2023.02.03

现实版三体“智子”?手机App正在监视你的隐私

在退烧药和抗原之后,家用血氧仪也开始大范围缺货,价格不断被推高。

近期#千元血氧仪成本仅几十元#的话题占领微博热搜。

有些人把目光投向了我们手里的手机,越来越多号称能测量血氧的App受到大众关注。

它的大致原理是通过手机闪光灯照射手指,并用摄像头记录微血管的搏动,然后用算法分析得到心率和血氧数据。

我也下载其中一款尝试了一下,发现测的并不准确,与智能手表有2%-3%的误差。

要知道,血氧饱和度正常值范围很窄,读数差一点实际偏差非常大。

相关专家也表示,这种方法测出来的血氧数据没有多大的参考价值。

更离谱的是,这个没啥用的App居然需要索取一大堆敏感权限。

调用摄像头就算了,还要获得设备精确位置、修改或删除手机文件、查看相册内容,甚至还需要随时调用手机麦克风录音。

或许它不能检测血氧,但却能像三体人派来的智子一样,监视我们的一举一动。

其实,App隐私安全是一个老生常谈的话题,软件违规索取权限也普遍存在,iOS由于独特的封闭性,在隐私保护方面做得还不错,但那些开放的生态系统就难逃魔爪了。

那么问题来了,主流手机品牌谁在App隐私安全性上做得最好呢?

本次参加测试的选手,分别是华为Mate 50 Pro、小米 MIX 4、OPPO Reno 9 Pro+以及vivo X90。

测试时间为2023年1月6日-14日,四款手机软件商店和系统均为最新版本。

隐私安全,各显神通

想要保护隐私安全,就要先知道App在后台对我们做了什么。但在过去,这是一件很难的事情。

比如,我们在买高铁票时,为了抢票方便提前复制身份证号码,某些别有用心的App就会调用剪贴板,并偷偷记录下来,隐私被转卖几手了,我们还是不知情。

随着大众对隐私安全关注度的提升,各品牌手机都加入了应用行为记录功能。我们可以清晰地看到App在什么时候使用了哪些权限。

调用剪切板、麦克风等敏感权限时,还会弹窗通知,从而揪出手机中盗取我们数据的黑手。

针对不给权限不能用的问题,华为、小米、OPPO、vivo都能“用魔法打败魔法”。

也就是隐匿真实数据,给App一个空白信息或直接不给信息,从而绕过授权直接使用。

除了潜伏在后台的App,我们日常使用的一些无心之举也会导致隐私泄漏。

网络上流传着这么一个说法,你在自家窗口拍摄一张风景照,然后原图发到群里,相当于给群里所有人公布了你家的GPS位置。

通过对拍摄时间与太阳角度分析,甚至还能准确推断出你家的楼层和门牌号。

尽管听起来有些夸张,但在技术上是能够做到的。

因为我们用手机拍的每张照片都有详细的Exif信息,如果选择原图发送,也会一起毫无保留地传出,任何人都能读取 其中的机型、镜头参数、拍摄时间以及位置信息。

针对这个问题,华为加入了图片隐私功能

开启后应用无法读取到图片包含的敏感信息,聊天大胆发原图,也不必担心隐私问题。

OPPO、小米也有类似的图片脱敏功能,不过藏得比较深,需要仔细找才能开启。

应用商店,内藏玄机

通常我们下载App都是手机自带的应用商店,接下来就看看这四个品牌官方应用商店隐私安全表现如何。

首先,各品牌都清晰标注了应用所需权限和隐私政策,这里要点个赞。

不过,还是存在山寨App的问题,特别是那些在其他平台很火但安卓没有的App。

这里以iOS笔记软件GoodNotes,以及PC游戏鹅鸭杀为例,查看各家是否存在山寨App。

搜索关键词GoodNotes,OPPO、小米应用商店有名字只差一个字的疑似山寨App,图标也十分相似。

点进去查看用户评论,全是关于广告多还有会员收费不合理的差评。

做得最好的是华为、vivo,均没有名字或图标高度相似的App。

而且vivo有明确提示“该应用未在安卓上架”。

至于最近很火的游戏鹅鸭杀,华为、OPPO、小米无疑似山寨App,只有登陆应用商店的预告。

而vivo应用商店有图标一模一样,名字也相当碰瓷的软件,用户评分仅有1.1。

点进评论区都是关于广告的吐槽。

有用户表示自己玩了1分钟,就自动下载了5个软件。

我也下载试玩了一下,确实是广告满天飞。

如果不小心点错,退出游戏就会发现手机里多了一堆不知名App,让人细思极恐。

当然,上面两款App只是冰山一角。

在合规性方面,由于不能逐个App下载进行测试,我们只能参考官方公布的数据。

从2019年12月起,工信部连续开展多次App侵害用户权益行为的专项整顿工作,存在问题App会第一时间下架,各家品牌也会定期自查。

根据工信部《2022年第三季度电信服务质量的通告》显示,在对重点应用商店及分发平台的检查中,vivo、华为应用市场的合格率名列前茅。

而在清朗行动“APP侵害用户权益问题的自查”专项行动中,华为还获得中央网信办颁发的奖项。

看来在合规性方面,华为应用市场是四大品牌中比较优秀的。

以身试毒,谁能幸免?

即便是常年在网上冲浪选手,也难免会有失手的时候,不小心点到一个弹窗,风险应用全家桶就安排上了。

通常这种潜在风险应用都是绕过官方应用商店,在第三方渠道下载安装的,这就非常考验系统对的判断能力。

我也找来几款风险应用以身试毒,看看这四大品牌手机会有什么不同后果。

在App安装的时候,四款手机都会启动自动扫描,但只有华为成功将8款高风险软件全部识别出来,并明确告知会导致什么后果,建议用户停止安装。

小米识别出其中4款,OPPO识别出2款,而vivo仅识别出1款。

▲安装时能否识别高风险App

给四款手机装上同样的恶意软件,使用一段时间后,得到的结果让人意想不到。

其中,OPPO和vivo情况较为糟糕,手机刚刚解锁时,偶尔会有莫名其妙的广告弹窗霸屏。

而且关闭的按钮特别小,如果不小心点到里面的某些内容,就会唤醒一连串的App。

小米则是能在应用获取危险权限时提醒,并禁止相关程序联网,对于恶意弹窗的拦截成功率也要高于OPPO、vivo。

不过有时也会被绕过拦截,弹窗主要出现在刚解锁的时候。由于设置禁止联网,弹窗的内容无法显示也不会唤醒其他App,直接关闭就行。

在本次测试中,华为是所有品牌里表现最好的。

塞了几个不良应用以及病毒应用都跟没事似的,没有烦人的弹窗更没有突然跳出的广告。

这要归功于应用管控中心功能,它会自动将风险应用隔离起来,并禁用自启动、弹窗等敏感权限。

使风险应用只能在受限的区域运行,且运行时无法获取真实的数据,从而保护我们的隐私。

▲8款软件中1款无法运行,其余全部监控

此外,华为应用市场还自带应用安全检测,可全天监控设备上已安装应用的安全情况,及时保障用户应用隐私安全。

而其他品牌都集成在手机助手,需用户手动点击。

值得一提的是,华为和小米都加入了纯净模式。

华为允许用户一键禁止第三方渠道的应用安装,就像iOS一样只能在官方软件商店安装App,同时禁止病毒和风险App运行,对于不熟悉手机操作的老年人来说非常实用。

小米同样可以关闭第三方安装渠道以及管控风险App,但对于风险App的识别能力不如华为,有时会有漏网之鱼。

隐私保卫战

随着用户对于隐私保护需求的日益加深,手机厂商也已经越来越重视隐私保护功能。

“让iPhone上发生的事,就留在iPhone上”这句广告词,充分展示了苹果对用户隐私的尊重。

早在2012 年,iOS 6就加入了匿名识别码功能,跟App们斗智斗勇,iOS 14还最早加入了指示器功能,当App调用相机、剪切板就会提醒用户。

2019年华为、小米、OPPO、vivo联合开发了我们自己的匿名广告标识——OAID,限制广告追踪,吹响了国内安卓隐私保护的号角。

小米在MIUI 12 带来了“探照弹”“拦截网”“防止追踪”等一系列功能,让安卓用户第一次知道App在后台对我们做了什么,并采取反制措施。

vivo的“原子隐私系统”,以“第二空间”的形式打造拥有高隐私属性的独立空间,从而满足用户私密信息不想被任何人看见的需求。

从ColorOS 12开始,OPPO利用智能算法自动识别伪基站,拦截所有伪基站发出来的信息,守护我们的财产安全。

而华为从根源上建立起新的基于鸿蒙生态的应用服务秩序,让App从开发、发布、安装、运行全生命周期都得到有序的管控,获得了20+全球权威机构认证。

—最后—

在2023年的今天,我们还有什么东西没放在手机里呢?

隐私安全这个话题我们早已清楚它的重要性,但却常常选择忽视。

过去,我们一次次在隐私和方便之间选择了方便,不是因为我们本性开放,而是没得选。

如今,国家相应法律法规逐步完善,华为、vivo等一众国内品牌也挺身而出,共同打造更加安全私密的系统环境,值得我们每一个人尊敬。

或许,在可以预见的未来,我们再也不用担心隐私问题,真正做到“我的数据我做主”。

本文来自微信公众号 “科技每日推送”(ID:apptoday),作者:飞翔的月月鸟,



上一篇:打造视频监控安全一体化方案,物联网安全企业

下一篇:5G普及加速,现代化工厂的网络安全风险为何越来越大?