“手机应用会偷偷打开录音功能窃取用户消息这已经是行业公开的秘密了,但利益牵连实在太广,不太方面细聊。”一位网络安全从业者因利益相关性婉拒了采访。
8月15日,360集团董事长兼CEO周鸿祎在访谈节目中谈到个人隐私泄露话题时表示,应关注互联网厂商搜集和使用用户数据的方式是否正当。周鸿祎称,有的手机软件会打开用户摄像头或麦克风偷偷录音,从中找关键词试图匹配用户明天的兴趣爱好。他称自己也遇到过类似情况,但不指名字了。
周鸿祎认为从很多消费者描述的情况来看,被窃取的数据应该是被转卖了,但现在缺乏证据。
“偷录”行为需证据
周鸿祎认为手机软件其实是可以进行用户录音的,但需要提前得告,不应该悄悄地打开麦克风。他主张手机软件在采集用户数据时需要做到真正让用户有知情权和选择权。
但同时周鸿祎也指出,个人数据与个人隐私很难明确界定,如今想要换取互联网服务,将个人数据赋能给厂商已成为客观存在的事实。应对厂商提出要求——善待用户数据。“如果处理得好就保护了用户隐私,大家皆大欢喜,老百姓的数据托管在厂商的服务器上,老百姓也能得到各种免费的互联网服务,自己的数据也没有被泄露。”
因此周鸿祎建议,在使用互联网服务过程中,用户向互联网公司提供的数据所有权应明确定义属于用户,数据只是暂时委托厂商,存在厂商的服务器和数据库里。当消费者不再使用服务时,该互联网厂商应做到将用户数据删除,厂商更没有权利转卖该数据。“如果厂商认为这个数据是我收集的,我拥有的,我想干什么,消费者的权益就很难得到保护了。”
爱加密研究院院长魏超对第一财经记者表示,偷偷打开录音进行数据采集这个行为本身就是“偷听”,是非法行为,但这需要证据来证明。另外用“偷听”来的数据或未授权的数据来进行盈利活动属于不当得利,系违法行为。
信息安全保护尚处于努力过程中
遗憾的是,用户数据隐私保护这件事没有那么容易达成。
“刚刚我还在跟朋友聊到想喝某个牌子的奶茶,转头打开某款外卖应用,第一栏的美食推荐就是这个牌子,很诡异。”一位孙姓用户向第一财经记者分享了过往一则“巧合”案例。
魏超称,用户保护方面依托于手机厂商的隐私防护技术,监管单位的隐私保护要求,app下载流通的市场渠道上架检测,以及事件发生后的溯源追责。而直到如今隐私数据窃取行为仍未得到根治,在魏超看来,一方面的原因在于窃取行为定性上的逻辑障碍——APP申明业务需要录音功能,但录音功能录取得来的数据是否仅限于业务必需,很难界定。“只能通过发生财产损失得事件后,进行回溯追责。”
所幸,试图对消费者手机数据进行安全保护的努力一直在进行着。此前浙江大学网络空间安全学院院长任奎带领团队研究了发现“加速度计窃听”,后者是一种基于深度学习加速度传感器信号的新型“侧信道”智能手机窃听攻击方法。简略来讲就是手机应用利用内置加速度传感器采集手机扬声器所发出声音的震动信号,实现对用户语音的窃听。
基于这项研究发现,任奎建议手机厂商提高加速度传感器权限级别,避免各类应用在非必要情况下采集加速计数据;对加速计的采样频率进行限制,或通过系统内置滤波器提前过滤掉加速度传感器信号中包含最多语音信息的高频部分。
另外,为了避免将来出现类似的漏洞,任奎建议手机厂商重新评估各个传感器的安全性和敏感性,修改Android操作系统对手机App调用各种传感器数据的使用权限,如鸿蒙OS等自主可控的操作系统可以从系统层面考虑,杜绝未来的侧信道攻击路径。