酷应用

到底是谁出卖了你的隐私？315晚会没曝光大厂，我们敢！

百家作者：IT时报 2019-03-16 05:15:13

http://www.it-times.com.cn/

315晚会的巅峰，《IT时报》的日常。央视315一整年憋足了劲儿，就等这一天扬眉吐气。今年晚会把目光放在了用户数据和隐私上：探针盒子探取用户信息、APP过度收集用户信息、大数据用户画像、精准营销推送、银联闪付功能存隐患…

只是没料到，一条新闻刚放出开头，《IT时报》的编辑群就猜中了结尾，小编也是一口辣条吃进去，如鲠在喉。这央视忙活了一年的选题，在科技互联网通信等方面，本报无一例外，全部详细调查报道过。

当然，这并非影射央视“抄题”，而是央视在晚会中没说出口的、不好说出口的，时报记者都要继续追查。我们的隐私如何成了别人的商品？为什么手机里的App就像串通好了似的，我在A搜了什么，B就会给我推荐什么广告？为什么没授权通讯录，却抖音里看到了失散多年的老同学？

关于探针盒子，我们曾报道《公共场所请关掉WIFi，有人正在“监听”！》，WIFi探针尽管不是什么高超的黑客工具，但简单粗暴的方式让人屡试不爽。一台探针盒子，不管你的WIFi是否连接，它都能获得手机的MAC地址，然后匹配手机号，性别年龄、微博感兴趣话题，手机50天搜索关键词等。

更可拍的是WIFi探针下，你的手机会自动连上WIFi，你在手机登录账号密码时，信息还会明文传递在对方电脑上，如果你的密码是多个账号同时使用，对方通过撞库还能获取你更多隐私信息。目前普通用户能做的就是尽量在公关场所关闭WIFi开关，如果使用了免密WIFi，就要定时进行管理，把相关WIFi删除，降低被攻击的风险。

怕自己银行卡有闪付功能被盗刷怎么办？我们曾报道《银行卡真能被隔空盗刷，快把“小额免密支付”功能关了》，提示用户银联闪付免密功能存在隐患，容易被人隔空盗刷。这些都是默认开通“小额免密支付”功能以及管理混乱的POS机惹得祸。

或许你会说，“我没有开通过免密支付，盗刷与我无关”，事实上这一功能是默认开通的，如果想要关闭，需要到银行线下网点或在官网操作。

不知道哪些APP过度收集用户信息？我们曾报道《在中国，数亿人亲手签下“隐私卖身契”》，实测支付宝、微信、百度等近20款主流APP，并将这些APP所需要的权限一一列出，告诉大家在享受大数据时代带来便利的同时，你的信息也被互联网公司过度使用。

其实除了，上述个人隐私，不经意之间，你的生物隐私信息也正在互联网上“漫天飞舞”，《政协委员拒用人脸识别，一旦泄露，你无法再有第二张脸》告诉你，身份证号、手机号、银行卡号之外，你可能是最后的个人隐私也正接受挑战。

这些曝光只是沧海一粟，人们在网络“裸奔”的景象，让人触目惊心。

到底是谁把用户隐私卖给了那些广告商？是谁让你我成为透明人？他们是通过怎样的链条，向你推荐一条精准互联网广告的？315晚会谢幕了，《IT时报》记者还没完……

一个“爬虫”一个接口让用户裸奔

App是否在偷看我？

施先生是常常出差的“空中飞人”，不管吃饭还是住宿，都要开发票，也经常复制粘贴发票抬头。有一天，今日头条向他推送了“如何在霍尔果斯注册公司”的广告，精准匹配了施先生公司的发票抬头“霍尔果斯某某公司”，施先生开始怀疑，“今日头条是不是在偷看我的剪贴板？”

KEEN公司GeekPwn实验室宋宇昊认为，苹果手机的系统设计允许任何App访问剪贴板，如果用户将一些数据放到剪贴板，再去打开其他App，那么其他App自然而然就会读取剪贴板的内容。比较典型的应用是，如果在微信里要访问淘宝中的某个商品，复制一个淘口令，再打开淘宝的时候会自动导向某个商品。

一位文本数据处理技术专家向《IT时报》记者解释了另一种可能，如今提供免费开票功能的第三方服务公司越来越多，他们如何赚钱？就是通过搜集用户信息、用户行为形成画像。通过公司地址定位到你处于哪个商圈，就会认为你经常在这个商圈点外卖，这个商圈白领最常点的外卖是哪几家，然后外卖平台给你推荐这些商家。

“截图、照片里如果涉及敏感信息，比如身份证、银行卡、签字单据等，都可以被提取出其中的文字信息，如果被别有用心的人拿到，影响不可估量。”他强调。

从技术上来说，用户的信息是如何被获取的？

该技术专家解释，PC端的网站之间共享信息，通常是通过“爬虫”技术。

所谓“爬虫”是指通过技术嵌入进行跨站追踪，比如A在B的网站中加一段代码，用户在B网站的账户信息、行为信息、设备信息等都会实时传回到A。由于不同网站之间需要收集更多的信息完成用户画像，同时A会回馈相应的广告利益给B，因此这种方式因“互惠互利”而在大多数网站间流行。

上海市软件评测中心技术人员向《IT时报》记者解释，App之间的数据共享方式有两种，一种是用同一个SDK（Software Development Kit，软件开发工具包）开发的App之间，可以进行数据共享，当用户登录App时，会向第三方SDK发送数据包，这些数据包里包含了用户的各类信息。另一种是双方开放数据接口，从而实现数据共享。

一个“爬虫”，一个SDK共享接口，就让用户的信息裸奔在互联网上。

一个手机设备号，广告联盟就能追踪你

抖音找回了失散多年的同学

“自从下载了抖音，我竟然找回了失散多年的同学。”陈先生在刷抖音的过程中，无意中发现，抖音竟然向他推送了多位老同学发布的短视频。

惊讶之余，陈先生感到自己的隐私被严重侵犯了，他从未在抖音上注册，一直是以游客的身份在刷抖音，而且，也并未与这几位老同学在微信、QQ等社交媒体上建立联系，唯一的联系就是那个躺在通讯录里、多年未打的电话号码。那么，抖音又是通过什么方式获取了陈先生的通讯录呢？

“手机设备号是最基础的，具有唯一性的标识，就算不注册不登录App，也可以辨别你是谁。A只要拿着陈先生的设备号与B、C、D的数据库一碰，就可以建立关联关系，知道你是谁。”一位安全专家向《IT时报》记者解释，现在很多App都加入了不同的广告联盟，只要你向这个联盟里的App开放过通讯录权限，那么A也能拿到你的通讯录，这就是所谓的数据共享。

一个手机设备号，就可以辨别你是谁，这个信息单元成了各大广告联盟之间进行用户数据追踪的筹码。

殷鸣（化名）曾就职于百度广告部，他向《IT时报》记者还原了互联网广告联盟的基础链条：在一个广告联盟里，BAT往往是广告“盟主”，互联网巨头利用庞大的生态圈收集各种类型的原始数据，为用户打上标签，从而形成一张全面精准的用户画像，帮助广告主精准匹配目标用户，当然BAT等大“盟主”没有那么多精力为每个广告主量身定制方案，在这条产业链上便衍生出数据分析公司、广告分发公司、数据监测工具等。

以阿里系为例，Tanx ADX平台是阿里妈妈开发的产品，买家可以在这个平台找到推广目标客户的数据，实时竞价，拍下众多互联网站点的推广资源，ADX平台提供“挖包服务”，广告主可以通过这一项服务精准地查询到自己想要投放广告的目标人群。此外，阿里系还拥有一家大数据服务提供商友盟+，根据天眼查显示，友盟+是由阿里巴巴（中国）网络技术有限公司100%控股。

“挖包功能是免费的，帮广告主定制好想要的人群之后，他们直接针对这个数据包去投放就可以了，不用再筛选后台的那些基础属性。”腾讯社交广告销售人士告诉《IT时报》记者。尽管如此，根据腾讯社交广告高潜客户服务权益价目表，使用人群定制服务的起始充值金额为20万元。数据包可以永久存在于广告主的后台，但这些数据只适用于腾讯生态圈，无法在其他媒体平台使用，而且对用户的隐私信息都进行了脱敏处理。

不过，也只有腾讯系敢直接承诺所有的数据使用不出“腾讯系”，其他App基本都在大联盟的范围内彼此共享用户信息。

一次同意你的信息就被出卖了

贷款超市的暴利生意一幅借贷人画像50元

近年来，互联网金融领域竞争激烈，拉新费用高达每位100-200元，互联网金融公司也成了广告公司竞相追逐的“金主爸爸”，但是，这个领域也被安全界认为是最混乱的大数据交易市场。

往往，用户在A平台上申请一项分期服务，其他分期平台就会立刻推送注册广告给用户。

LOCKet为多家互联网金融平台提供大数据安全服务，其技术负责人陈荣通过简单操作，便推演出这场数据交易中的“嫌疑人”：他将A平台的用户信息进行加密，从而规避了内鬼泄露或黑客拖库的风险，那么，导流的贷款超市、第三方风控平台、短信验证码服务商就成为“嫌疑人”。

最大的“嫌疑人”贷款超市表面做着为小贷公司引流的生意，实则在圈借贷人的数据，背后是一项门槛并不高的暴利生意。

融360是贷款超市领域的头部玩家，在它的招股书里，“推荐费”是第一大收入，轻松年入过亿。2015年，融360的“推荐费”收入就已过亿，为1.17亿元，2016年翻了一倍，飙升为2.39亿元，2017年上半年，就完成了3.14亿元的“推荐费”收入。

《IT时报》记者曾报道过，借贷人一旦在贷款超市上注册，个人信息就会被转卖给N个小贷公司，“借点钱”平台的商务经理就向《IT时报》记者透露，由公积金、微信余额、淘宝购物记录、通话记录等数据画成的借贷人“画像”只卖50元。

当数据池越滚越大后，这些“贷款超市”又做起了大数据风控，杭州魔蝎科技公司的产品经理给《IT时报》提供的产品报价表显示，有近50项数据可以提供，包括运营商、支付宝、京东、滴滴、寿险保单、网银账单等，还可以通过法院失信情况、QQ群风险（有多少个借贷群、分期群等）、贷后行为等信息来进行大数据风控。如此详尽的数据，价格却低得惊人，运营商数据0.1元/次、淘宝支付宝数据0.3元/次，最贵的淘宝卖家数据2元/次。

这些公司都向《IT时报》记者表示，公积金数据是利用爬虫技术从公积金网站上抓取的，运营商数据是由合作的数据公司提供的。当然，他们也强调这些数据是经过用户授权拿到的。

当用户点击“同意”注册协议时，就默认将这些数据提供给贷款超市，并授权其提供给第三方小贷平台使用。

记者手记：我的数据被卖了，谁是元凶？

铁路12306平台3000万实名数据售价为10比特币（时价超4万元人民币），华住集团酒店近5亿条实名数据售价为5比特币⋯⋯据360安全团队不完全统计，2018年1月到10月，共有86.5亿条数据泄露。

到底是谁在暗网上买数据？根据360安全发布的《2018政企机构数据泄露形势分析报告》，保健品、保险、理财、房地产中介是数据的主要购买者，他们最喜欢买老人和学生的实名信息，老人的信息经常会被相关公司用来推销保健品,而学生的信息则被一些教育机构用来招生宣传。精准营销成了这些暗网交易数据最常见的用途。

谁是信息泄露的元凶？众所周知，网络攻击、内鬼窃取，是数据泄露的两大元凶，但是，另一个更大范围的元凶正在悄无声息地蚕食我们的手机里的信息，那就是过度授权和悄悄调用隐私权限。

根据艾媒咨询发布的《2018中国手机App隐私权限测评报告》，App读取通话记录权限不是大部分应用日常运行的必要权限，疑似越界，侵犯用户隐私。移动工具、网购及理财类App读取通话记录占比较大，其中，天猫、QQ、飞猪等App都有读取通话记录的权限。此外，联系人读取已经成为隐私侵犯的重灾区，移动视频、网购、社交等六类App读取联系人权限占比超过50%。

近日，QQ音乐等18款App疑似存在过度收集短信、通讯录、位置、录音等用户敏感信息，万能看等9款App疑似存在未经用户同意收集使用用户个人信息的情况，被要求整改。中央网信办、工信部、公安部、市场监管局四部门联合发声，表示这两种情况或被视为违法违规。

2018年，国内“大数据行业第一股”数据堂（北京）科技股份有限公司踩了红线，涉及侵犯个人信息，公司两名实际控制人被检方提起公诉。有11家公司牵涉其中，涉案公司日均传输公民个人信息1.3亿条，累计传输达百亿条，数据量庞大。

以精准推荐为目的的数据共享，界限到底在哪里？360首席安全专家裴智勇提出了三点原则:索取用户信息权限时要遵守最小必要原则，App不应在用户不知情的情况下调取未经授权的权限，这是用户知情原则，App收集了大量用户数据后必须遵循必要保护原则。值得注意的是，《网络安全法》一个重要原则是，过失杀人也是杀人。

亚信副总武源文认为，数据共享普遍存在的在于数据垄断，互联网公司认为，我为IT系统、信息存储计算等付出了成本，我便有数据所有权。互联网开放和个人隐私保护本就是一对矛盾体，需要找一个动态平衡。如果区块链技术被应用于大规模认证，用户认证时可以匿名，但当隐私遭到侵犯后，数据可以溯源，也解决了数据垄断给用户带来的无奈与恐慌。

编辑：挨踢妹

图片：东方IC、自制

来源：《IT时报》公众号vittimes

往期回顾

315专题：政协委员拒用人脸识别，一旦泄露，你无法再有第二张脸

315聚焦：在中国，数亿人亲手签下“隐私卖身契”

谁来拯救抢不到票IKUN摩饭们？安利上海电信5G+8K+VR直播！

为什么说电商宣称“假一罚十”就是耍流氓！

大孩子养猪，网易不易

熊猫直播明天清场！欠债数亿，被主播讨薪

没有上海户口、五年社保，我是如何“拍”到市区半价二手房的？

两会上的科技热点，时报记者帮你问到了