黑灰产调查:APP泄露隐私,到底有多严重?

黑灰产业链深度调查



一位网友发布视频,表示京东金融APP会获取用户敏感图片并上传。



给懒得看视频的人说下内容,就是在京东金融APP运行时,如果你截图(视频里截图了其他金融APP),在京东金融的缓存文件里可以找到截图文件,有可能是被京东擅自上传了。


李小璐、PGone高清的亲密视频流出后,微博和朋友圈都炸了。




之后PGone在微博发布了长文《来》,有一处写道“为什么去年在抖音拍的视频没有任何外传的前提下会被放出来还没有logo?”疑似质疑抖音泄露个人隐私。



随后有网友在外网爆料称,这次被传播的视频是在当事人Pgone的草稿箱中,是抖音员工通过后台下载下来才导致这次猛料传播的。(抖音审核人员瑟瑟发抖...)




不久后脉脉平台上也有网友爆料,称视频是抖音员工泄露。





截图出来后,吃瓜群众在八卦的同时又开始担心,如果Pgone的视频真的是这样被泄露出去的,
那我们所有人的隐私不都被抖音窥视了吗?



于是网友们开始去抖音官方下面要说法:瓜先不吃了,我草稿箱里面的视频你们真的可以下载吗?



一看见网友们质疑声越来越高,吓得微博相关人员马上出来回应“我们家的草稿箱是安全的”,蹭热点让人好气又好笑。


针对此事小编有点好奇抖音是怎么回复的呢?这不,钛媒体APP向抖音官方求证,


抖音方面表示“这个锅我们不背,我们家的草稿箱是个正经的草稿箱,其他的事儿还需要进一步核实“。



截图:钛媒体APP微博



字节跳动高级公关总监杨继斌也在朋友圈回应称,


“关于某艺人视频的传言不实。抖音草稿箱视频不会上传到运营审核后台,所以运营审核后台没有任何草稿视频,不存在'抖音员工从后台下载草稿箱视频'的可能。其他情况,我们在继续核实。”

关于这次的“瓜”,小编先不说(咱也没有那么多料...),咱们就来聊聊关于隐私泄露的话题,抖音到底这次到底是不是背锅侠?

去年10月31日微信公众号“南京公安”发布了文章《抖音,正在偷看你的生活!》,引发了大家对抖音的质疑。
(好巧啊,正好一年..)




文章里控诉了几条关于抖音泄露隐私的证据

1.抖音里经常会刷到认识的人,除了抖音昵称,甚至有其在你通讯录的名称
2.在隐私设置里“允许将我推荐给好友”的开关是默认开启的



3.不绑定手机号不能使用,使用第三方绑定后,授权管理找不着解绑还必须绑定手机号。

4.抖音将用户信息直接给了第三方(例如我们看到的各种精准投放广告)


不过抖音在当天中午也迅速做出了回应,表示南京公安的文章无视移动互联网产品合法的、通用的、常识性的做法故意曲解或者隐瞒相关事实,对抖音做出严重失实的指控抖音保留对“南京公安”追究法律责任的权利。

抖音回复不久后这篇文章就被删除了,虽然内容不在了,但是文章中提到的几条“证据”也一直在被网友们讨论质疑着。

机灵的网友发现当天抖音的隐私政策也做了更新,emm...这是不是说明文章还是戳到了一些点呢?




小编在发文章前又看了下抖音的隐私政策,发现上次更新时间是8月12日,不知道Pgone事件后,会不会再次更新呢?




如果这次最终证实视频并非通过抖音泄露出来的,不知道Pgone会不会还要被抖音告一状呢...


我们都害怕隐私泄露

却无处可藏

各类App收集个人信息

底线到底在哪里

答案请往下看


较早前,APP专项治理工作组发文督促40款存在收集使用个人信息问题的APP尽快整改。


其中包括我们耳熟能详的App:WiF万能钥匙,糗事百科、拉卡拉、掌阅、墨迹天气、人人贷借款、智行火车票、安居客、转转、途虎养车、宜人贷、同花顺、悟空理财等。


逾期未领取整改通知或未完成整改的,相关部门将予以处置。



苹果用户注意!午夜时分,或有5400个APP正泄露你的信息


最近,美国就“华盛顿邮报”进行了一个实验。


这篇报道标题是:午夜时分,你知道你的苹果手机在跟谁说话吗?


这篇文章做出一系列调查和实验,包括在记者的苹果手机上连接上一个监控软件,而在之后的一周之内,发现了超过5400个隐藏的用户信息获取跟踪软件。 




这意味着,苹果手机上的程序,向第三方跟踪公司不断发送个人数据,尤其是在深夜。而传送的数据包括了用户的邮件、电话号码、IP地址,甚至用户的具体位置。


而文章强调说,除了苹果手机,在谷歌安卓的手机系统上,手机软件向第三方跟踪公司发送数据的情况也有发生。 



这个情况发生在什么样的背景下呢?在这里我们不得不解释一个功能,这就是:


目前智能手机,包括苹果的“后台应用刷新”功能,允许手机在未被频繁使用的情况下传输数据。这个功能的本意,是给用户提供最新最快的体验。


但现在看来,一些第三方的程序为了提高自身的定制广告准确度,以及为了改善应用程序的表现,而会用这样的追踪软件来收集用户信息。


比如,微软的OneDrive、耐克、收听音乐的Spotify,乃至于“天气频道”的应用程序中都发现了追踪软件。


这使得一个问题浮出水面:“后台应用刷新”功能被滥用了吗? 

苹果公司表示,对于第三方应用程序创建的数据和服务,苹果iTunes的指引是要求程序开发者清晰地列出其私隐政策,事先得到用户许可。


而苹果一旦发现有应用程序没有跟随私隐指引,那么会要求对方修正,或将其下架。


但不少用户对这样“事后诸葛亮”的做法,以及智能手机对“第三方应用如何使用用户数据”的监管缺失,仍然感到不满。 



也有分析建议说,苹果可以在iOS系统中添加“监控软件”,让用户对信息的追踪情况有更好的了解。而另外一个选项是,苹果可以硬性要求,所有第三方程序必须清楚地标记出,其所用的跟踪软件。


对此,苹果公司在接受《华盛顿邮报》采访时则表示,用户可以选择关闭“后台应用刷新”功能,苹果公司也已经提供了一些限制广告跟踪的工具来保护用户的数据隐私。 

但不少用户还是对苹果公司的管控不力表示不满: 


“你的手机就是源源不断的廉价信息的来源”


“任何缺乏应有的保护机制的科技都是别有用心和失败的”


总而言之,对信息泄密建立所谓的“问责制”,也许是所有人能更重视数据问题的解决之道。而现在对于苹果公司来说,此前公司承诺,“iPhone上发生的事情将保留在您的iPhone上”,而现在看来,苹果需要付出更多的数据保护措施,才能坚守这个承诺。



检测了13万个金融类App,70%存高危漏洞


现在,无论是借钱、投资还是交易支付,大家用金融类 App 的频率大大增加,这些和“钱”有关的 App 到底安全性几何?雷锋网注意到,最近,中国信通院发布了一份《2019金融行业移动App安全观测报告》。

截止 2019 年 9 月 11 日,中国信通院的报告团队从 232 个安卓应用市场中收录了 133327 款金融行业 App。

从观测对象的地域分布来看,有 130022 款可以明确归属省份,全国 34 个省级行政区均有金融行业 App 生成,平均每个省份生成金融行业 App3824 款。

金融行业 App 地域分布不均,广东、湖北和北京分别以 29.60%、21.30%和 12.96%的高占比排名金融行业 App 生成数量前三,而西藏、青海等 6 省份总占比仅有 0.18%。

从金融行业 App 细分领域来看,借贷类 App 包揽前三名中的两个席位。

其中,面向个人用户的消费金融类 App 数量最多,占观测总数的 36.74%;面向企业的 P2P 金融类 App 排名第三,占观测总数的 11.38%;彩票类App 排名第二,占观测总数的 27.19%。

不同细分领域 App 占比如图所示:



重头戏来了,我们一起看看,这些金融 App 的风险集中表现在哪里。

1.以数据泄露为代表的高危漏洞风险

在本次观测中,发现有 70.22%的金融行业 App 存在高危漏洞,攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等,对 App 安全具有严重威胁。其中 Top3 的高危漏洞均存在导致 App 数据泄露的风险。

2.以流氓行为代表的恶意程序感染风险

本次观测发现,共有 8217 款金融行业 App 被检测出恶意程序,感染率为 6.16%,主要涉及的恶意行为包括流氓行为、信息窃取、恶意传播、资费消耗、远程控制等多种恶意行为,给 App 用户的个人隐私及财产安全带来危害。

其中受到流氓行为恶意程序感染的 App 占比最多,约为 82.02%。

3.使用第三方 SDK 引入安全风险

本次观测发现,共有 20.48%的金融行业 App 被嵌入了第三方SDK,嵌入的 SDK 数量共计高达 104005 个。在嵌入 SDK 的金融行业App 中,有 45%的 App 嵌入了 5 个及以上的 SDK。

由于第三方 SDK 存在隐蔽收集用户信息、自身安全漏洞易被不法分子利用等安全风险, 使得金融行业 App 也面临一定的安全隐患。

4.违规索权带来的隐私泄露风险

本次观测中选取了具有典型代表性的 12 款下载量过亿的金融行业 App 进行抽样分析经研究发现,多款 App 存在不同程度的超范围索取用户权限的情况,在隐私政策方面也存在多种违法违规行为,给用户个人隐私信息安全带来隐患。

App 用户的个人隐私信息一旦泄露,将带来严重的后果,如骚扰电话、信息诈骗、恶意推销、网络情感诈骗等,会严重损害 App 用户的利益。

5.安全加固不足暴露安全风险

本次观测发现,仅有 17.08%的金融行业 App 进行了安全加固,超过 80%的金融行业 App 在应用市场“裸奔”,未进行任何的安全加固。

然而,基于 Java 语言编写的安卓应用程序如不进行加固,则其打包的 APK 文件很容易被反编译工具进行逆向分析,进而暴露风险。



不得不提:

APP的安全目前看来存在很大问题,金融类APP理论上对网络安全要求更高,也更重视,但实际测下来问题却很多。

那么其他类型的APP估计形势也不容乐观。70.22%的金融 App 存在高危漏洞,超过 80%的金融行业 App 在应用市场“裸奔”,未进行任何的安全加固,攻击者可利用这些漏洞窃取用户数据、进行 App 仿冒、植入恶意程序、攻击服务等,对 App 安全具有严重威胁。

目前在app运营商和用户之间不对等的关系下,唯有监管单位加强管理,对存在问题的app进行限期整改,方能维护好广大用户的合理权利。

随着12月1日等保2.0的正式实施,需要加快APP运营商落实网络安全等级保护制度的工作,这样能够在一定程度上提高APP的安全防护能力。



51吃瓜网51吃瓜,进学习交流群


快告诉朋友,我在看!
本站内容来源于网络,如有侵权,请联系吃瓜网站。 吃瓜网站
THE END
分享
二维码
< <上一篇
下一篇>>