欢迎访问亿电竞,电竞竞猜系统升级中,如果喜欢请加入收藏 | 设为首页 |

到底是谁出卖了你的隐私?这里还有315晚会没曝光的大厂

隐私 时间:2019-03-17 浏览:
图片来源@视觉中国 钛媒体注: 本文来自微信公众号IT时报(ID:vittimes),作者:孙妍、李蕴坤,钛媒体经授权发布。 315晚会的巅峰,《IT时报》的日常。央视315一整年憋足了劲儿,就等这一天扬眉吐气。今年晚会把目光放在了用户数据和隐私上:探针盒子探取

图片来源@视觉中国

图片来源@视觉中国

钛媒体注:本文来自微信公众号IT时报(ID:vittimes),作者:孙妍、李蕴坤,钛媒体经授权发布。

315晚会的巅峰,《IT时报》的日常。央视315一整年憋足了劲儿,就等这一天扬眉吐气。今年晚会把目光放在了用户数据和隐私上:探针盒子探取用户信息、APP过度收集用户信息、大数据用户画像、精准营销推送、银联闪付功能存隐患…

只是没料到,一条新闻刚放出开头,《IT时报》的编辑群就猜中了结尾,小编也是一口辣条吃进去,如鲠在喉。这央视忙活了一年的选题,在科技互联网通信等方面,本报无一例外,全部详细调查报道过。

当然,这并非影射央视“抄题”,而是央视在晚会中没说出口的、不好说出口的,时报记者都要继续追查。我们的隐私如何成了别人的商品?为什么手机里的App就像串通好了似的,我在A搜了什么,B就会给我推荐什么广告?为什么没授权通讯录,却抖音里看到了失散多年的老同学?

关于探针盒子,我们曾报道《公共场所请关掉WIFi,有人正在“监听”!》,WIFi探针尽管不是什么高超的黑客工具,但简单粗暴的方式让人屡试不爽。一台探针盒子,不管你的WIFi是否连接,它都能获得手机的MAC地址,然后匹配手机号,性别年龄、微博感兴趣话题,手机50天搜索关键词等。

更可拍的是WIFi探针下,你的手机会自动连上WIFi,你在手机登录账号密码时,信息还会明文传递在对方电脑上,如果你的密码是多个账号同时使用,对方通过撞库还能获取你更多隐私信息。目前普通用户能做的就是尽量在公关场所关闭WIFi开关,如果使用了免密WIFi,就要定时进行管理,把相关WIFi删除,降低被攻击的风险。

怕自己银行卡有闪付功能被盗刷怎么办?我们曾报道《银行卡真能被隔空盗刷,快把“小额免密支付”功能关了》,提示用户银联闪付免密功能存在隐患,容易被人隔空盗刷。这些都是默认开通“小额免密支付”功能以及管理混乱的POS机惹得祸。

或许你会说,“我没有开通过免密支付,盗刷与我无关”,事实上这一功能是默认开通的,如果想要关闭,需要到银行线下网点或在官网操作。

不知道哪些APP过度收集用户信息?我们曾报道《在中国,数亿人亲手签下“隐私卖身契”》,实测支付宝、微信、百度等近20款主流APP,并将这些APP所需要的权限一一列出,告诉大家在享受大数据时代带来便利的同时,你的信息也被互联网公司过度使用。

其实除了,上述个人隐私,不经意之间,你的生物隐私信息也正在互联网上“漫天飞舞”,《政协委员拒用人脸识别,一旦泄露,你无法再有第二张脸》告诉你,身份证号、手机号、银行卡号之外,你可能是最后的个人隐私也正接受挑战。

这些曝光只是沧海一粟,人们在网络“裸奔”的景象,让人触目惊心。

到底是谁把用户隐私卖给了那些广告商?是谁让你我成为透明人?他们是通过怎样的链条,向你推荐一条精准互联网广告的?315晚会谢幕了,《IT时报》记者还没完……

一个“爬虫”一个接口让用户裸奔

App是否在偷看我?

施先生是常常出差的“空中飞人”,不管吃饭还是住宿,都要开发票,也经常复制粘贴发票抬头。有一天,今日头条向他推送了“如何在霍尔果斯注册公司”的广告,精准匹配了施先生公司的发票抬头“霍尔果斯某某公司”,施先生开始怀疑,“今日头条是不是在偷看我的剪贴板?”

KEEN公司GeekPwn实验室宋宇昊认为,苹果手机的系统设计允许任何App访问剪贴板,如果用户将一些数据放到剪贴板,再去打开其他App,那么其他App自然而然就会读取剪贴板的内容。比较典型的应用是,如果在微信里要访问淘宝中的某个商品,复制一个淘口令,再打开淘宝的时候会自动导向某个商品。

一位文本数据处理技术专家向《IT时报》记者解释了另一种可能,如今提供免费开票功能的第三方服务公司越来越多,他们如何赚钱?就是通过搜集用户信息、用户行为形成画像。通过公司地址定位到你处于哪个商圈,就会认为你经常在这个商圈点外卖,这个商圈白领最常点的外卖是哪几家,然后外卖平台给你推荐这些商家。

“截图、照片里如果涉及敏感信息,比如身份证、银行卡、签字单据等,都可以被提取出其中的文字信息,如果被别有用心的人拿到,影响不可估量。”他强调。

从技术上来说,用户的信息是如何被获取的?

该技术专家解释,PC端的网站之间共享信息,通常是通过“爬虫”技术。

所谓“爬虫”是指通过技术嵌入进行跨站追踪,比如A在B的网站中加一段代码,用户在B网站的账户信息、行为信息、设备信息等都会实时传回到A。由于不同网站之间需要收集更多的信息完成用户画像,同时A会回馈相应的广告利益给B,因此这种方式因“互惠互利”而在大多数网站间流行。

上海市软件评测中心技术人员向《IT时报》记者解释,App之间的数据共享方式有两种,一种是用同一个SDK(Software Development Kit,软件开发工具包)开发的App之间,可以进行数据共享,当用户登录App时,会向第三方SDK发送数据包,这些数据包里包含了用户的各类信息。另一种是双方开放数据接口,从而实现数据共享。

一个“爬虫”,一个SDK共享接口,就让用户的信息裸奔在互联网上。

一个手机设备号,广告联盟就能追踪你

抖音找回了失散多年的同学

“自从下载了抖音,我竟然找回了失散多年的同学。”陈先生在刷抖音的过程中,无意中发现,抖音竟然向他推送了多位老同学发布的短视频。

惊讶之余,陈先生感到自己的隐私被严重侵犯了,他从未在抖音上注册,一直是以游客的身份在刷抖音,而且,也并未与这几位老同学在微信、QQ等社交媒体上建立联系,唯一的联系就是那个躺在通讯录里、多年未打的电话号码。那么,抖音又是通过什么方式获取了陈先生的通讯录呢?

“手机设备号是最基础的,具有唯一性的标识,就算不注册不登录App,也可以辨别你是谁。A只要拿着陈先生的设备号与B、C、D的数据库一碰,就可以建立关联关系,知道你是谁。”一位安全专家向《IT时报》记者解释,现在很多App都加入了不同的广告联盟,只要你向这个联盟里的App开放过通讯录权限,那么A也能拿到你的通讯录,这就是所谓的数据共享。

一个手机设备号,就可以辨别你是谁,这个信息单元成了各大广告联盟之间进行用户数据追踪的筹码。