图片来源于网络
DCCI互联网数据研究中心联合腾讯社会研究中心针对Android端和iOS端的手机APP进行的隐私安全评测发现,2018年上半年,Android端获取隐私权限的手机APP达到99.9%,未获取隐私权限的手机APP仅占0.1%。
调查还发现,iOS端获取手机隐私权限的APP比例呈上升趋势,2018年上半年iOS端获取手机隐私权限的APP比例已达到93.8%。
数据来源:DCCI2018年上半年手机APP隐私权限评测
近日,网上流传“第三代身份证增加新功能”的消息,其中新增定位功能的传言引发热议,很多网友觉得“定位功能”严重侵犯个人隐私,之后官方辟谣:第三代身份证不存在定位功能,网传消息不实。
第三代身份证新增定位功能纯属子虚乌有,但定位软件侵犯个人隐私要负法律责任却已有真实案例。江苏南京警方破获一起通过技术定位,侵犯公民个人信息案,这起案件在全国也属首例。目前,犯罪嫌疑人已被公诉。
去年1月,陈某在饭店吃饭时被讨债人围堵,随后陈某报案,警方调查发现,讨债人是通过一款即时定位软件找到的陈某。
这种软件如何实现定位追踪?公民在使用聊天软件时该怎样保护自己的隐私?使用定位软件追债是否触犯法律?
使用手机被无端定位防不胜防
2018年1月20日,南京市公安局鼓楼分局接到一起报警,一名男子称,讨债人员利用手机定位软件,实时定位到了他聊天账号的位置,结果对方找上门,使他人身安全受到威胁。报警人陈某表示愿意还钱,但他想搞清楚,讨债人是怎么找到他的。
警方介入后,讨债人员承认,确实是通过手机软件定位到对方位置的。
原来,陈某平时爱用一款手机聊天软件,他们就从网上买了一款定位软件,很快找出他的具体位置。民警发现,这款叫“APP神探”的定位软件能对多款主流聊天工具进行实时定位。
经过侦查,“APP神探”开发销售者吴某被警方抓获。据他交代,自己开发的“APP神探”一般卖给调查公司或者专业的讨债公司。
根据警方介绍,这款“APP神探”使用方法很简单,只需把聊天软件账号输进去,点查询,就可以查询静态位置或动态轨迹。
“这款聊天软件有好友互相定位的功能,好友知道你的大概位置,本身不是很精准,但如果他有几个好友,通过三角定位计算的原理,就可以把这个位置计算得更准确。”东南大学计算机学院副教授凌振告诉记者。
如果查询者不是对方好友也能进行定位查找吗?凌振的回答是肯定的。
“很多软件提供查找周边的人的功能,我们可以设计一个程序向服务器发起找人的请求,并框定一个大概的位置,比如南京市新街口,服务器就会列出新街口周围的人,反复查询几次后如果找不到想要的人,那就换一个位置继续查询,甚至可以把南京所有的GPS点都逐个找一遍。”凌振说,这是最简单最暴力的方法,也是合法的搜索,因为服务器提供了这样的功能。
那么,这款APP定位精度有多高?警方多次实验表明,精确位置只相差20—50米。
有空可钻折射网络安全漏洞
警方审讯得知,吴某计算机专业毕业后做起了技术员。他喜欢黑客技术,一个偶然机会看到网上有人卖手机聊天工具定位软件,但使用功能很一般,就想自己开发定位精度更高的软件。没多久,他破解了一款手机聊天程序的位置信息防护系统,开发出“APP神探”,通过QQ群、微信群、聊天室等网上渠道销售。
目前,各种手机APP在使用时,都要获取个人通讯、位置等信息的授权。这些个人信息是否得到各个平台安全保护,很多人心中是存有疑问的。
记者在网上简单搜索,就找到多家号称提供手机定位功能的厂商。有厂商声称只要提供手机、微信或QQ号就可以定位,单次定位几百元,交一部分定金,位置出来后付清尾款。
相关专家表示,类似定位软件使用的技术原理可以用在很多APP应用软件上,风险极大。
凌振认为:“如果聊天软件提供的增值服务中,有查找陌生人的功能,并且没有对GPS位置进行噪声干扰,或是对大量的重复查询进行限制、验证,那就是服务器的漏洞。”
据记者了解,之前国内另一款著名的即时通讯软件也存在这样的问题,经过升级已经堵上了这个漏洞。但是,在黑客界还有一些模拟虚假GPS位置信息的手段,比如用一种可发射GPS、蓝牙WiFi等信号的设备,配置一个程序,就可以发射出虚拟的位置信息,从而欺骗软件服务器,达到一些不可告人的目的。
“这个人应该有一些功底,再加上网上的黑客教程很多,潜心钻研一下,开发这款‘APP神探’的确不是什么难事。”凌振说。
专家介绍,黑客攻击主要是研究软件或服务器的结构原理,反向分析查找漏洞,通过漏洞盗取所需信息,或者“合法”地发送请求,获取海量数据(23.370, -0.18, -0.76%)进行计算分析。
根据腾讯安全发布的《2018年度互联网安全报告》显示,2018年曝光了大量利用家庭和工作场所中成千上万的存在安全漏洞的物联网设备,生成流量而发起的大型DDoS攻击,这种情况在今后或将继续。
缺乏保护的网民或网上裸奔
过去,公民的个人隐私掌握在个人手里;现在,当我们享受互联网的便利时,也将隐私作为交换上传给机房的服务器。如果不加以保护,那么所有人都将在网上裸奔。
专家认为,软件的一些权限需要用户自己去判断,提高安全意识、隐私保护意识。此外,相关企业、行业组织和国家机关,应加强对网络安全标准的制定、企业违规行为的处罚。
“比如这个案件,你一直关着GPS,他怎么也查不到你。”凌振说,在一些看不到的地方,更需要用户加以注意。不论是手机APP还是其他的智能设备,安全漏洞不可能百分之百杜绝,总会存在被攻击的可能性。
专业从事网络安全攻防研究的凌振发现,许多智能设备或多或少都有安全问题存在,“我们会定期对市面上在售的智能设备进行攻防演练,前不久我们分析了一款智能插座,几个月就破解了,就是这么简单。”
技术是一把双刃剑,就看是谁在用它。此案中,吴某是计算机专业毕业,但是所学知识没有用在正道上,这也让凌振等教师感到无奈。他认为,高校必须加强科研伦理教育,告诉学生哪些事情可以做,哪些事情不可以做,“虽然你掌握了这个技能,并不代表你可以用它为所欲为。”
“目前的数据搜集技术已经非常高效,但是缺少有效的控制和评价手段,这就像一个小孩拿着自动步枪玩耍,谁也不知道危险会在何时以什么样的方式发生。”东南大学伦理学副教授程国斌说。
而对于技术使用者的伦理和法规要求,现阶段仍是支离破碎和虚弱无力。例如,去年支付宝收到罚单,因其存在个人金融信息收集不符合最少、必需原则,以及存在对个人金融信息使用不当的行为。但是,其付出的代价只有区区5万元。难怪有网友称,“这处罚也就是罚酒一杯”。
法律人士指出,除非是依照法定的需要进行调取,或者说经过当事者本人的同意,除此以外,任何人、组织获取公民的定位信息,都是一种违法行为,达到了一定的数量之后,就可能涉嫌构成违法犯罪。APP的运营商、生产商,如果研制出这样的定位软件,软件本身存在技术上的漏洞和安全隐患,使用者定位信息能轻易被黑客破解、盗取,那么,由此给消费者造成的相关损失,APP的生产者和运营商要承担相关的法律责任。
文章来源:中国新闻网