“聊啥来啥”用户感觉被“窃听” 个人信息安全如何保护?

VSole2021-10-12 03:29:38

前几天,她和朋友聚会时偶然提起最近脱发特别严重,很苦恼,没想到晚上到家打开手机里的某款购物App,首页就出现了很多护发产品的推送广告,“真是无奈,这种‘怪事’已不止一次了。”

如今,这种“聊啥来啥”的现象让人们在接受“贴心”服务的同时越发感到疑惑:“怎么就这么准?难道是App在‘偷听’我们聊天?”2021年国家网络安全宣传周今天正式启动。个人信息保护再次成为群众关心的热点问题之一。

北京邮电大学计算机学院副教授程祥表示,“从技术层面来讲,只要App获得了访问麦克风的权限,它就可以在后台运行并监听用户语音信息,且在出现某些特定的关键词时,进行记录并上传至自己的服务器,服务器再根据关键词给用户推送相关内容。”但程祥认为这种方式对商家来说风险很大,一旦涉及违规使用用户信息,App开发商将承担严重的后果。

程祥分析,用户有这种“被偷听”的感觉,也可能是由于互联网公司通过收集用户位置信息,对用户进行“画像”造成的。即使用户本人没有搜索行为,App也有可能通过用户在平台里好友搜索的内容,关联至用户本人,从而向其推送广告;或者恰好在某段时间某一类商品特别受追捧,也会向用户推送相关广告。

无论是“偷听”还是基于大数据的“用户画像”,一些手机软件已经在不断触碰用户隐私保护的底线。

仅今年1-7月,工信部就先后公布了6批关于侵害用户权益行为的App名单。其中多涉及“私自收集个人信息”“超范围收集个人信息”“私自共享给第三方”“强制、频繁、过度索取权限”等过度收集个人信息的行为,个人信息安全严重受到威胁。

如何防止个人信息“裸奔”?技术与法律需共同发力。

在技术层面上,程祥建议,手机系统开发商应该为用户建立起防止隐私权限任意被使用的“第一道防火墙”。比如,开发友好的数据安全与隐私保护工具,让用户更加便捷地了解手机中各个App的行为以及权限使用情况并根据个人需要作出相应设置;在操作系统中新增“主动防御”功能,以监控并记录所有App的上传、下载、权限访问等行为,并对其进行分析,一旦发现可疑行为即弹窗提醒用户。

就App开发商而言,目前许多软件尤其是社交类App通常都会分析用户的“关注”“收藏”“评论”“转发”“点赞”“分享”等操作记录,用于提供个性化内容。但中青报·中青网记者在采访中发现,对个人隐私保护要求较高的用户其实并不希望自己在软件中的所有操作记录被App收集并利用,甚至有时对推送的广告并不感兴趣。

对此,程祥建议,除手机操作系统中已有的“电话”“位置信息”“通讯录”“麦克风”“相机”等隐私权限设置,“关注”“收藏”“评论”“转发”“点赞”“分享”等这些App里具体的功能,用户也应有自己的管理权限。App想获取用户的这类操作记录,也须征得用户同意。

近年来,我国针对个人隐私保护的法律法规不断完善,今年11月1日,个人信息保护法即将施行。西安交通大学法学院副教授王玥认为,个人信息保护法进一步细化和完善了不同类型的个人信息安全保护规范,将从源头上防止个人信息数据被过度收集和利用现象的发生。但完成立法只是第一步,接下来还要从具体事实和场景出发,制定配套法规等,才能将法规落到实处。

中国社会科学院法学研究所博士后徐玖玖建议,对于App过度收集和利用个人信息行为,用户可以收集和固定相关证据,向网信部门、市场监管部门或消费者权益保护协会进行投诉举报,涉及违法犯罪行为应向公安机关报警。此外,用户在安装和使用App时,应对其申请位置信息、摄像头、麦克风、通讯录、相机等权限谨慎开启,对于不需要的授权申请予以拒绝,以保护自身隐私信息安全。

信息安全软件
本作品采用《CC 协议》,转载必须注明作者和本文链接
信息安全产业是四川的特色产业。近日,《四川省“十四五”信息安全产业发展规划》正式出台,将推动四川省信息安全产业发展,为数字经济发展保驾护航。11月22日,省经信厅召开新闻发布会,对《规划》进行解读。
云评估作为确保中国政府和关键基础设施领域云平台安全的重要措施,云平台的供应链安全也将会成为云评估关注的重点之一。
双方将结合各自业务优势,进行能力融合,共同携手推出全方位解决方案。
《安全要求》给出了软件供应链安全保护目标,规定了软件供应链组织管理和供应活动管理的安全要求;适用于指导软件供应链中的需方、供方开展组织管理和供应活动管理,可为第三方机构开展软件供应链安全测试和评估提供依据,也可为主管监管部门提供参考。
软件产品和服务关系生产、生活的各个方面,软件供应链安全直接影响社会的稳定运行。
随着软件技术的飞速发展和软件开发技术的不断进步,软件开发和集成过程中常会应用第三方软件产品或开源组件,其供应链中软件的安全性和可靠性逐步成为软件产业面临的重要安全问题。近年来大量涌现的软件供应链安全事件则具有不同的特点,攻击软件供应链相较于攻击软件本身,难度和成本显著降低,影响范围一般显著扩大,并且由于攻击发生后被供应链上的多次传递所掩盖,难以被现有的计算机系统安全防范措施识别和处理。
工业信息安全快讯
针对软件供应链的网络攻击,常常利用系统固有安全漏洞,或者预置的软件后门开展攻击活动,并通过软件供应链形成的网链结构将攻击效果向下游传播给供应链中所有参与者。近年来,软件供应链网络攻击事件频发,影响越来越大。据 Accenture 公司调查,2016 年 60% 以上的网络攻击是供应链攻击。装备软件供应链安全事关国家安全、军队安全,一旦出现安全风险将会给国家和军队带来重大安全挑战,产生的后果不堪设想。
各类攻防演练的结果证明,软件供应链攻击已成为投入低、见效快、易突破的有效方式。总体思路与原则:合规是底线,管理是准则,制度是要求,技术是支撑,服务是保障,流程是协作。安全管理制度的建立,能够规范软件供应链涉及的内部、外部角色的行为,同时提供制度性保障。其次,针对软件开发各阶段与存在的风险,引入对应的安全能力,提供技术支撑,确保安全质量。
VSole
网络安全专家