业内新闻

苹果生态“安全人设”的垮掉

编辑/作者:安安 2019-02-19 我要评论

早高峰拥挤的地铁,也是北上广大型窥屏现场。 如果你被挤得掏不出手机,那可是有福了因为正好可以光明正大地偷看别人的手机。一节车厢里,怎么也得有四五个看小...

  早高峰拥挤的地铁,也是北上广大型窥屏现场。

  如果你被挤得掏不出手机,那可是有福了——因为正好可以光明正大地偷看别人的手机。一节车厢里,怎么也得有四五个看小说的,七八个刷短视频的,再加上几个跟自己男女朋友在微信上腻歪虐狗的。四十分钟看下来,可比玩自己的手机有意思多了。

  不过话说回来,要换成自己玩着手机被路人窥屏,其实人人都会愤怒。如果说窥屏的不是某一位路人,而是来自手机里某款软件的产品经理,或是某家数据分析公司,恐怕比起愤怒,大家更会感到恐怖。

  官方窥屏,最为致命

  而惊悚小说情节一样的“官方窥屏”,已经在我们身边上演。

  苹果手机的用户应该知道,Appstore一直是不允许上架第三方录屏应用的。在iOS系统自带录屏功能之前,用户甚至只有越狱才能安装上录屏软件。

  很显然,苹果这样做是为了保证用户的隐私安全。不过在近年推出了自有的录屏功能之后,却也给了他人可乘之机。

  最近有媒体曝出,加拿大航空、服装品牌Hollister、酒店预订平台Expedia应用中都有未经用户允许的录屏功能,而这些品牌的应用有一个共同的第三方数据服务商——Glassbox,就是它向这些应用提供了录屏功能的SDK。

  刚在去年获得了2500万美元融资的Glassbox,在自己的官网中公然宣传称,录屏SDK可以记录下用户在软件内的每一次交互,帮助企业更加了解用户行为,并进一步优化产品。但媒体很快就发现,Glassbox对于录屏内容没有进行任何脱敏处理,甚至完整地记录下了用户的信用卡支付信息。

苹果生态“安全人设”的垮掉

  结合起去年加拿大航空曾经发生过的用户信息泄露事件,这立刻引起了用户极大的反弹。他们在推特上找到了Glassbox夸耀自己业务的推文,开始在评论区中疯狂吐槽。

苹果生态“安全人设”的垮掉

  评论中将Glassbox的行为形容为“人性的噩梦”,说应该将这种服务出售给PornHub。其实早在2017年,普林斯顿大学的研究人员就在连锁药店Walgreens的PC网页上发现了类似的情况,在用户浏览、选购药品、输入搜索时,都会被数据分析企业记录,同样也包括了用户的信用卡支付数据。和Glassbox一样,向Walgreens提供服务的数据分析企业Fullstory同样也向数家电商企业提供“窥屏”服务。

苹果生态“安全人设”的垮掉

  某家国内录屏分析服务的软文

  通过搜索,我们发现中国也有能提供类似数据服务企业,在他们的主页上同样能看到十分露骨的宣传。

  由此可以看出,从移动端到PC端,“官方录屏”的危害和普及率都远远超出人们的想象。

  三层窥屏产业链之下,真的值得冒险吗?

  那么这种“官方录屏”的模式究竟能给品牌提供些什么?

  通过对Glassbox、Fullstory以及本土一些录屏数据服务企业的观察,我们可以发现这些企业大概能提供以下几个层面的功能。

  第一层是直接观测用户行为。

  这一层基本是录屏数据服务企业提供的“基本款”服务,让服务的购买者直接获取并观看用户行为视频。其实对于大多数企业而言,这种服务是毫无意义的——毕竟他们没有充足的人力来观看海量视频。一般来说这一层功能是作为入门,吸引用户去购买后续服务。

  第二层是记录用户行为的热力图。

  在以往的web端口,很多网站就已经有了记录用户行为热力图的习惯,通过对用户鼠标停留、点击频率和分布进行记录,帮助网站所有者来了解用户流量、时间在网页各个区块的分布情况。一般来说只有搜索引擎拥有这种权限,但结合上录屏功能,App和其他网页也能实现热力图的记录。

  最后一层是通过机器学习对于用户行为进行深度分析。

  如果说热力图的记录是展示数据,那么最终目的就是利用机器学习分析数据,来对用户意图进行预测。这也是本次窥屏丑闻主角Glassbox的主打功能。

  通过这三层功能,对录屏数据加上AI计算就变成了这样的景象:海量用户在屏幕上的每一次滑动和触摸都被汇集起来,被反馈给企业,告诉他们哪样产品更收欢迎、哪条广告获得了更长时间的停留、有多少用户在最后支付页面望而却步……

  这样一来企业既可以获得强大的洞察能力,不断优化产品交互体验,同时还可以对广告效果进行校验,甚至自动发现页面中的BUG。

  由此以来提升的效率,确实值得企业和第三方数据服务企业铤而走险。

  只是除了用户自身的抵触情绪以外,Glassbox这类企业本身钻应用商店空子,加上没有对用户数据进行保护和脱敏的行为,更是从道德和安全上都不能接受的。

  苹果生态安全人设的垮掉

  其实这件事还引来了一个有趣的问题,为什么苹果商店会被钻了空子?

  Glassbox事件除了对企业自身和相关涉事品牌形成影响之外,其实最大的“受害者”是苹果。这件事一处,很多人就扒出了一个月前CES上苹果嘲讽安卓手机安全问题的海报。

苹果生态“安全人设”的垮掉

  最近苹果在安全方面问题频发:半年前,因剑桥事件发酵后,媒体随之发现苹果商店中数十款应用在未经用户允许的前提下向第三方分享用户位置信息。而就在2月初,苹果又被曝出Facetime存在BUG,在用户未接听的状态下也有可能被收音。最近的则是这两天发生的录屏丑闻。

  这其中既存在应用开发者的实力拖后腿(录屏和分享位置信息),也存在苹果自身无法推脱的漏洞(Facetime问题)。

苹果生态“安全人设”的垮掉

  最近娱乐圈流行“人设崩塌”,而如今看来苹果的“安全人设”也有点岌岌可危的意思。一直以来,苹果都在强调自己如何关注用户数据安全,保障用户数据隐私。尤其是在剑桥事件发生以后,库克甚至亲自给《时代》周刊撰文,呼吁联邦立法来保护用户数据隐私。在iOS 12的更新中,也特地强调了自己在隐私保护上的关注和付出。甚至有媒体贴出类似“库克怒了!禁止APP流氓索权”这样的标题。至于用海报嘲讽友商,更是小意思了。

  所有人设的背后,都写满了“利益相关”四个大字。苹果之所以在最近对安全隐私保护问题加以强调,很大一部分原因在于想用人们对安全的恐惧来对冲iOS生态封闭性的负面影响。iOS在开发上的高门槛,加上苹果商店的苛刻审核,相比安卓系统来说对于开发者确实不够友好。强调封闭生态的安全性,其实也是苹果绕过开发者直接在用户角度截胡的手段。

  今天的现状,则显得苹果的安全人设有点“垮”。在如今腹背受敌的窘境中,苹果或许要想想办法认真经营自己的人设了

文章来源:36氪

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • FIRST掌门人出席北京网络安全大会:没有准备就是

    FIRST掌门人出席北京网络安全大会:没有准备就是

  • 2019北京网络安全大会:以安全保发展 5G时代呼唤

    2019北京网络安全大会:以安全保发展 5G时代呼唤

  • 北京网络安全大会技术峰会:聚焦全球网络安全

    北京网络安全大会技术峰会:聚焦全球网络安全

  • 致力培养更多网络人才 金融科技网络安全论坛圆

    致力培养更多网络人才 金融科技网络安全论坛圆