一年前幾乎引起全民共憤的網(wǎng)絡(luò)詐騙——“徐玉玉案”,7月19日迎來(lái)了一審判決。
同一天,騰訊社會(huì)研究中心與DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布了《網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為研究分析報(bào)告(2017年一季度)》(下稱報(bào)告),這份報(bào)告顯示,個(gè)人隱私保護(hù)依舊路途遙遠(yuǎn),手機(jī)APP越界獲取個(gè)人信息已經(jīng)成為網(wǎng)絡(luò)詐騙的主要源頭。
這份報(bào)告披露了一組數(shù)據(jù):
高達(dá)96.6%的Android應(yīng)用會(huì)獲取用戶手機(jī)隱私權(quán)!而iOS應(yīng)用的這一數(shù)據(jù)也高達(dá)69.3%。
用戶更需警惕的是,25.3%的android應(yīng)用存在越界獲取用戶手機(jī)隱私權(quán)限的情況。
基于手機(jī)應(yīng)用的隱私竊取,給用戶帶來(lái)極大的安全隱患,比如詐騙案件、甚至生命財(cái)產(chǎn)安全等風(fēng)險(xiǎn)。網(wǎng)絡(luò)詐騙也因此成為詐騙案的重災(zāi)區(qū)。
報(bào)告披露,今年一季度詐騙案件達(dá)25.3萬(wàn)件,其中網(wǎng)絡(luò)詐騙占比達(dá)85.6%。
DCCI創(chuàng)始人胡延平表示,已經(jīng)到了需要從源頭重視越界獲取個(gè)人隱私的時(shí)候。解決越界獲取個(gè)人隱私問題需要形成長(zhǎng)效機(jī)制。企業(yè)、用戶和監(jiān)管需形成一個(gè)體系共同解決問題。
Android和ios手機(jī)誰(shuí)更安全?
移動(dòng)互聯(lián)網(wǎng)和智能手機(jī)的普及,各類手機(jī)應(yīng)用(APP)應(yīng)運(yùn)而生。針對(duì)手機(jī)應(yīng)用給用戶隱私帶來(lái)的隱患,DCCI聯(lián)合騰訊社會(huì)研究中心進(jìn)行隱私安全測(cè)試,并發(fā)布了該份報(bào)告。
本次研究隱私安全部分采取應(yīng)用測(cè)試的方式,測(cè)試對(duì)象為Android手機(jī)應(yīng)用及iOS手機(jī)應(yīng)用。其中Android手機(jī)應(yīng)用測(cè)試數(shù)量為813個(gè),iOS手機(jī)應(yīng)用測(cè)試數(shù)量為300個(gè)。
報(bào)告調(diào)查發(fā)現(xiàn),96.6%的Android應(yīng)用獲取用戶手機(jī)隱私權(quán)限。其中常用工具所占比例最大,達(dá)24.7%,網(wǎng)絡(luò)游戲次之,占比達(dá)22.0%。25.3%的Android應(yīng)用存在越界獲取用戶手機(jī)隱私權(quán)限的情況。
越界獲取隱私權(quán)限是指手機(jī)應(yīng)用在自身功能不必需的情況下獲取用戶隱私權(quán)限的行為。
69.3%的iOS應(yīng)用獲取用戶手機(jī)隱私權(quán)限,但在iOS版本手機(jī)中,系統(tǒng)提供隱私權(quán)限管理自助設(shè)置服務(wù)功能,應(yīng)用越界獲取隱私權(quán)限受到了極大制約。
越界獲取用戶隱私會(huì)帶給用戶哪些風(fēng)險(xiǎn)?
手機(jī)應(yīng)用越界獲取用戶隱私權(quán)限會(huì)帶來(lái)巨大的安全風(fēng)險(xiǎn)隱患。報(bào)告提示,惡意軟件獲取相應(yīng)權(quán)限后,將帶來(lái)如下風(fēng)險(xiǎn):
1、隱私信息被竊取
用戶存在手機(jī)里的隱私資料、照片就會(huì)被肆意查看、竊取,或會(huì)對(duì)用戶造成不可挽回的損失。
2、用戶經(jīng)濟(jì)損失
隨意訪問聯(lián)系人、短信、記事本等應(yīng)用,可以查看到用戶的銀行卡賬號(hào)密碼等信息,從而對(duì)用戶造成經(jīng)濟(jì)損失;其中最常見的,就是用戶手機(jī)話費(fèi)被暗扣和銀行賬號(hào)支付賬號(hào)被盜。
3、用戶信息被用于網(wǎng)絡(luò)詐騙
以用戶的名義參與到網(wǎng)絡(luò)詐騙事件中,會(huì)造成用戶的名譽(yù)損失和不必要的麻煩,同時(shí)危及到用戶身邊的家人同事同學(xué)。
4、用戶被惡意營(yíng)銷
獲知用戶的聯(lián)系方式或地理位置等信息后,存在對(duì)用戶進(jìn)行惡意營(yíng)銷的可能,造成垃圾廣告的泛濫和對(duì)用戶不必要的騷擾。
5、手機(jī)卡頓現(xiàn)象嚴(yán)重
侵犯用戶財(cái)產(chǎn)、竊取用戶隱私的同時(shí),也會(huì)讓手機(jī)運(yùn)行緩慢,造成手機(jī)卡頓嚴(yán)重等現(xiàn)象。
6、手機(jī)套餐資源被消耗
濫發(fā)短信、彩信,消耗流量等資源,會(huì)造成用戶手機(jī)套餐資源被不必要占用,形成手機(jī)資源浪費(fèi)。
該報(bào)告將Android手機(jī)應(yīng)用常見隱私權(quán)限按照風(fēng)險(xiǎn)程度的不同可分為三種級(jí)別:核心隱私權(quán)限、重要隱私權(quán)限及普通隱私權(quán)限三大類。
通常手機(jī)應(yīng)用通過(guò)“訪問聯(lián)系人”、“獲取手機(jī)號(hào)”、“讀取短信記錄”、“讀取通話記錄”等通訊信息,獲取用戶的核心隱私權(quán)限;
通過(guò)“發(fā)送短信”、“撥打電話”、“打開攝像頭”、“使用話筒錄音”等獲取用戶的重要隱私權(quán)限;
普通隱私權(quán)限更為常見,通過(guò)允許“打開WIFI”、“打開藍(lán)牙”、“打開數(shù)據(jù)網(wǎng)絡(luò)”等不經(jīng)意的操作獲取這一權(quán)限。
不同級(jí)別的隱私權(quán)限會(huì)給用戶帶來(lái)不同程度的風(fēng)險(xiǎn)和安全隱患。
核心隱私權(quán)限的惡意獲取嚴(yán)重時(shí)會(huì)危及用戶財(cái)產(chǎn)甚至人身安全,重要隱私權(quán)限的惡意獲取會(huì)給網(wǎng)絡(luò)欺詐制造機(jī)會(huì),對(duì)用戶的財(cái)產(chǎn)造成威脅,普通隱私權(quán)限風(fēng)險(xiǎn)最低,比如消耗手機(jī)流量。
胡延平總結(jié),目前APP越界獲取用戶個(gè)人隱私有6大特征:
越界獲取個(gè)人隱私的比例在下降,但造成的后果在上升。
應(yīng)用開發(fā)者等業(yè)界,對(duì)越界侵權(quán)從不當(dāng)回事,到現(xiàn)在比較慎重。
用戶正從無(wú)意識(shí)到有意識(shí),但還遠(yuǎn)遠(yuǎn)不夠,很少查看APP讀取信息的情況。
數(shù)據(jù)絕對(duì)值在下降,但網(wǎng)絡(luò)成為詐騙的主要場(chǎng)所;ヂ(lián)網(wǎng)無(wú)法回避這個(gè)問題,包括內(nèi)鬼問題。
信息泄露是分分鐘的事。到了需要從源頭重視越界獲取個(gè)人隱私的時(shí)候。越界獲取個(gè)人信息已成為網(wǎng)絡(luò)詐騙的源頭。
解決越界獲取個(gè)人隱私問題到了需要形成長(zhǎng)效機(jī)制的時(shí)候。企業(yè)、用戶和監(jiān)管需形成一個(gè)體系共同解決問題。數(shù)據(jù)是基礎(chǔ),但是要由規(guī)則和邊界。否則,當(dāng)數(shù)據(jù)被不法分子掌控的時(shí)候,就為時(shí)晚矣。
Android應(yīng)用白名單和灰名單
經(jīng)過(guò)測(cè)試,報(bào)告提供了Android應(yīng)用隱私安全白名單。包括10大類共100款A(yù)ndroid應(yīng)用。通訊類有微信、QQ、微博、百度貼吧、飛信等,影音娛樂有騰訊視頻、優(yōu)酷、愛奇藝QQ音樂等。
報(bào)告還給出了一份包括 10個(gè)應(yīng)用的隱私安全灰名單,分別是號(hào)簿助手、微桌面、Hola桌面、追書神器、4399游戲盒、微鎖屏、粉粉日記、愛閱讀、雷霆戰(zhàn)機(jī)、KingRoot。
如何防止手機(jī)應(yīng)用“竊取”你的用戶隱私?
報(bào)告給出了一份移動(dòng)應(yīng)用隱私權(quán)限用戶管理手冊(cè):
1、提高用戶隱私權(quán)限的安全認(rèn)知意識(shí)
用戶應(yīng)重視手機(jī)隱私權(quán)限的安全風(fēng)險(xiǎn)和隱患,在APP的下載安裝和使用時(shí)提高警惕,有意識(shí)的甄別掉可疑APP。
2、從正規(guī)渠道下載手機(jī)應(yīng)用
部分開發(fā)者存在越界獲取用戶手機(jī)隱私權(quán)限,并利用拿到的用戶隱私信息換取利益的現(xiàn)象。想要盡量避免下載他們開發(fā)的APP,防止來(lái)路不明的APP對(duì)用戶隱私信息造成侵害,可從手機(jī)官方應(yīng)用商店、互聯(lián)網(wǎng)大企業(yè)的應(yīng)用商店等具備企業(yè)公信力的渠道下載安裝使用。
3、積極管理手機(jī)隱私權(quán)限
絕大多數(shù)APP都較為安分守己,只獲取需要保證功能正常使用的隱私權(quán)限,但少數(shù)APP會(huì)越界獲取隱私權(quán)限。建議用戶APP安裝時(shí)把重要的隱私權(quán)限統(tǒng)統(tǒng)禁止,在以后提示確實(shí)需要相關(guān)的隱私權(quán)限時(shí)再允許APP獲取。
《互聯(lián)網(wǎng)時(shí)代》總導(dǎo)演石強(qiáng)建議用戶,使用APP時(shí)一定要多想一步,盡量查看每個(gè)APP的權(quán)限,關(guān)掉不必要權(quán)限,使用時(shí)再打開。
4、常用安全軟件和隱私保險(xiǎn)箱
在正規(guī)渠道下載類似騰訊手機(jī)管家的隱私權(quán)限保護(hù)工具,可協(xié)助用戶甄別并關(guān)閉那些不必要不需要的權(quán)限,使用戶管理起隱私權(quán)限更方便快捷。
網(wǎng)絡(luò)詐騙占詐騙案比例超8成,6招制勝
“一段20秒的色情視頻背后的黑產(chǎn)業(yè)鏈條就高達(dá)6億元!”
騰訊安全管理部門副總監(jiān)李鍵均以色情詐騙舉例介紹網(wǎng)絡(luò)詐騙的操作手段和巨大黑色利益。這涉及到四個(gè)環(huán)節(jié)。第一個(gè)是色情APP的制作,對(duì)源代碼技術(shù)開發(fā)門檻非常低。第二個(gè)是完成支付對(duì)接。第三最重要讓人知道這個(gè)APP,網(wǎng)上推廣環(huán)節(jié)。第四就是變現(xiàn),通過(guò)各種方式扣費(fèi)充值。
李鍵均還透露, 騰訊安全管理部剛配合湖南長(zhǎng)沙警方在柬埔寨破了一個(gè)裸聊敲詐案件,抓獲74個(gè)犯罪嫌疑人押送回國(guó)。一個(gè)窩點(diǎn)大概30來(lái)人,一個(gè)月獲利是240萬(wàn),簡(jiǎn)直是一本萬(wàn)利,比賣毒品還賺錢。而受害者主要是大學(xué)教授、中學(xué)老師等高知人群。
正由于網(wǎng)絡(luò)和移動(dòng)互聯(lián)網(wǎng)的普及,用戶隱私被侵犯越來(lái)越頻繁,網(wǎng)絡(luò)詐騙已成為詐騙案的重災(zāi)區(qū)。全國(guó)專線報(bào)案數(shù)據(jù)顯示,2017年第1季度總詐騙案件數(shù)量達(dá)25.3萬(wàn)件,其中來(lái)自網(wǎng)絡(luò)的案件數(shù)量達(dá)216780件,占比達(dá)85.6%;涉案總金額達(dá)33.4億元,其中來(lái)自網(wǎng)絡(luò)的涉案金額達(dá)25.2億元,占比達(dá)75.4%。
在不同類型的網(wǎng)絡(luò)詐騙案件中,網(wǎng)絡(luò)購(gòu)物詐騙和網(wǎng)絡(luò)商業(yè)投資行為中的詐騙案件共占據(jù)80%,其中網(wǎng)上購(gòu)物詐騙占比最高達(dá)59%。
針對(duì)高發(fā)的網(wǎng)絡(luò)詐騙,報(bào)告中的《網(wǎng)絡(luò)詐騙用戶防護(hù)手冊(cè)》提出了六條具體防范建議:
1、遠(yuǎn)離黃賭毒相關(guān)網(wǎng)站
2、勿使用來(lái)路不明安裝包
3、熟人生人不輕信,財(cái)產(chǎn)行為長(zhǎng)點(diǎn)心
4、下載安裝安全軟件
5、購(gòu)物選靠譜的官方網(wǎng)站
6、個(gè)人信息輕易不要泄露
除了用戶提高警惕,注意防范,與會(huì)專家一致建議,除了個(gè)人提高安全意識(shí)外,還要完善法律和制度設(shè)計(jì)來(lái)保護(hù)個(gè)人隱私。
專家解讀:
中國(guó)社科院法學(xué)所研究員周漢華:
今天是徐玉玉案宣判的日子,徐玉玉這個(gè)案子再過(guò)幾年大家更深刻認(rèn)識(shí)到,這個(gè)案子對(duì)中國(guó)在信息保護(hù)方面,打擊電信詐騙方面是里程碑的作用。
徐玉玉案已經(jīng)對(duì)整個(gè)國(guó)家層面制度建設(shè)發(fā)揮了很大影響,包括網(wǎng)絡(luò)安全法的制定,包括公安部等多部委打擊電信詐騙部級(jí)聯(lián)席會(huì)議的運(yùn)作機(jī)制。
最近連續(xù)幾個(gè)大案子的破獲,3月份破獲的網(wǎng)絡(luò)詐騙案涉及到50億條個(gè)人信息,人均5條,我們?cè)谧臒o(wú)人幸免。國(guó)際上,去年的互聯(lián)網(wǎng)報(bào)告,發(fā)達(dá)國(guó)家兩年半一共涉及到個(gè)人信息泄露是40億條,我們一個(gè)案子就50億條,前幾天又打掉一個(gè)20多億條,問題已經(jīng)非常嚴(yán)重。
現(xiàn)在手機(jī)里面所蘊(yùn)含的價(jià)值,遠(yuǎn)遠(yuǎn)大于你房子的價(jià)值。有人沖到你房子里面去得不到什么。 80后、90后,要么月光族,要么不用現(xiàn)金,沖到你房子里沒有什么。但如果通過(guò)任何一個(gè)渠道進(jìn)入到你的手機(jī),你的名譽(yù),你的財(cái)產(chǎn),你的聲譽(yù),統(tǒng)統(tǒng)處在危險(xiǎn)當(dāng)中。我們手機(jī)承載的是你所有。手機(jī)里面全是APP,任何一個(gè)APP都可以進(jìn)入到你的手機(jī)。
法律規(guī)定是什么?就是三條:合法、正當(dāng)、必要。
《互聯(lián)網(wǎng)時(shí)代》總導(dǎo)演石強(qiáng):?這個(gè)時(shí)代用得最多的詞就是“生態(tài)”,所謂“生態(tài)”就是非常多的細(xì)胞和個(gè)體組合成一個(gè)相互影響、相互作用、并且產(chǎn)生新的可能性的體系。
既然是生態(tài),國(guó)外通常說(shuō)“四位一體”,個(gè)人、政府、企業(yè)、行業(yè)協(xié)會(huì),形成共治,各自承擔(dān)各自的責(zé)任,非常明確地用法規(guī)表示,或變成一些操作中的具體規(guī)定,把握“下限”。企業(yè)則是需要不斷提升“上限”,用戶是需要增強(qiáng)意識(shí),不僅僅停留在意識(shí)層面,還應(yīng)思考用戶也應(yīng)去承擔(dān)什么樣的責(zé)任、可以行使什么樣的權(quán)利?責(zé)任背后就是權(quán)利,如何參與到共治之中,如何面對(duì)海量的人、信息,海量不斷跳轉(zhuǎn)的東西,只有一條出路,就是技術(shù)。從這個(gè)角度來(lái)講,對(duì)于服務(wù)安全,應(yīng)向用戶提供安全性或者一定的保護(hù)性。隱私范疇也需不斷地考量界定,重要隱私、核心隱私等等,重新界定隱私邊界的同時(shí),它的重要性也在變化。一個(gè)普通的電話號(hào)碼,一個(gè)指紋開鎖,和其他信息一旦進(jìn)行匹配,就可能涉及到的你的錢包、聲譽(yù)或關(guān)系網(wǎng)絡(luò)。
騰訊安全管理部副總監(jiān)李鍵均:
分享下關(guān)于色情詐騙黑產(chǎn)領(lǐng)域做的手法還原。
我們前段時(shí)間跟大連警方和武漢警方兩地警方共同打擊色情詐騙誘導(dǎo),這短短20秒黑產(chǎn)凍結(jié)資金6000萬(wàn),整個(gè)黑產(chǎn)鏈條達(dá)到6個(gè)億。
這涉及到四個(gè)環(huán)節(jié):第一個(gè)環(huán)節(jié)是色情APP的制作,色情APP制作對(duì)源代碼技術(shù)開發(fā)門檻非常低。
下一個(gè)環(huán)節(jié)是完成詐騙的閉環(huán),支付,F(xiàn)在支付平臺(tái)對(duì)于介入門檻也很低,一套三證在網(wǎng)絡(luò)黑市上只需要1000——1500塊錢就可以買到。
第三個(gè)是網(wǎng)上推廣環(huán)節(jié),包括廣告主,網(wǎng)站主和廣告聯(lián)盟,形成利益共享。
第四塊就是變現(xiàn)?圪M(fèi)、充值是變現(xiàn)的主要方式。還有很多方式,把色情APP做成木馬病毒植入你手機(jī)里面。
DCCI互聯(lián)網(wǎng)研究院院長(zhǎng)劉興亮:
騰訊可以聯(lián)合一些互聯(lián)網(wǎng)公司形成一個(gè)行業(yè)標(biāo)準(zhǔn),工具類、社交類的軟件,哪些不應(yīng)讀取隱私信息,可設(shè)立用戶舉報(bào)機(jī)制,超出一定權(quán)限的就進(jìn)行下架處理。? 另外,第三方研究機(jī)構(gòu)可定期發(fā)布一些分析報(bào)告,比如排名前100的APP,哪些公司“干了壞事”,可以公布出來(lái),通過(guò)媒體的力量施壓。?更重要的還是要堵住問題源頭,目前我們的網(wǎng)絡(luò)安全,平臺(tái)、法律,各方面的防范都比較滯后,應(yīng)增強(qiáng)個(gè)人防護(hù),擦亮慧眼,認(rèn)清讀取哪些信息可能帶來(lái)危害。