【猎云网(微信号:ilieyun)】6月3日报道(编译:蔡妙娴)
编者注:本文作者为Glenn Fleishman,西雅图资深科技行业编辑。
浏览网站的时候,我们都知道如何屏蔽那些有时候记录我们的上网足迹的广告,但如今大多数人都成了“手机族”,手机里的应用到底透明度多少,我们的信息被追踪了多少,被转手了多少,恐怕很少人能回答上来。我们也不清楚应该使用什么工具来屏蔽此类行为。
于是,操作系统开发商变成唯一的救命稻草。苹果和谷歌制定了应用开发规则,规定开发人员在追踪用户行为,请求获取个人信息,以及将数据迁移至远程服务器时,必须遵守法律条例。与此同时,操作系统开发商有监督、执行这些规定的责任。然而,这些规定十分空泛,除非是极其过分的行为,否则总要用户或研究人员举报违规,才能真正得到运用。
比如说,苹果要求应用在传输个人数据之前,必须获得用户的许可,且需描述数据的传输方式及用途。但苹果并不会就这些规定,拦截可疑的网络通信,或要求对远程数据库进行审核。
华盛顿大学计算机科学与工程助理教授Franziska Roesner专门研究计算机安全和隐私课题,他表示:“当应用申请许可时,操作系统开发商实际上没有管理的能力。iOS也不知道应用申请读取你的地理位置是否合理,所以他们才问用户。”
在地理位置数据的使用方面,苹果不得不相信开发人员。Roesner曾进行过研究,试着将收集数据的目的和应用界面包含的元素联系起来,确保数据不会被滥用。
许多开发人员会通过第三方分析程序包和广告科技代码嵌入其他功能,让看似无害的用户信息和其他渠道收集来的数据相关联。因此,某一应用发送的数据独立来看可能没什么大不了,却能够锁定特定用户,被恶意使用,连开发人员也蒙在鼓里。一般来说,开发人员不会审核这些代码,也无法告诉你它具体是做什么的。
拿最近火到国外的美图秀秀来说,中国用户对这款免费应用不会陌生,不久前,踏足海外的它直接引爆社交媒体。然而,当安全研究人员检查美图秀秀时,他们发现了一层分析和广告程序包,当中只有部分与工作代码有关,而在安卓和iOS平台上,这些程序包会请求用户给予多种权限。
在争议的当口,美图秀秀方面告诉我,他们嵌入了部分地理位置和应用检查代码,为的是符合中国的广告网络规定。一方面,越狱设备可能会被用来欺骗广告商,另一方面,广告商会要求某些信息只投放到特定地理位置。苹果证实,美图秀秀现在仍然在使用这些程序包。
在美国,联邦交易委员会只有在某公司潜在违反信息隐私条约(包括COPPA,儿童上网隐私保护规则),或对自己的声明出尔反尔的情况下,才能代表用户介入审查。在FTC的网站上,有一页展示了过去的数据隐私诉讼和结果,其中也有与应用相关的。
那么,用户该怎么办?有人已经开始学术研究。未来,将有两种技术联合,让用户掌握更多的应用连接监控权,挖出那些肆意妄为和私密数据不安全转移行为,甚至在私密数据被发送之前,将其拦截下来。
窃取与反窃取
马萨诸塞州东北大学计算机与信息科学学院助理教授Dave Choffnes带领一支团队,开发了用于保护个人可识别数据(PII)的虚拟专用网络(VPN)ReCon。和普通VPN不同的是,普通VPN通过设备和数据中心或企业服务器之间的安全隧道来保护数据,而ReCon还具备审查功能,能够审查手机和互联网之间的数据流动。用户只需在手机上安装网络配置文件,就可以像使用普通VPN一样使用ReCon。ReCon能够全面审查未加密连接中的内容,哪怕你在蹭公共无线网。
在研发的过程中,Choffnes和同事发现了一些惊人的秘密。比如过,GrubHub会无意识地把用户密码发送给Crashlytics——一家谷歌旗下公司,致力于帮助开发人员找出错误代码。Choffnes随即通知了GrubHub,后者重新修改了代码,并让Crashlytics删除了所有包含密码的相关数据。
Choffnes团队从应用通信中提取数据,接着尝试判断哪些属于PII。这项工作既简单又复杂。大多数数据通过非结构性方式传输,通常会使用API,以JSON形式呈现。Choffnes团队运用机器学习技术,即便PII不具备标准结构形式,或出现在不合常理的区域,也能够识别出来。
ReCon项目发布了收集自几百位早起用户的一些数据,包括被审查的应用,它们传输的数据类型,安全得分,开发人员是否知情以及不当行为何时被制止等等。
对于已经安装了应用的用户,ReCon提供了相应的网页接口,用户可以通过它来屏蔽或修改所发送数据。比如说,用户可以屏蔽所有特定类型的PII,或某一应用发送的所有地理位置数据。不过,由于某些应用必须获取地理位置信息,该团队现在正在研究如何细化这些信息,而不是全面屏蔽。
当然,审核用户数据本身就是巨大的安全风险,这也反映了ReCon的演变。使用它不需要密码,因而也就没有这方面的价值可言;而且它检查的,仅仅是——比方说密码是否在未加密的情况下被传输出去。研发团队希望未来能够开发出无需用户提供私人或隐私信息的同时,部署分布式机器学习技术。
“暗度陈仓”
在众多学术机构共同发力的时候,加州大学伯克利分校国际计算机科学学院(ICSI)的合作项目The Haystack Project有了成果——一款直接从源头抓取数据的安卓应用(iOS版本尚未开发完成)。
与ReCon类似,Haystack的Lumen隐私监控应用就像一个VPN,但能够从内部实现数据分流,而不是发送出去进行分析。用户可以自行设置,拦截、分析应用发送给服务器的数据。相比之下,ReCon运行于手机和网络之外,并不具备拦截功能,不过它能够确定应用传输数据的目的地、负载能力和传输频率。
ICSI研究院Narseo Vallina-Rodriguez表示,开发人员必须注意,Lumen无法向外发送数据,这必然会延迟手机处理任务的速度。与此同时,Lumen会评价、汇报应用的所作所为,未来,研发团队可能会提供屏蔽控制功能。
应用行为报道采取匿名片段形式,能让研究人员知道它截取、传输了哪种个人信息。“我们看到许多东西,比方说应用会连上Wi-Fi的MAC接口(媒体访问控制)来获取地理位置信息。”Vallina-Rodriguez说。
尽管某些个人数据的收集需要用户许可,“我们发现,一些应用和第三方服务在用户不知情的情况下使用内部‘暗道’。”Vallina-Rodriguez说道。他强调,含有系统信息的安卓文件可能也有自己独特的网络标识符,包括IP地址,应用发送这些信息时用户是不知情的。
值得高兴的是,上述两个项目之间并不存在激烈竞争,还有合作的计划。两支研发团队仍将独立研究,但会各取优点,整合数据以从宏观上了解应用行为。
我们需要的是切实的政策,而非“官腔”
尽管ReCon和Lumen已经为我们提供了深入的视野,但各个应用都在拿数据做些什么,在很大程度上仍然是不可解的问题。许多隐私专家和研究人员制定完善的法律条例来划定隐私的界限,当然,不考虑那些软件或人工能够直接识别出来的,这种办法在个人用户身上是行不通的。
Choffnes强调,“隐私政策总是说得好听,实际上非常宽泛,这就给它们创造了躲避FTC商业欺诈规定的空间。”
Ayurvedic Wellness 的政策顾问Stacey Gray表示,于是紧接着,最关键的问题反而开始含糊不清,因为数据使用“总是出人意料,不合规矩,或者包含敏感内容”。比方说,一家找餐厅的应用可能会请求获取地理位置,好帮你推荐附近的餐厅。但是,如果他们在你不知情的情况下将地理位置信息卖给了其他人,那么这种做法就是“不合规矩、意想不到的”。虽然你本意没有放弃保护地理位置信息的权利,但那一串串的法律术语早就把你绕晕了。
Gray还指出,有些情况是我们怎么也想不到的。比如说,应用开发商和第三方广告科技公司都严格遵循了法律条文,但这时某个不相关公司违反了隐私规定。她举了2016年5月的一个真实案例,当时一家公司宣称能够将广告定点投放给拜访过计划生育诊所的女性,宣传反堕胎宗教咨询服务。这一行为大概是合法的,但显然违背了用户本人、广告公司或广告发行商的意愿。
同样的冲突激发了广告与广告屏蔽行业之间的战争,这也让手机应用背后的商业模式更加难见天日,ReCon和Lumen团队的研究工作也因此显得更重要。Choffnes解释说,“大部分的行业进步都来自学术界,我们所揭露的事实对公众来说是好事,但永远不会从行业人士嘴里说出。他们的利益依仗这种行为,却不知把用户隐私置于何处。”