失控的智能设备 谁在“消费”我们的隐私?

 公司新闻     |      2023-06-27 01:39:27    |      小编

  家居、出行等智能化的快速发展,让生活变得更加便捷,然而与此同时,便利的智能设备也让隐私问题亮起了红灯。2017年以来,不断有媒体曝出360水滴平台直播全国多所学校、幼儿园,商用店铺直播路人、家用摄像头画面被窃取、盗卖的新闻,直到年底时,一篇《一位92年女生致周鸿祎:别再盯着我们看了》的文章,直指360水滴直播泄露用户隐私,激发了公众的情绪点。

  此外,家住杭州的胡女士对此有了亲身经历。根据报道,胡女士像往常一样打开手机,想要查看下家里的状况,突然发现摄像头动了。而据胡女士介绍,家里的摄像头只绑定了她一个人的手机号,还设置了较为复杂的密码,在她没有操作的情况下理论上不可能会动的,于是她赶忙打开手机操作界面,竟然发现摄像头操作界面观看人数为两人。

  在一个逐渐以物联网为基础设施,智能化家居产品逐渐搭建和完善的时代,数据正不可避免地成为富有价值的资源,同时也被各方觊觎着,危机四伏。那些本用来防盗、看管宠物、照料小孩用的智能摄像头,竟然出现了成百上千陌生的眼睛,在偷窥着你的家,侵犯着你的隐私。

  那么,市场上的智能产品安全性究竟如何,提供网络安全解决方案的专业人士白帽汇创始人赵武为我们进行了现场演示。

  白帽汇创始人赵武指出,物联网设备对于升级的成本要求很高,比如固件升级需要通过家庭人为地下载软件,装在电脑上插入数据线,与物联网设备进行连接,然后实现升级,而这往往会导致漏洞修复周期变得很长。

  赵武也指出,联网分两块,一个是局域网络,例如在智能家居中添加一个路由器控制电冰箱或扫地机器人,这只是基于本地进入家里的手机管理,不存在问题,因为这是脱离互联网环境的。但如果用户同时还需要在办公室去查看家里的宠物,甚至老人的照顾情况,这实际需要联上互联网,而联上互联网的状况则会为它带来很大的威胁。

  “因为这个过程从私有化的网络接入了公网,而在整个公网环境中,黑客是可以访问全球所有网络的,这会导致提供给了黑客介入的入口”,赵武解释到。

  除了智能设备之外,近期曝光的手机APP越界使用用户权限,更让我们看到信息窃取正无孔不入地渗透到生活中。

  最近,江苏省消费者权益保护委员会指出,手机百度、百度浏览器两款手机APP在消费者安装前,未告知其所获取的各种权限及目的,在未取得用户同意的情况下,获取诸如“监听电话、定位、读取短/彩信、读取联系人、修改系统设置”等各种权限,并提起了公益诉讼。尽管百度对此回应,手机应用没有能力、也从来不会申请“监听电话”权限,然而关于其它权限的质疑并未详细回应。

  本月11日,工信部信息通信管理局更是约谈了百度、支付宝和今日头条,指出三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,并要求三家企业进行整改。

  国家信息中心软件评测中心质量总监袁艺匀指出,目前关于移动应用软件检测有一些相关的标准,如身份鉴别、软件的合规性检查等要求;但是暂时还没有正式发布的国家标准。“目前在它的合规性方面,安卓上有很多的安全厂商在进行合规性的把关,苹果则是由其官方通过应用商店进行把关。”

  赵武强调,政府要求各个APP的厂商进行实名制,但是这些厂商绝大部分缺乏安全能力,于是就出现了企业把用户的信息搜集过来,但却又保护不住,这是在规模小的APP厂商中大量存在的问题。

  而在生活中,互联网技术发展对个人隐私带来的挑战以各种伪装面貌,出其不意地祭出招数,让人防不胜防。今年伊始,支付宝推出的个性化“2017支付宝年度账单”以暖心的文风走红朋友圈,然而就在不少网友晒出自己的账单时,很快就有律师指出支付宝与芝麻信用存在“授权漏洞”,网友纷纷“被同意了”。

  北京市岳成律师事务所高级合伙人岳屾山向记者介绍,作为企业来讲,它在收集客户信息或者要求用户接受服务时,应该有十分明显的标识进行提示,告知用户这里有一个服务协议,其次,企业还不能够替用户进行“选择”,而交由用户决定同意与否,这其中涉及到用户的知情权和选择权问题。

  与此同时,有媒体通过对20款APP实测发现,当用户在安装APP时手机界面弹出的提示开通权限申请中,有不少APP涉及隐私权限不全,多款APP开启与主业无关的敏感权限,团购APP未明示下开启多项隐私权。

  对此,岳屾山认为,根据《网络安全法》、《消费者权益保护法》等涉及网络个人信息保护的政策中,都提到企业收集用户信息时需要遵循几个原则:合法、正当以及必要,而且需要取得用户的同意,也就是说企业在收集信息时应该是与企业业务本身或者为用户提供服务本身是有必要联系的。

  随着我们的个人信息被“窃取”,网络上倒卖个人隐私黑色产业正猖獗发展。通过镜头,我们可以清楚看到在多个QQ群中,以“摄像头”、“直播”为关键词的隐私贩卖消息在不断刷屏。甚至在一些群中,摄像头IP地址还被群主作为聚拢人气的礼物,免费向群员发放。而正是这些IP地址,满足了不少人的窥视欲。

  根据专业人士分析,用户信息泄露其实存在两种情况。一种是由于智能设备产品漏洞较多,安全性低,极易遭受到黑客的攻击,而造成信息被盗取。

  袁艺匀指出,从目前评测的情况来看,金融、电力、医疗、卫生以及电信行业对安全性要求非常高,而且它们在安全防护和安全检测方面投入也比较大,而日常消费品,尤其是新兴起来的智能家居的相关产品受到的攻击比较多。

  “一方面,厂商基于维护的考量,在远程管理方面会设置很多预置账户,当黑客反逆向得到这个账号之后就可以远程登录设备;其次,一些物联网设备在出厂时通常会有一个默认账号口令,用户在接到设备后很长时间内却不会修改账号口令;第三方面,很多物联网设备会连入云平台,但是目前不少云平台存在漏洞,黑客可以远程控制这些设备。”

  除了安全漏洞因素泄露的信息外,还有一类企业则是刻意要窥探用户信息,为了他们所说的客户画像,精准营销。从携程捆绑销售酒店优惠券、在订票信息下隐藏保险选项,到支付宝年度账单事件,互联网企业使出各种招数“潜入”我们的隐私中。

  根据记者观察,目前网络上爆出的各种数据安全的例子让人眼花撩乱,瞠目结舌:“电视和手机连接同一个路由器,你的浏览信息就可以被企业通过广告联盟共享”、“应用软件窃听麦克风权限,推送相关内容”等,这些爆料真实性有待考究,但网友对于隐私侵犯带来的焦虑感可见一斑。

  岳屾山表示,随着互联网快速发展,很多企业把用户信息视作一笔巨大的财富。“用户最近搜索了哪些内容,这些对于一些企业来讲可能是非常有用的信息,企业可以根据这些信息进行定向的广告推送,而且是非常精准地推送给用户,降低了广告误发或者大范围发放的成本。因此,很多企业尽可能多地搜集用户信息,而且企业也会表示在用户协议里已经写的很明确了,也告知了用户,用户同意了才进行收集,目前来讲这其实是处于一个野蛮的状态。”

  有专业人士指出,通过深度数据解析、网络通讯行为分析等技术手段可以检测到应用程序是否涉嫌收集、加工用户的隐私信息,然而,这种技术老百姓根本不具备。

  “老百姓是弱势的,只有两种选择,一种是弃用,但这其实是不可能的,用户正因为想用才安装,因此最后只能被动接受条款。另一种是安装了,但在后面系统调用权限时,用户认为有不合理的地方,但企业则会辩称安装的时候已经明确告知,用户安装后那就是个人的责任。”

  生活中,给孩子报个辅导班就会收到个辅导班电话,开个银行账户,会有多条推荐贷款的信息进来。当我们发现隐私被泄露或者超出合理范围被企业收集,可以提起诉讼维护权益,但是却面临取证难的问题。

  岳屾山指出,现在信息泄露的途径太多了,很难找到一个办法证明信息是由谁泄露出去的。

  ”这些企业把用户的信息收集走了之后,很难知道这个信息是保管好了还是被卖掉了,这一点消费者很难举证,也很难证明两者之间的关系,法院也没有办法判断,这是最难的一个事情。

  袁艺匀也提到,像电力、金融以及电子政务这些行业是有政策文件明确要求的,必须要做安全检测,而智能家居目前没有强制性的政策要求,也没有正式发布相关的标准和规范。

  “现在智能家居,例如摄像头、智能门锁、机器人以及智能玩具也直接关系到了人们的财产安全和生命安全,所以很有必要在这方面加强准入检测的要求。”

  然而,智能与安全性是硬币的两面。大数据时代,包括个人信息在内的数据通过流动、共享发挥出社会价值、经济价值,而这些数据在流动过程中,极易产生信息泄露的风险。在智能生活中你享受的便利越多,信息暴露的可能性就越大。

  《智能时代》作者、硅谷著名投资人吴军在做客节目时也指出,智能时代下隐私保护是件挺难解决的问题。

  吴军介绍,“这是很有趣的一件事,一方面我们都担心自己隐私泄露,另一方面我们自己是泄密者。我在硅谷做过调查,假设一头是百分之百保护隐私,将互联网全断掉,这样就失去了方便性;另一头是完全开放,就是说完全不在乎隐私。大部分人会选择中间,这是大部分人的想法。但是在问他们一些问题的时候,他们实际上的选择是放弃隐私。90%到95%的人要求方便性而放弃了隐私,他们不知不觉中就做出了选择。”

  去年是《国家网络安全法》实施第一年,明确规定要加强个人信息保护,为个人信息保护提供了法律依据。根据《2017年度网络隐私安全及网络欺诈行为分析报告》,安卓应用在下半年越界获取用户隐私权限的比例明显下降,而IOS应用获取的用户手机隐私权限比例则有所上升,达到81.9%;同时,伴随着个人隐私的泄露,网络诈骗等违法犯罪行为紧随而来,几乎每6个骚扰电线个诈骗电话。数据安全仍然任重道远。

  作为个人信息保护的第一责任人,对于用户来讲,首先要做的就是注意保护好自身的数据信息安全。赵武认为保护自身信息安全方法有三种,一个是通过隔离网络,第二个通过升级补丁,第三个则是通过部署一些安全的防护设备。

  “其实有个很重要的防护手段,就是尽量不要去接入互联网,非必要的业务不要去接入互联网。通过跟踪或者是及时修补安全漏洞来完成一次安全的升级,这就要求电脑已经习以为常了,装防病毒,进行补丁的自动化更新。”

  另一方面,也需要企业行为自律,以及寻求更专业的安全企业进行合作,定期对漏洞进行检测、修复。

  袁艺匀表示,从对企业检测的角度来讲,需要全面考虑服务端、网关、通信协议、终端,以及移动应用软件的安全性。另一方面,产品说明书对于安全设置的易理解性,以及设备安全配置本身的易操作性也要加强注意。

  “真正要提升智能家居设备的安全性的话,它是一个非常系统的工程,可能首先相关的机构在物联网和智能家居设备安全性方面,它得有相关的标准、规范,然后厂商要按照这些标准规范去生产,这个过程中可能还会需要质检机构进行检测。”

  岳屾山则倡议相关部门出台一个比较明确的细则或规范,来指导互联网企业在收集信息时应该使用什么样的文本和语言去告知消费者。

  “现在有的人很悲观的说,我现在已经裸奔了,一家企业不收集也有其他家企业收集,因此没有必要较这个真。但是我想说的是,即便我们现在是裸奔的状态,但我不希望再过十年或者二十年,等我们的孩子长大了依然处在裸奔的状态,所以,有些工作现在就需要去做。”金年会体育金年会体育