警察蜀黍阿姨(原来警察也有不正经的)

先讲一个悲伤的故事。
有一天,小明跟爸爸说,爸爸,我想学习,需要下载一个App报个补习班。然后,小明假装用爸爸的手机下载一个严肃的App,然后打开一些莫名其妙的网站,偷偷储备成人知识。最后,他默默清除自己的浏览记录,安全地把手机还给父亲。
没想到,那天深夜,父母的房间里发生了争吵。父亲抽着烟坐在沙发上,一脸委屈:你为什么不相信我?
原来父亲收到一条短信:老师,你在XXX上的体验如何?最近我们出了一款XXX新品,让你“更高,不快乐,更强”。
你以为是一个不可描述的网站出卖了无辜的小明爸爸?不是,是正经App。
让人感到心寒的是,这不是故事,却可能是事实。
假装在做一些严肃的事情,还有这个天气应用。
看,就是这个产品!
1月4日,《华尔街日报》称,名为“天气预报-世界天气精确雷达”的免费应用被发现窃取用户数据信息,包括地理位置、电子邮件地址和用户移动设备的唯一标识号。
“但是有了手机,装个天气APP很正常。但是,现在查天气预报的个人信息,可能会到了你素未谋面的陌生人手里,你还不知道它会被用来做什么。你觉得很可怕吗?”
为什么一个正经的App会变得不老实?让我们和编辑讨论一下这个话题。
首先,一款天然无污染的天气App真的可以绕过权限通知,自动获取用户的数据信息吗?它是如何工作的?
显然,除了那些突破root权限获取手机最高权限的病毒,几乎所有的权限开关都是由用户开启或关闭的。
以Android6.0系统为风水岭,权威只是从幕后走到了台前。原来在MarshMallow之前,权限是在安装的时候授予的。6.0之后,为了简化安装过程,方便用户控制权限,Google官方推出了runtime-permission,允许用户在运行时动态控制权限。
我们先来看一下科普。什么是运行时权限:
其实这是Android6.0新推出的权限管理方式,在这个系统中,Google抛弃了之前的安装时权限模型,取而代之的是运行时权限模型。显然,从上一句话,你基本上分辨不出这两个货的区别,但是机智的雷锋网还是决定用两张图给你举个栗子,保证第二个理解:
安装时间权限模型
运行时权限模型
没错,安装时权限模型会在安卓App安装时给用户展示一堆权限。相比之下,运行时权限模型在安装APP时会跳出权限请求,但这并不意味着重要的权限也授予了应用。当用户实际使用某个功能时,应用程序仍然需要主动申请这些高风险权限。在此之前,所有权限都是一次授权后开启,其安全系数只能处于“杀死”的优先级。
人工智能加密解决方案总监巢维告诉雷锋网。com认为这种在获取天气App权限之外的操作也叫“过度获取”。
他说:“我国在2017年初发布了《个人信息安全规范》和《数据安全管理办法》,对如何界定访问权限过大导致的用户信息泄露做出了明确的指示。3354如果你的App只是在没有告知用户的情况下获取了附加信息,这叫过度访问;在相关法律法规中,这不能算偷,开发商基本不需要承担太多责任。”
为了更好的解释,我们以栗子3354为例。如果你下载了一个地图App,常规的软件只需要获取你的地理位置信息,而且这只是在用户需求中提到的。然而,其实它也获取了你的邮箱,你的名字,甚至你的家庭住址,而你还被愚蠢地蒙在鼓里。
那种行为算偷窃吗?
抱歉,不算。所谓窃取用户信息的行为,取决于厂商对你的信息做了什么处理。如果只是针对App的某一项业务做分析也没关系;如果是卖人贩子或者支持美国大选,肯定会被警察叔叔当场拿下。
过度收集用户信息只是一个“前端”的过程。相关的法律法规并不是以此来判断一个厂商是否在窃取,而是以“结果”来判断,即该信息是否已经被用于盈利或出售。
目前,上游系统和泄露这一事件的App开发商TCL也有自己的说法:
前者认为这款软件收集的用户信息数据超出常规范围,为阿尔卡特智能手机超过10万用户提供付费虚拟现实服务。这种隐晦的做法可能导致用户被迫支付超过150万美元。后者表示,该应用程序在上线前经过了70多次不同的反病毒扫描,以确保它们符合谷歌Play商店要求的安全级别。说白了就是这个信息永远不会被滥用。
那么,这个天气App是否窃取了用户数据信息呢?
如果一个人和一箱黄金待在一个房间里,给他一个晚上,事后不检查箱子里的黄金数量就直接让他出去,那么他拿不拿黄金就看他的良心了。对于这种“过度收购”的行为,相关监管部门只是要求授权同意或者暂时限制收购权限进行合法性审查。
围绕权限选项,厂商用一种现在烂在街上的思想来“选择客户”。期权就像一个“大筛子”。“如果你不同意,那就不是我喜欢的类型,你也不想用我的App!”更有甚者,有的app直接弹出一些诱导信息。看起来和权限选项一模一样,但是混水摸鱼。
巢维透露,一些初期的App发行商,最初是在初期免费获取大量用户,然后通过相应的信息流和数据流广告服务、其他信息推送或者一些相对低端的擦边球数据信息来支撑App的运营。
“对于中小企业来说,唯一的生存之道就是拼命获取用户数据,刻画用户画像。以商业目的为驱动力,行业整体发展趋势才是用户权利被无端获得的真正原因。”
那么,如何避免过度获取权利的情况呢?
雷总结了以下几种控制权威的方法:
1.AppOps 4.3以上系统的原生权限控制(目前安卓官方系统还没有开通该功能,需要用XPrivacy工具打开);
2.第三方应用程序。即LBE、360等使用门槛最低的手机助手,缺点是提供的选项相对简单,效率较低;
3.强行撤销申请权限。包括修改apk文件和CM系统的权限管理。效率最高,但容易造成闪退;
4、隐私。基于Xposed框架,直接从虚拟机层面运行,比第一类应用效率更高,选项丰富具体。还可以通过篡改数据等方法保证应用的稳定运行。
如果你不懂以上专业建议,没关系。还是可以坚持一个原则:——免费服务还是要谨慎。使用免费服务时,你就是产品本身。

其他教程

ps把金色变成银色(ps金色变成银色)

2022-9-11 12:24:41

其他教程

ppt可以制作视频吗(怎么把做好的ppt录成视频)

2022-9-11 12:26:45

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索