互联网和产品 · 2018年07月11号 0

不少应用“习惯性”访问用户信息:以优化之名,行窃取之实?

近一段时间,OV两大手机品牌厂商先后发布了各自的年度旗舰机型NEX与Find X。由于都是采用了隐藏式前置摄像头,一时间引发了很多手机发烧友的围观。

谁也没想到,随后引发最大争议的却是“藏”在隐藏式摄像头背后的另一个话题。

有发烧友在使用两款旗舰时发现了隐藏式摄像头的“曝光”技能,就是可检测App应用是否在“偷窥”用户的隐私。多家媒体随后曝光,若手机应用偷偷在后台调用了摄像功能,这种隐藏式摄像头就会“突然”伸出头来……

有不少网友将此戏称为“流氓应用检测器”,而在媒体的曝光中,多款主流应用软件均被“检测”出疑似在后台调用手机前置摄像头。这一下,真的有些尴尬了。

或许,有不少应用已经是“习惯性”在访问我们手机的听筒、摄像头、通讯录甚至是更为隐私的财务信息。那么,这些应用的研发、运营机构对我们手机上关键部位和信息的访问,究竟是无心之举,还是另有所图呢?

窃取隐私只为变现

“简单来说,窃取用户信息和金钱都有关系。”

曾在广东某应用开发机构任研发工程师的胡建告诉懂懂笔记,自己所在公司开发的是一款手机记账应用。虽然应用的知名度并不高,但也曾拥有超过百万级装机规模。

起初,这只是一款简单的记账软件,只有读取、写入手机存储空间两项功能权限,而且安装时需要用户许可。然而,经过了数次升级改版之后,公司高层与产品经理一再要求研发部门在应用中加入更多的权限。

“本来就是款联网记账软件,却要求用户开放短信读取权限才能正常使用。”胡建说,虽然领导不明说,但大家似乎都是心照不宣。而这样一项与应用本身并没有任何因果关系的读取授权请求,却鲜有用户当回事儿,通常都是直接点击同意。

这个“同意”,实际上就是让应用能够读取、记录并上传手机中的短消息内容。

胡建透露,虽然被授权的仅仅是短消息权限,但平台却可以从用户短消息中知道大量有用的信息。如该用户银行卡和支付账户的余额,在电商平台上购买的商品类型,经常使用何种应用软件等等,都可以通过筛选短消息中的内容来获取。

“对于一些中小规模的应用开发企业来说,盈利的思路还是太短视。”胡建告诉懂懂笔记,这类企业之所以要收集与应用没有任何联系的用户信息,为的只是要出售用户资料,获得可观的额外收益,而且这些数据很少会进行脱敏处理。

以这一款简单的记账应用为例,用户在注册时,便已经验证了手机号码,填写了个人常用的昵称,设置了性别。如果再从用户的短消息中,提取到真实姓名、消费购物信息,那么组合起来的用户资料,就已经变得十分详实。

仅仅有姓名、电话号码的用户资料,黑市交易也已经叫卖到了好几元一条。而这一类信息详实的资料,价格自然不会低,大量贷款、保险、房屋中介机构都会乐于购买这种资料。”他补充道,之前所在公司还会将数据脱敏以后提供给一些机构用于数据分析,到后期就直接将收集到的用户资料出售给营销机构,通常的交易价格在30-50元(每条)之间,部分含有信用卡额度、用户地址等信息的个人资料,甚至可以卖出近百元(每条)的高价。

这一切,都已经成了一些中小规模应用开发机构间公开的“秘密”。胡建表示,这些应用本身能产生直接价值,而且广告收益也十分有限。因此,用户数据成了个别企业牟利的主要途径。

甚至,一款App应用能够收集到多少用户隐私信息,还能决定这家开发企业所能拿到的融资数额。

天下没有白吃的午餐。现实中,类似这种窃取用户个人隐私权限的手机应用并不少见,但却很少有用户发现其中的猫腻。一大串隐私授权提示,很多人看也不看就尽数“同意”,大量的个人资料都被“同意”上传到应用企业的服务器上。有些信息就成了机构敛财、变现的筹码。

以优化之名行窃取之实

“人无远虑,必有近忧。”

这是张翔(化名)从创业至今,一直奉行的信仰规条。与胡建所说的“短视”企业相比,他对用户信息的获取目的,不是变现,而是为了企业发展规划。

他创办的公司最初是做手机浏览器的,虽然不及那些主流浏览器受欢迎,但有预装合作的小众手机厂商也并不少。早期,为了调查手机用户的应用需求与使用习惯,公司曾在自家浏览器弹出相关的调查问卷。然而,摸查结果却一直不尽理想。

“最好的摸查方式,是能够看到用户的应用界面。”因此,他和产品团队将抓取用户桌面、应用界面的权限,加入到了应用当中,并以“帮助改进优化”为由,让用户同意诸多隐私调用条款。

用户只要同意了该权限,那么只要浏览器应用处于后台运行的模式,便会静默并适时截取手机界面。这些信息上传至企业的服务器后,会进行相关的用户行为需求分析。

“我们不会去出售用户信息,这样做太Low!” 张翔坦言,收集信息分析产品短板,这种做法算是圈内的行规。不过,与其说这种做法是帮助用户优化应用,不如说是在提高技术团队的产品研发能力。

“用户手机装了什么应用,什么功能需求最大,聊天过程的信息,我们是可以总结分析的。”张翔透露,公司今年初推出的另一款图片瘦身应用(美颜App),便是在这样的需求分析下诞生的。

几个月前,通过大量的用户行为分析,团队发现有不少用户尤其是手机容量较小的用户,都有图片量大但储存空间缺乏的烦恼,甚至有部分用户每天都有习惯筛选删除照片的行为。

通过信息抓取分析出用户需求后,他要求团队尽快研发出一款能够压缩图片,减少占用用户手机储存空间的应用。结果在今年四月份这款应用推出后,受到了很多用户的喜爱。

“如果没有前面用户行为收集与分析的过程,就没有后来这款瘦身应用的诞生。”张翔对此颇为欣慰,因为他们不碰用户隐私的红线,也不用用户隐私牟利。

张翔坦言,如今不少有“远见”的应用研发机构,都会通过类似的方式分析、挖掘、研发出适应市场潮流的产品。而且每一款新推出的应用,都同样会有收集用户隐私行为的功能,多维度抓取数据,相互补充,进行精准的用户画像,继而为新产品的研发寻找契机。

部分应用企业虽能够有的放矢地开发出用户喜爱的产品,但有些做法却是赤裸裸的将用户隐私行为“窃取”换来的。即便张翔分析,大部分隐私行为对于自律的应用企业来说没有太大用处,却足矣让逐渐了解真相的手机用户,感到毛骨悚然。

将隐私信息当成企业变现的筹码肯定不妥,那么以“优化”之名窃取用户动作的行为,就很有操守了吗?

电商要隐私只为精准推广

“传闻说有些电商平台能了解用户喜好推荐商品,太可怕了。”有网友称如果用电脑或者手机查看了一些商品,很快手机中的网购应用就会向自己推荐相关的商品,让人觉得既惊讶又后怕。

其实,这样的“推荐”对于在电商平台上经营海淘化妆品的企业主孙娥来说,一点都不陌生。她表示,平台之所以能够向买家准确推荐需求产品,都是个人隐私外泄的“功劳”。

“说白了,我们购买平台的有偿推广服务,等同于在购买用户的需求隐私。”她透露,几乎所有电商平台都有类似的定向推广业务,即向精准的、有类似商品购买需求的用户推荐商家产品,并在点击或成交后,支付平台推广费用,“有的只是单纯推给用户看,就要收商家推广费了。”

而且,这种展示推广的位置已经不局限于电商应用内,甚至在用户手机中的一些浏览器、输入法,以及个别信息流应用中,都会被类似的“精准推广”所占领。

“手机中的一些应用,会有泄露用户隐私动作的可能,反映在电商平台就是有价值的信息。”曾在某知名应用开发企业中担任产品经理的张强(化名)告诉懂懂笔记,他之前负责的是某输入法应用的设计工作。而这款免费的输入法产品,最大的合作“赞助”商便是一家大型电商平台。

他表示,公司会将用户使用这个输入法时出现的产品名称、频次等数据以及手机或局域网所在的IP地址,脱敏处理后反馈给电商平台。而平台通过数据挖掘分析后,会将“合适”的产品信息推广到“合适”的用户手机端,称为定向投放。

“虽然隐私信息是输入法提供的,但投放的平台,有可能就是与电商企业合作的手机浏览器或信息流。”张强补充道,类似的合作并非单一的,浏览器、信息流应用也有可能会搜集用户需求,与电商平台进行资源置换或推广变现,“还有个别主流输入法也已经加入电商精准推广的行列,开始在输入界面上打广告了。”

相比于前面两类窃取用户隐私行为的机构,电商行业显然更加“高明”。在将用户行为用作定向推广依据,以精准的服务向平台商家推广之余,其还可赚取高昂的营销广告费用。

然而,不管是将用户隐私用于变现、研发还是推广,说到底都是为了一个“利”字。企业为了尽可能多的谋利,会想尽一切办法“获取”用户的个人信息,其中很多方式也令用户防不胜防。

对于个人隐私信息,公众无外乎两种态度:一类是无所谓,反正是自己已经透明了;一类是尽可能避免个人隐私泄露,尤其是关键信息。而对于“混沌”之中的互联网行业而言,公众的麻木并不是尚方宝剑。或许今年5月25日正式生效的欧盟隐私法案《通用数据保护条例》会是一个警示,作为“史上最严”隐私法,被认定“违规”的企业将受到严厉处罚——至少1000万欧元或企业上一财年全球营业总额的2%—4%,而条例中对于数据主体、对于个人数据的控制与规范,更值得企业和公众去关注。