互联网时代,我们真的还有隐私吗?
01
拼多多攻击用户手机
我这辈子走过最长的路,是拼多多的套路。
谁也说不准,在拼多多免费拿下一件商品,需要朋友砍多少刀。
之前有个游戏主播超级小桀直播邀请观众一起砍拼多多,砍两小时,砍到小数点后六位,六万人在线没砍下一台手机。
随后该主播致电拼多多人工客服,但该客服直接挂断了主播电话。
六万人能砍下一座城,却砍不下来拼多多一个手机。
不过最可怕的还不是砍一刀,而是你帮他砍一刀,它把你看精光。
前几天,网上就曝出了拼多多利用系统漏洞攻击用户手机的情况。最初是南方日报报道出来的:
国内知名独立数据安全研究服务机构深蓝DarkNavy日前发布一则报告称,有知名互联网厂商通过挖掘安卓厂商OEM代码中的反序列化漏洞攻击用户手机。
拼多多安装好那一刻就监控了你的手机,在获取系统权限之后,主要做了下面几件事(正常 App 无法或者很难做到的事情):
1.自启动、关联启动相关的修改,偷偷打开或者默认打开:与手机厂商斗智斗勇
2.开启通知权限
3.监听通知内容
4.获取用户的使用手机的信息,包括安装的 App、使用时长、用户 ID、用户名、社交媒体账户资料、位置信息、Wi-Fi 信息、基站信息等等、
5.修改系统设置
6.整一些系统权限的工具方便自己使用.....
简单来说:看看自己的用户在淘宝、京东这些竞争对手那里的数据情况,给自己“保活”,顺手防止自己被卸载。
具体的实现路径是拼多多使用了某黑客技术手段,利用安卓手机厂商 OEM 代码中的反序列化漏洞,进行攻击。
这种黑客手段能够绕过我们手机的系统校验,获取系统级 StartAnyWhere 能力获得提权,进而就可以控制整个手机系统。
最后绕过隐私合规监管,收集用户的隐私信息。
02
窃取用户数据的惯犯
拼多多虽然一个劲在偷窥用户数据,但对于自己的数据安全人家还是很重视的。
此前他们就曾以“数据安全”为由,开除了一名带电脑回家办公的员工,被法院认定违法辞退,判赔17万余元。
可见在保护自己数据安全方面的工作还是很重视的。但在保护用户数据方面,不知是有意还是故意,总是漏洞百出。
上一分钟注册的信息,下一分钟的营销短信到手机上了,好歹给点儿反应时间啊。
哪怕你用的是台老年机除了接听电话什么也干不了,却能收到拼多多的快递链接。
之前在网络平台,也爆出了疑似拼夕夕窃取用户微信数据的情况。
图一是当事人头一天晚上讨论的粘牙糖。
图二是当事人在当天晚上打开拼多多看到的粘牙糖。
说实话我有点害怕了 如果这是真的,如果聊天记录也能被窃取监视,那么我们的微信密码有何用?
你好好做个购物软件,不停地收集用户手机、微信信息、地址信息、浏览信息,作为用户,真的害怕啊!
其实拼多多在数据安全方面做过的恶,还远不止如此。
2021年的时候就有过这样一个事件:一男子在使用拼多多软件时,参与了软件中“邀请1人,直接提现100元”的活动。
活动完成之后平台并没有给其100元钱,而是给其30元。
他向拼多多后台客服投诉,客服称此活动完成后所给的金额是随机金额,而男子随即把活动的标题与图片发给拼多多的客服,并质疑其虚假宣传。
之后令人费解的事情发生了,在与拼多多客服争论之时,他发现自己手机相册里的证据照片没了。
其手机状态栏提示:“检测到拼多多已删除你的相册里的照片或者视频”。后在相册回收站里找到了被删除的相片。
是的,拼多多就是这么霸道,能够直接进手机删除你的照片。
还有拼多多会在用户手机上把自己的图标替换成了widget(桌面小部件),这么做的目的大概率也就是为了逃避卸载。
当用户把桌面小部件删除之后,app还是安装在你的系统中,还是可以给你推送消息,并且点击消息可以进入到拼多多app。
如果一家企业,用这种非常规甚至带有“流氓”性质的手段,来捆绑裹挟消费者,费尽心思留住消费者,那么说明这家企业已经心虚了,只会适得其反、徒增厌恶。
03
万物互联时代,数据安全太难了
中国用户隐私不值钱是出了名的:
奔驰、大众质量召回门,全球免费召回,除了中国地区;
苹果"降速门",全球用户获赔5亿美金,除了中国地区......
我们对于消费者权益的保护,对于个人隐私的数据,实在太薄弱了,重视程度远远不够。
利用如此环境,各大互联网APP真的是八仙过海,各显其能......
APP越来越庞大,占用的资源越来越多,要各种权限,最好能给的权限全部都给了,尽量榨干净任何信息的价值。
他们榨取信息干什么用呢?能搞出创新?
互联网行业,尤其是电商领域,在拉客、揽客、搞促销、搞竞争方面从来不留余力。
1月有元旦节、年货节;
2月有情人节大促、开学季;
3月有吃货节、女王节、女神节;
4月有粉丝节、超级品牌日;
5月有520大促、闺蜜节;
6月有端午节、618年中大促;
7月有狂暑季、购物节;
8月有七夕、88大促、开学季;
9月有中秋、划算节;
10月有国庆、双十品牌团;
11月有双十一、感恩节;
12月有双十二、双旦礼遇季等等。
所以他们拿到这些数据无非一个目的:各种花式推广告,广告无处不在,见缝插针;然后研究客户画像,你喜欢什么就给你推送什么。
当然了,也为了自身考核的原因,因为现在的大厂就是各种KPI,日活,留存,转化····
考核什么就弄什么。
毕竟互联网经济发展如此之快就靠三个东西:如何低成本快速获取流量,如何把流量变现,如何实现快速迭代。
数据便是他们流量获取、流量变现以及产品迭代的底层支撑。
所以这一块领域一定是数据泄露和平台偷窥客户隐私的重灾区。
2020年5月,工信部公布首批《关于侵害用户权益行为的APP通报》。
其中,许多头部app赫然其中。
腾讯QQ、QQ阅读、小米金融、人人视频......
主要涉及的“私自收集个人信息”、“私自共享给第三方”、“强制用户使用定向推送功能”、“超范围收集个人信息”、“过度索取权限”、“不给权限不让用”......
过分一点的话,连家里有几个人,都是什么职业,住址是哪儿,家里养了几条狗以及狗分别叫什么名字都知道。
因此,我们必须坚决抵制随意收集个人隐私、滥用个人隐私数据的违法行为。
首先在顶层设计层面要有足够的重视——
《反垄断法》、《中华人民共和国网络安全法》、《数据安全法》、《个人信息保护法》真的该用起来了。
就像工信部公布的侵害用户权益行为APP的通报,就是开了个很好的头,但仅仅依靠于此还不够,还要有足够强力的行政手段、司法手段来配合,该罚的罚,该抓的抓。
其次,要培养一批实力足够强的数据安全公司,用市场主体去对付市场行为。比如启明星辰最新的数据安全治理管控平台,组成防控一体的数据安全整体解决方案。目前,已经广泛布置于政府、公安、医疗等领域。
随着互联网迈入产业互联的下半场,不仅是用户隐私安全需要保障,更需要构建一个关系到更大范围的大数据安全网络。
至少保护我们最后一方个人隐私数据的净土。
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除