被3·15点名,破解版APP真的凉凉了

6 评论 6893 浏览 2 收藏 13 分钟

在今年的3·15中,有关“破解版APP窃取手机信息”的新闻,也引发了不少用户们的关注,这类破解版APP可能利用用户“贪便宜”的小心思,在用户使用APP或者授权敏感权限时成为了手机信息的“小偷”。一起来看看作者的分析与解读吧。

今年的315晚会揭露了许多乱象,香精大米、腐烂橄榄菜、苦情戏诈骗直播、网络水军等等。

其中有不少陈年烂芝麻的旧事重提,2010年315便报道过的香精大米,去年315刚曝光的网络水军。

也有吓出哔哥一身冷汗,与咱们息息相关的事情“破解版APP窃取手机信息”

315点名!这种APP终于还是凉了

安卓阵营的小伙伴,有谁敢拍胸脯保证自己从未接触过破解版、修改版APP?未安装过非官方渠道,来路不明的APP?

恐怕十个人中未必揪出一个这样的三好学生,毕竟破解版真香。

免费看付费电影、免费听会员音乐、不限速下载网盘资源……这样良心的APP,全天下哪里找。

它们的出现,一年让白嫖党省下几百上千块的会员费,谁顶得住如此的勾引啊。

一、藏在手机里的小偷

古尔丹告诉我们:享受了便利,必须付出代价。

315信息安全试验技术人员对十多款主流的APP破解版进行检测,发现它们会悄悄偷走个人信息。

比如这款优酷破解版,对比官方正版,它可以免费看会员视频,却额外嵌入3个SDK。

315点名!这种APP终于还是凉了

(图源央视)

咱们一旦使用APP,3个SDK就能偷走手机信息,如IMEI(手机身份证)、安卓ID(系统身份证)、IMSI(sim卡身份证)。

有了这几张身份证,不管换手机、换号码,幕后黑手都能精准锁定咱们,实时追踪动态,从中寻找变现的机会。

如果你授予了录音、相机、短信等敏感权限,它们将会变身为监视器。

监控咱们的生活、通话录音、短信记录等,所有隐私暴露无遗。

你点开过什么、看过什么、跟谁联系过、在哪个界面停留多长时间,APP比你自己都清楚。

315点名!这种APP终于还是凉了

(图源央视)

APP从手机里偷走的信息,会用来干什么?对我们有什么坏处?

首先,收集到的信息会上传到服务器,进行统一的洗练和汇总,然后匹配其他渠道获得的资料,描绘详细的用户画像。

画像可以具体到,你叫什么名字、住在哪里、用着什么手机、看过什么视频、手机号码多少、学历层次、喜好、现在在哪里(手机定位),对你的认知比你爸妈都深刻。

吃相好些呢,一般收集来的用户画像,用于大数据广告投放或者精准营销。

因此时常出现刚在某APP搜索某产品,打开淘宝发现全是该商品推荐信息的诡异现象。

时不时接到推销电话,客服准确地说出你的姓名、年龄,最近准备买房子的信息。

如果是犯罪份子,则大多用于实施诈骗,发送诈骗短信唬你登录山寨网站转移存款。

又或者出售给黑灰产从业者,为境外诈骗团伙提供重要的线索和资料。

这就是许多人时不时收到乱七八糟的短信、推销电话、恐吓信息的原因。

315点名!这种APP终于还是凉了

(图源CSDN)

千万别天真以为,只要我不碰破解版、修改版APP就没事了。

窃取隐私的不止是盗版APP,许多获得数字签名上架应用商店的正版APP,在偷信息方面不遑多让。

二、窃取个人隐私,何止破解APP

考虑到小伙伴不知道SDK是什么玩意,此处哔哥简单科普下。

如果把APP比喻成一台电脑,那么SDK就是耳机、音箱等配件,可以赋予电脑某种能力。

主流APP一般嵌入大量的SDK,借此免去开发成本实现某些功能,例如支付、第三方登录、行为分析、信息收集、广告推送,路径追踪等。

按照功能区分,SDK可以分成:消息推送类(广告推送)、综合类、辅助开发类、支付类等十几个大类,其中消息推送类最为常见。

部分SDK默认收集个人信息,除了上面提到获取IMEI外,还会监视用户行为,记录你看过什么内容,窃取联系人、通话记录等。

315点名!这种APP终于还是凉了

(图源网络)

由于安卓开放的特性,国内宽松的隐私保护环境、缺少谷歌约束等因素。

许多违规SDK得以光明正大的嵌入到主流APP中,明目张胆的搜罗用户信息。

央视年年曝光这些正版APP,通过第三方SKD收集超出正常范围的个人信息。

其中不乏家喻户晓的知名APP,全国闻名的互联网大厂、上市公司等。

315点名!这种APP终于还是凉了

(图源央视)

最夸张的一次发生在2020年。

上海公安局网安总队对应用商店的5000款App开展检查,最终检测出具有安全隐患的APP多达3400款。

70%APP存在违规收集信息、索要敏感权限的问题,其中涉嫌诈骗的违法APP有233款。

测试人员捕捉到这些APP窃取通讯录联系人信息并上传服务器的行为,严重侵害了隐私权。

315点名!这种APP终于还是凉了

(图源央视)

许多APP的用户协议中,白纸黑字写明:它们会收集、共享、转让、公开我们的个人信息。

明明白白告诉你,我就是要拿你的信息,不仅自己用,还卖给其他人一起用。

怎么滴?你不同意协议?你敢点不同意,APP就敢闪退。

315点名!这种APP终于还是凉了

据中消协发布的《App个人信息泄露情况调查报告》,APP最常收集的信息依次排序为:

位置、联系人、通话记录、短信记录、摄像头、通话录音。

其中位置信息泄露达86%,联系人泄露62%,从数据上看,每个人或多或少被APP偷走隐私。

小伙伴认为,使用正版APP的人多?还是使用盗版APP的人多?答案显而易见。

论偷取个人信息,应用商店某些正版APP比盗版APP猖獗百倍。

315点名!这种APP终于还是凉了

(图源中消协)

虽讲APP偷数据的行为相当普遍,达到泛滥的程度。

但大伙不必为此惊慌害怕,近几年上到有关部门下至手机厂商,都在发力保护个人隐私数据安全,推出了强而有力的政策、立竿见影的技术。

隐私泄露的情况对比前几年,得到了极大的改善。

三、保护隐私,竭尽全力

法规方面,为打击APP的滥用SKD,搜取个人信息,守护个人权益。

有关部门出台了《App违法违规收集个人信息行为认定方法》、《个人信息保护认证实施规则》、《中华人民共和国个人信息保护法》等法规。

对个人信息的收集、使用、处理有了明确的规范,有法可依,违法必究。

315点名!这种APP终于还是凉了

(图源人大网)

系统层面,安卓10、iOS 5之后开始限制APP获取IMEI、MAC、安卓ID等识别码。

依靠【通话权限】获取系统返还IMEI的漏洞也彻底修复,APP只会得到空白信息。

APP早已无法直接从系统中窃取手机识别码,追踪用户。

现在广告商主要依靠OAID(虚拟版IMEI)追踪用户精准投放广告。

OAID是移动安全联盟(中国信通院、华米OV等手机商联合成立)推出的特殊ID,起到保护用户信息及方便广告渠道商的作用。

315点名!这种APP终于还是凉了

(图源移动安全联盟)

手机厂商方面,小米推出空白通行证,vivo研发千镜安全架构,华为上线AI隐私保护功能。

各大厂商各显神通,亮出自家独门的隐私保护方案,力求用户信息安稳无患。

各方的努力构筑起隐私的城墙,只要自己不作死,APP很难偷走我们的信息。

315点名!这种APP终于还是凉了

(图源小米)

另外哔哥给几点建议,帮助大家更好地保护个人信息。

  1. 不要安装第三方APP、破解版APP,优先安装谷歌应用商店的APP(谷歌审核严格,跟苹果有的一拼);
  2. 假如你忍不住要装破解版APP,不要给任何权限;
  3. 禁止一切APP获取敏感权限,通话权限、短信权限、录音权限、通话记录等;
  4. 尽可能使用最新版的系统,防护等级更高;
  5. 隐私保护大招:把手机换成iPhone。

只要你做到第5点,随便浪随便嗨,iOS会替你处理一切。

如果你像哔哥一样在用安卓,那么请乖乖地执行前4点。

没办法,这就是开放的代价。

作者:KM

原文标题:315点名!这种APP终于还是凉了

来源公众号:小雷哔哔(ID:xiaoleibbb),每天哔哔科技圈那些事儿。

本文由人人都是产品经理合作媒体 @小雷哔哔 授权发布,未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
评论
评论请登录
  1. 库克:对不起,我才是内鬼!

    来自浙江 回复
  2. 最后还不忘踩一脚安卓阵营啊

    来自安徽 回复
  3. 写个匹啊,不懂就别发

    来自广东 回复
  4. 不懂就不要写

    来自安徽 回复
  5. 博主不是互联网公司从业者吧?

    来自北京 回复
  6. XD笑死,隐私保护大招:把手机换成iPhone

    来自广东 回复