幸一下了,但已经使用过的用户呢?我知道有些人可能又要说了,我在不怎么使用那些app以后主动把它们删除了不就好了?说这种话的人,没有分清哪个轻哪个重。如果说后台自启,然后通过后门和过度索取的权限来监控大家的话,得到的还只是零零碎碎的需要分析的信息,但在你使用时泄露的都是明确且完整的信息。不说别的,任何所谓的官方app都会要求你实名注册,一定要绑定手机号的那种,就单单一个手机号便可以轻松追查到你的身份证上的信息。而有的app除了要填写手机号以外,还要你披露其他个人隐私。即便你注销了帐号,也很难保证他们不会留存你的信息。
下面以拼多多为例,看看他们的隐私政策中,涉及注册的内容:“当您使用本人手机号码注册成为拼多多用户时,我们将通过发送短信验证码的方式来验证您的身份是否有效。”这句话实际上不仅仅存在于拼多多的隐私政策里,在任何需要注册帐号的私有软件上都存在,要知道仅仅通过手机号就可以获得很多信息,首先,手机号是和身份证绑定的,身份证上会有你的真实姓名,家庭住址等等敏感信息;其次大部分官方app不仅仅需要提供手机号,还需要提供其他信息,比如一定会产生金钱交易的网购平台,它们会要求用户同时也绑定银行卡帐号。仅仅是这些就足够造成很大的损失了。
这些官方app作为手机应用本身就是存在安全问题的——不仅对用户是危险的,对商家也未必有多安全——很多官方app和其总部的通信方式甚至还是很容易被中途劫持的http,而这些app的相关营销手段同样也存在问题。以拼多多为例,那种怂恿用户吸收其他用户,然后返还少量的金钱,然后吸引来的新用户继续被怂恿去吸引更新的用户并返钱的行为是什么?这是典型的传销。而另一款app——趣头条,它的那种观看视频达到特定时长同时还要按时签到才返现的行为,不得不说是怪异的。而隐藏在怪异后面的则是贪婪。为什么这么说?返现的同时意味着商家会知道你的银行卡的相关信息,包括且不仅限于你的银行卡的卡号,你的银行卡的部分交易记录等等。有了这些信息诈骗等等犯罪行为将变得更加容易,因为这些商家往往为了金钱便可以出卖你的个人信息,因为要知道所有的存在金钱交易的平台均需要绑定银行卡,有的甚至还要录入身份信息。
总之,不要贪恋于蝇头小利,要对一切莫名其妙的让利提高警惕,尤其在涉及手机应用的时候。请警惕一切对个人信息的收集行为,否则被出卖的不仅是自己,更包括亲朋好友。
- 附录:“趣头条”隐私政策: https://www.qutoutiao.net/about.html?tab=privacy