新聞 > 科教 > 正文

10億網民在線「裸奔」!你買來的智能設備 正在「監視」你…

那個想要你電話權限的外賣APP,到底是不是想偷聽你說話?

現代軟件的預測技術,如同你肚子裏的蛔蟲。一兩次精準的預測或許能給人驚喜,但猜中的次數多了,難免叫人心裏犯嘀咕:為什麼這些App,總能知道我想要什麼?

APP有沒有偷聽你?

真沒有。因為根本用不着。這樣太麻煩了,效果也不好。

互聯網上的用戶跟蹤技術,早就已經成熟到爛掉。以安卓的電話權限為例,開發者的真實目的並不是為了監聽你的電話(這年頭誰還打電話啊),而是為了拿到你的IMEI碼。

這串數字,你可以理解成手機的「身份證號碼」,每台手機都不一樣。而且如果沒啥意外,一個人身上最多也就帶兩台手機。這就像是在你身上貼了一個獨一無二的小紙條,找到了這張紙條,也就約等於找到了你。

然後呢?

然後,軟件會開始收集你的行為數據:早晨8點左右經常移動,應該是上班路上。如果沒開GPS,那麼WiFi名稱的不同,可以暴露你是在公司還是在家。經過一周的學習,它發現你已經連吃了3天的黃燜雞米飯,而且每次都多放辣。

接下來,根據平台已有的數據進行推測,發現你有90%概率會喜歡1.8公里外那家新開的缽缽雞。這家的老闆買好了精準投放,在你第四次打開APP叫外賣的時候,他就會出現在你,而不是隔壁那個吃了半個月減肥沙拉的同事眼前。

這就完了?還早呢。

這些收集行為甚至可以做到跨App協作。比如你在某個視頻軟件里新買了會員,對應的廣告平台就會把你的「消費力」水平上調一點。經常在新聞App里找美女圖片,可能會被對應打上鋼鐵直男的標籤。經常上購物App買奶粉,說明你是寶媽寶爸。

而正在看這篇文章的你,應該早就被貼上「數碼愛好者」的標籤了。

你的每一次滑動,每一次點擊,都會經過各家平台的模型處理、計算,最後變成一張張小紙條跟在你的身後。投放平台以此作為憑據,讓正確的人看到正確的東西。住高檔小區,買過豪車配件的人,大概率會收到奢侈品牌那些不明就裏的廣告視頻。而極果君這種單身漢,更有可能被推送的則是並夕夕9.9包郵的特價紙巾。

當然了,這些標籤也可以被拿來「歧視性定價」。或者說的再直白一點,大數據殺熟。

在幾個國民APP的聯盟下,「貼紙條」被做成了一筆數以億計的大生意。騰訊廣告平台號稱覆蓋了超過10億網民,科大訊飛的AI營銷雲,則聲稱覆蓋8億。考慮到2018年我國網民的統計數量是8.29億人,這意味着這篇文章的每位讀者,都至少被分類了兩遍。

這其實很難說是有誰在「看着」你的私隱,畢竟整件事從始至終,都由機器和算法來負責。在浩如煙海,數以億計的數據庫條目里,你只是其中不起眼的一行。

而真正的私隱泄露,比APP對你的跟蹤要簡單粗暴的多。一個過於懂你的APP只會讓人背後發涼,但如果姓名、電話、住址、銀行卡這些基本信息也漏了餡,那麻煩就比較大了。

實際上,很多網站都保存着這些非常關鍵的個人信息。而圍繞着這些信息的攻防戰爭,即便在此刻也沒停止過。就算不能直接黑進後台,黑客還能用已有信息「撞庫」。去年底12306被傳信息泄漏(當然後來闢謠了),正是類似的攻擊手法。

不過,最愚蠢的一種私隱泄漏,還要數那些毫無防範意識的網站管理員。由於配置錯誤,許多帶有個人身份信息的文件常常被不慎掛上公網。上至報名表,下到單位補助統計,任何人都能下載查看。

擋得住神一樣的對手,防不了豬一樣的隊友。

更遺憾的是,就算你可以下定決心放棄外賣APP,這些已經交出去的個人信息,也早就脫離了你的控制範圍。不過,比你家人還要了解你的機器,和挖門盜洞想拿到你手機號的黑客,哪個更嚇人一點呢?

你的智能家居,可能正在監視你

2017年,CIA的一大批機密文檔被公開泄露。其中一條關於如何竊聽目標的文檔尤為驚悚:在某些特殊型號的三星電視上,通過某些舊版固件的漏洞,他們可以讓電視進入「假關機」狀態,然後激活設備的麥克風,在目標毫無察覺的情況下進行竊聽,並將得到的錄音傳回大本營。

巧的是早在2015年,三星就曾在海外做過說明,用戶語音指令會被發送到第三方伺服器上轉換成文字。如果在語音控制電視的同時你說了別的什麼東西,那這部分內容同樣會被一併打包送走。一台電視背後,可能並不止一位聽眾。

今年1月,亞馬遜旗下的智能門鈴產品「Ring」,又被曝出私隱問題:亞馬遜公司部分員工,竟然有權限任意查看用戶的監控錄像。亞馬遜事後聲稱已經過用戶同意,但還是招致了不少批評。

而國內與之最相似的案例,莫過於360。

17年底,360旗下的水滴直播宣佈永久關閉。原因正是360出售的WiFi攝像頭,會同步在水滴直播平台公開畫面。這當中不僅有店鋪、後廚這種公眾場合,更有不少客廳、臥室等私密畫面。儘管360方面當時同樣聲稱是用戶的自主行為,水滴直播仍然在輿論壓力下「主動」停掉了。

但兩年過去了,我們送走了攝像頭,卻迎來了智能家居。你家裏的麥克風和攝像頭,非但沒有越來越少,反而越來越多。

在某知名安全搜尋引擎上查找「海康威視攝像頭」,返回的結果高達1864957條,其中今年新收錄的就有35萬以上。如果這些攝像頭沒有更新固件,或是使用了默認的密碼,那幾乎就相當於把攝像頭下的畫面,公開在全世界眼前。

但就跟APP一樣,真正試圖追蹤你的並不是玩心大起的黑客,而是賣給你產品的那家公司。為了說明這一點,我們特意去查看了百度DuerOS的用戶協議,其中有幾條非常有意思:

如果這幾張圖看的你頭暈,極果君稍微給你解釋一下:DuerOS會收集你的硬件識別碼、網絡特徵、你的位置、你的使用和瀏覽習慣等等數據,把這些東西做成一個用戶畫像,並且會跟第三方服務商共享這些信息。雖然他們會跟第三方簽訂保密協議,但第三方有權按照自己的條款處理你的數據。並且任何第三方造成的泄漏,DuerOS都不負責。

最騷的是,他們隨時可以對用戶協議作出修改,而且「恕不單獨通知每位用戶」。只要你繼續用DuerOS的產品,就被視為繼續接受修改後的版本。

Emmm……基本上就是,你花錢買了個智能硬件回家,然後讓它收集你的數據,再讓別人根據這個賣廣告給你看。

怕了。

我能怎麼辦?

好像也沒啥辦法。

這不是危言聳聽,就算你斷網,大公司們還是能通過你周圍人的數據,為你造出「影子畫像」。國外研究團隊甚至可以通過你好友的Twitter內容,來預測你接下來會發些什麼東西。或者是根據你在社交網站上的動態,預測你和另一半有多大概率會離婚。當然國內應該用不上這麼高端的技術,在讀取通訊錄這個環節,你應該就被賣過好幾遍了:

甚至就算把手機交給別人,你也還是會被人認出來。騰訊曾展示過一項單憑操作習慣來分辨《王者榮耀》玩家是否已經成年的技術。每個人的操作習慣不盡相同,只要算法合適,數據夠多,通過點擊屏幕的習慣來標記一個人,並不是什麼特別難的事情。

逃是肯定無處可逃了。不過別絕望,這個世界還是會好的,只不過過程可能有點慢。

這裏有個壞消息:安卓設備在私隱方面的表現尤其糟糕,不管是3.15晚會上曝光的「WiFi探針」,還是對APP的權限管理,它的防禦手段都基本上形同虛設。雖說在即將到來的Android Q上,防禦 WiFi探針用的隨機化mac地址將成為標配。但國內手機廠商能跟進到什麼程度,非常難說。

畢竟目前為止,極果君還真沒發現有哪家廠商,會特意將保衛用戶私隱作為自家系統的宣傳點。

這也是極果君喜歡 iPhone的重要原因之一:iOS用作設備識別的IDFA碼,是可以直接在設置里更改、關掉的。雖然這不能徹底阻斷App對我的跟蹤,但對於那些學藝不精的程式設計師來說,點兩下開關就足夠讓他們認不出我了。

另一個令人安心消息,來自我國的《個人信息安全規範》。根據這份文件,商家在處理你的個人信息時,應該進行脫敏,避免精準定位到個人。另外今年的新修訂版里,還增加了「不得強迫授權」的內容。不過這是個非強制性的標準,具體能有多大力度……比較難說。

這場私隱攻防戰還會繼續下去。而對於普通用戶而言,最好的方式就是「用錢投票」。如果一家公司只把你當作餵養AI、廣告機的數據來源,那他或許也不值得讓你為之掏錢。一家認為「中國人更願意用私隱換便利」的公司,一家曾經在PC上用靜默安裝推廣自家產品的公司,你真的要信任他們嗎?

技術上,你我或許無能為力。但你點的每一下鼠標,花掉的每一分錢,都在決定我們的未來。

責任編輯: 王和  來源:搜狐 轉載請註明作者、出處並保持完整。

本文網址:https://hk.aboluowang.com/2019/0407/1271541.html