智能時代 " 楚門的世界 " 正上演?
傢居、出行等智能化的快速發展,讓生活變得更加便捷,然而與此同時,便利的智能設備也讓隱私問題亮起瞭紅燈。2017 年以來,不斷有媒體曝出 360 水滴平臺直播全國多所學校、幼兒園,商用店鋪直播路人、傢用攝像頭畫面被竊取、盜賣的新聞,直到年底時,一篇《一位 92 年女生致周鴻禕:別再盯著我們看瞭》的文章,直指 360 水滴直播泄露用戶隱私,激發瞭公眾的情緒點。
此外,傢住杭州的胡女士對此有瞭親身經歷。根據報道,胡女士像往常一樣打開手機,想要查看下傢裡的狀況,突然發現攝像頭動瞭。而據胡女士介紹,傢裡的攝像頭隻綁定瞭她一個人的手機號,還設置瞭較為復雜的密碼,在她沒有操作的情況下理論上不可能會動的,於是她趕忙打開手機操作界面,竟然發現攝像頭操作界面觀看人數為兩人。
在一個逐漸以物聯網為基礎設施,智能化傢居產品逐漸搭建和完善的時代,數據正不可避免地成為富有價值的資源,同時也被各方覬覦著,危機四伏。那些本用來防盜、看管寵物、照料小孩用的智能攝像頭,竟然出現瞭成百上千陌生的眼睛,在偷窺著你的傢,侵犯著你的隱私。
智能生活的背後藏著多少不為人知的隱患?
那麼,市場上的智能產品安全性究竟如何,提供網絡安全解決方案的專業人士白帽匯創始人趙武為我們進行瞭現場演示。
白帽匯創始人趙武指出,物聯網設備對於升級的成本要求很高,比如固件升級需要通過傢庭人為地下載軟件,裝在電腦上插入數據線,與物聯網設備進行連接,然後實現升級,而這往往會導致漏洞修復周期變得很長。
據介紹,隻要接入到公網的設備,都有可能被入侵。
趙武也指出,聯網分兩塊,一個是局域網絡,例如在智能傢居中添加一個路由器控制電冰箱或掃地機器人,這隻是基於本地進入傢裡的手機管理,不存在問題,因為這是脫離互聯網環境的。但如果用戶同時還需要在辦公室去查看傢裡的寵物,甚至老人的照顧情況,這實際需要聯上互聯網,而聯上互聯網的狀況則會為它帶來很大的威脅。
" 因為這個過程從私有化的網絡接入瞭公網,而在整個公網環境中,黑客是可以訪問全球所有網絡的,這會導致提供給瞭黑客介入的入口 ",趙武解釋到。
除瞭智能設備之外,近期曝光的手機 APP 越界使用用戶權限,更讓我們看到信息竊取正無孔不入地滲透到生活中。
最近,江蘇省消費者權益保護委員會指出,手機百度、百度瀏覽器兩款手機 APP 在消費者安裝前,未告知其所獲取的各種權限及目的,在未取得用戶同意的情況下,獲取諸如 " 監聽電話、定位、讀取短 / 彩信、讀取聯系人、修改系統設置 " 等各種權限,並提起瞭公益訴訟。盡管百度對此回應,手機應用沒有能力、也從來不會申請 " 監聽電話 " 權限,然而關於其它權限的質疑並未詳細回應。
本月 11 日,工信部信息通信管理局更是約談瞭百度、支付寶和今日頭條,指出三傢企業均存在用戶個人信息收集使用規則、使用目的告知不充分的情況,並要求三傢企業進行整改。
國傢信息中心軟件評測中心質量總監袁藝勻指出,目前關於移動應用軟件檢測有一些相關的標準,如身份鑒別、軟件的合規性檢查等要求;但是暫時還沒有正式發佈的國傢標準。" 目前在它的合規性方面,安卓上有很多的安全廠商在進行合規性的把關,蘋果則是由其官方通過應用商店進行把關。"
趙武強調,政府要求各個 APP 的廠商進行實名制,但是這些廠商絕大部分缺乏安全能力,於是就出現瞭企業把用戶的信息搜集過來,但卻又保護不住,這是在規模小的 APP 廠商中大量存在的問題。
而在生活中,互聯網技術發展對個人隱私帶來的挑戰以各種偽裝面貌,出其不意地祭出招數,讓人防不勝防。今年伊始,支付寶推出的個性化 "2017 支付寶年度賬單 " 以暖心的文風走紅朋友圈,然而就在不少網友曬出自己的賬單時,很快就有律師指出支付寶與芝麻信用存在 " 授權漏洞 ",網友紛紛 " 被同意瞭 "。
北京市嶽成律師事務所高級合夥人嶽屾山向記者介紹,作為企業來講,它在收集客戶信息或者要求用戶接受服務時,應該有十分明顯的標識進行提示,告知用戶這裡有一個服務協議,其次,企業還不能夠替用戶進行 " 選擇 ",而交由用戶決定同意與否,這其中涉及到用戶的知情權和選擇權問題。
與此同時,有媒體通過對 20 款 APP 實測發現,當用戶在安裝 APP 時手機界面彈出的提示開通權限申請中,有不少 APP 涉及隱私權限不全,多款 APP 開啟與主業無關的敏感權限,團購 APP 未明示下開啟多項隱私權。
對此,嶽屾山認為,根據《網絡安全法》、《消費者權益保護法》等涉及網絡個人信息保護的政策中,都提到企業收集用戶信息時需要遵循幾個原則:合法、正當以及必要,而且需要取得用戶的同意,也就是說企業在收集信息時應該是與企業業務本身或者為用戶提供服務本身是有必要聯系的。
誰在售賣我們的隱私?
隨著我們的個人信息被 " 竊取 ",網絡上倒賣個人隱私黑色產業正猖獗發展。通過鏡頭,我們可以清楚看到在多個 QQ 群中,以 " 攝像頭 "、" 直播 " 為關鍵詞的隱私販賣消息在不斷刷屏。甚至在一些群中,攝像頭 IP 地址還被群主作為聚攏人氣的禮物,免費向群員發放。而正是這些 IP 地址,滿足瞭不少人的窺視欲。
根據專業人士分析,用戶信息泄露其實存在兩種情況。一種是由於智能設備產品漏洞較多,安全性低,極易遭受到黑客的攻擊,而造成信息被盜取。
袁藝勻指出,從目前評測的情況來看,金融、電力、醫療、衛生以及電信行業對安全性要求非常高,而且它們在安全防護和安全檢測方面投入也比較大,而日常消費品,尤其是新興起來的智能傢居的相關產品受到的攻擊比較多。
在趙武看來,智能傢居目前的安全問題完全不設防,源自於漏洞問題沒有解決。
" 一方面,廠商基於維護的考量,在遠程管理方面會設置很多預置賬戶,當黑客反逆向得到這個賬號之後就可以遠程登錄設備;其次,一些物聯網設備在出廠時通常會有一個默認賬號口令,用戶在接到設備後很長時間內卻不會修改賬號口令;第三方面,很多物聯網設備會連入雲平臺,但是目前不少雲平臺存在漏洞,黑客可以遠程控制這些設備。"
除瞭安全漏洞因素泄露的信息外,還有一類企業則是刻意要窺探用戶信息,為瞭他們所說的客戶畫像,精準營銷。從攜程捆綁銷售酒店優惠券、在訂票信息下隱藏保險選項,到支付寶年度賬單事件,互聯網企業使出各種招數 " 潛入 " 我們的隱私中。
根據記者觀察,目前網絡上爆出的各種數據安全的例子讓人眼花撩亂,瞠目結舌:" 電視和手機連接同一個路由器,你的瀏覽信息就可以被企業通過廣告聯盟共享 "、" 應用軟件竊聽麥克風權限,推送相關內容 " 等,這些爆料真實性有待考究,但網友對於隱私侵犯帶來的焦慮感可見一斑。
嶽屾山表示,隨著互聯網快速發展,很多企業把用戶信息視作一筆巨大的財富。"用戶最近搜索瞭哪些內容,這些對於一些企業來講可能是非常有用的信息,企業可以根據這些信息進行定向的廣告推送,而且是非常精準地推送給用戶,降低瞭廣告誤發或者大范圍發放的成本。因此,很多企業盡可能多地搜集用戶信息,而且企業也會表示在用戶協議裡已經寫的很明確瞭,也告知瞭用戶,用戶同意瞭才進行收集,目前來講這其實是處於一個野蠻的狀態。"
竊取易 取證難:誰來保護我們的信息?
有專業人士指出,通過深度數據解析、網絡通訊行為分析等技術手段可以檢測到應用程序是否涉嫌收集、加工用戶的隱私信息,然而,這種技術老百姓根本不具備。
" 老百姓是弱勢的,隻有兩種選擇,一種是棄用,但這其實是不可能的,用戶正因為想用才安裝,因此最後隻能被動接受條款。另一種是安裝瞭,但在後面系統調用權限時,用戶認為有不合理的地方,但企業則會辯稱安裝的時候已經明確告知,用戶安裝後那就是個人的責任。"
生活中,給孩子報個輔導班就會收到個輔導班電話,開個銀行賬戶,會有多條推薦貸款的信息進來。當我們發現隱私被泄露或者超出合理范圍被企業收集,可以提起訴訟維護權益,但是卻面臨取證難的問題。
嶽屾山指出,現在信息泄露的途徑太多瞭,很難找到一個辦法證明信息是由誰泄露出去的。
" 這些企業把用戶的信息收集走瞭之後,很難知道這個信息是保管好瞭還是被賣掉瞭,這一點消費者很難舉證,也很難證明兩者之間的關系,法院也沒有辦法判斷,這是最難的一個事情。
袁藝勻也提到,像電力、金融以及電子政務這些行業是有政策文件明確要求的,必須要做安全檢測,而智能傢居目前沒有強制性的政策要求,也沒有正式發佈相關的標準和規范。
"現在智能傢居,例如攝像頭、智能門鎖、機器人以及智能玩具也直接關系到瞭人們的財產安全和生命安全,所以很有必要在這方面加強準入檢測的要求。"
信息不再 " 裸奔 " 需要通力合作
然而,智能與安全性是硬幣的兩面。大數據時代,包括個人信息在內的數據通過流動、共享發揮出社會價值、經濟價值,而這些數據在流動過程中,極易產生信息泄露的風險。在智能生活中你享受的便利越多,信息暴露的可能性就越大。
《智能時代》作者、矽谷著名投資人吳軍在做客節目時也指出,智能時代下隱私保護是件挺難解決的問題。
吳軍介紹," 這是很有趣的一件事,一方面我們都擔心自己隱私泄露,另一方面我們自己是泄密者。我在矽谷做過調查,假設一頭是百分之百保護隱私,將互聯網全斷掉,這樣就失去瞭方便性;另一頭是完全開放,就是說完全不在乎隱私。大部分人會選擇中間,這是大部分人的想法。但是在問他們一些問題的時候,他們實際上的選擇是放棄隱私。90% 到 95% 的人要求方便性而放棄瞭隱私,他們不知不覺中就做出瞭選擇。"
去年是《國傢網絡安全法》實施第一年,明確規定要加強個人信息保護,為個人信息保護提供瞭法律依據。根據《2017 年度網絡隱私安全及網絡欺詐行為分析報告》,安卓應用在下半年越界獲取用戶隱私權限的比例明顯下降,而 IOS 應用獲取的用戶手機隱私權限比例則有所上升,達到 81.9%;同時,伴隨著個人隱私的泄露,網絡詐騙等違法犯罪行為緊隨而來,幾乎每 6 個騷擾電話中就有 1 個詐騙電話。數據安全仍然任重道遠。
作為個人信息保護的第一責任人,對於用戶來講,首先要做的就是註意保護好自身的數據信息安全。趙武認為保護自身信息安全方法有三種,一個是通過隔離網絡,第二個通過升級補丁,第三個則是通過部署一些安全的防護設備。
" 其實有個很重要的防護手段,就是盡量不要去接入互聯網,非必要的業務不要去接入互聯網。通過跟蹤或者是及時修補安全漏洞來完成一次安全的升級,這就要求電腦已經習以為常瞭,裝防病毒,進行補丁的自動化更新。"
另一方面,也需要企業行為自律,以及尋求更專業的安全企業進行合作,定期對漏洞進行檢測、修復。
袁藝勻表示,從對企業檢測的角度來講,需要全面考慮服務端、網關、通信協議、終端,以及移動應用軟件的安全性。另一方面,產品說明書對於安全設置的易理解性,以及設備安全配置本身的易操作性也要加強註意。
" 真正要提升智能傢居設備的安全性的話,它是一個非常系統的工程,可能首先相關的機構在物聯網和智能傢居設備安全性方面,它得有相關的標準、規范,然後廠商要按照這些標準規范去生產,這個過程中可能還會需要質檢機構進行檢測。"
嶽屾山則倡議相關部門出臺一個比較明確的細則或規范,來指導互聯網企業在收集信息時應該使用什麼樣的文本和語言去告知消費者。
" 現在有的人很悲觀的說,我現在已經裸奔瞭,一傢企業不收集也有其他傢企業收集,因此沒有必要較這個真。但是我想說的是,即便我們現在是裸奔的狀態,但我不希望再過十年或者二十年,等我們的孩子長大瞭依然處在裸奔的狀態,所以,有些工作現在就需要去做。"
本文系未央網專欄作者 : 第一財經《解碼新金融》 發表,內容屬作者個人觀點,不代表網站觀點,未經許可嚴禁轉載,違者必究!
