1000多款App越界“窥秘”, 他们拿你的信息做了这件事

阅读时间:10m
最懂
小程序生态商业
的自媒体
一场App和隐私保护之间的“拉锯战”,正在愈演愈烈。
不久前,今日头条App用户公开称该App擅自上传并保存其通讯录后,今日头条辩护回应时,一句“通讯录不属于原告个人隐私信息”,引发轩然大波,没想到,才过去短短几天,上千款App便因类似原因被公安机关清理整治。
本月,广东省公关机关正在进行2019年第二季度超范围收集用户信息App清理整治工作,共检测发现了1048款App存在超范围手机用户信息行为。其中,“酷狗音乐”、“云集”、“即刻”等多款耳熟能详的App,都赫然在列。
国内的App不断试探用户底线,美国知名社交应用Facebook也因一款性格测试应用不当收集了多达8700万的Facebook用户数据,面临美国联邦贸易委员会(FTC)开出的大约50亿美元的罚款,这也是FTC有史以来开出的最大民事罚单。
广大用户对此感到非常愤怒,他们在网上怒喊:“真是天下乌鸦一般黑!”
他们的怒火合情合理:App本是休闲娱乐、处理公事的工具,如今却成了泄露信息、暴露隐私的帮凶,简直是拿着用户信任干“苟且勾当”。
这让人不禁好奇:究竟是什么在“诱惑”这些App,甚至是知名App纷纷“犯禁”?用户通讯录在黑市上有什么价值?如今这一场大规模整治这一行为,会动了谁的蛋糕?
晓程序观察(yinghoo-tech)多方打探,发现这一条黑产下的秘密。
1
App“越界”?
“安装手电筒App,都要授权通讯录”某用户哭笑不得的说。
天气与通讯录有什么关系?这一离奇搭配,让他脑子里全是黑人问号,更离奇的是,他还遇到过“使用指南针App需要授权摄像头,壁纸App需要读取短信信息”的奇葩要求。
然而,他并不是个例。2018年底,中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》显示,10类100个App中,多达91个App列出的权限存在涉嫌“越界”过度收集用户个人信息的问题。
这一数据着实令人心惊,虽然App在使用过程中需要读取用户信息,是非常正常的行为,但过度读取又如何解释?
我们咨询了从事律师行业多年的“老将”赵占领,他对“超范围读取用信息”进行了简单概括:与App自身功能相关的属于合理读取,与自身功能不相关的则属于过度读取。
也就是说,用户使用微信扫一扫需要授权摄像头,这属于与功能设计相关的合理读取;而前文提到使用手电筒App却要授权通讯录,就属于典型的超范围读取。
超纲作业,无外乎利益的趋势。不少App运营者认为,掌握用户更多的个人信息就能为运营商带来更多收益。
大数据时代,一个App只需获取用户几个数据,就能全方位还原一个人。
有些App需要用户提供WiFi连接信息,看似无关紧要,其实开发者能通过用户的WiFi进行定位,甚至刻画出用户一天的轨迹。比如你经常在什么地方出现、住址、单位等等。如果再拿到用户手机号、身份证号,那么你的征信数据、电信定位数据、移动主机数据、快递数据、公安系统数据都成了别人的资料库。
届时,App就能通过你的种种喜好、习惯,给你推送各种营销广告。
这便导致,很多App对于用户信息的态度都是:你要我也要,既然要了不如多要几项。“围猎”用户信息,成了大家约定俗成的“市场病态”。
2
他们拿通讯录去做什么?
各个App宛如群雄逐鹿般的存在,不断地搜刮用户信息,而对于通讯录的收集,是整个“市场病态”的最大缩影。随着公安机关不断清查,App超范围读取用户通讯录的黑产,终于曝光在大众面前。
黑产的产业链其实就是信息倒卖生意,可分工为:数据源头 – 大中间商 – 小中间商 – 诈骗团伙。
数据源头就是可以获得核心数据的人,可以是App开发商,也能是其工作人员。他们将用户数据收集起来,卖给大中间商,由大中间商进行分类,再将分好的数据转卖给中小中间商,最后才会贩卖给诈骗团伙、私人侦探等有需求的人。
在晓程序观察看来,这条黑产下的变现之路,竟然是随着互联网产品的创新,进而不断进化的。
进化1.0,短信骚扰是最常见的路子。
正因App可以通过用户的通讯录构建出一个用户的关系网,能针对性的给用户推送相关的最新消息,此时用户会有一种“亲切感”,非常有利于产品的推广,这是很多短视频App、职场App的基本玩法。
“我就是通过短信通知,下载了某求职App”某自媒体运营者对我们说。
某天下午,他突然收到一条短信,称自己被前公司同事评价你“专业靠谱”,并推荐了177个人脉。这位用户心想,既然是熟人推荐的,下载一个也无妨。于是他就通过短信中的链接,下载了该职场App。
打开App进行注册后,一个页面弹出来,要求自己开放手机通讯录,还加了特别注意事项:确保通讯录不为空且手机号码有效。这时,他就明白了其中缘由,那条短信并非熟人推荐,而是App读取了熟人的通讯录,才找到自己。
进化2.0,电话催款令人“崩溃”。
今年3月一份遗书进入公安人员的视野,遗书的主人董女士因店铺周转困难,被电话推销(黑产的末端)下载了某借贷App,平台显示利率每个月仅0.6%,这让她动了心。
董女士填写完自己的个人信息,并通过“手机实名制验证”(其中就包含了通讯录信息)的运营商认证后,借了1500元。随后,她陆续接到其他推销贷款的电话,一天之内,她一共借了7000元钱。很明显,董女士的电话被这些团伙共享了。
随着所谓的“砍头息”以及利滚利的作用下,董女士最初的7000元滚到40000元。贷款产生的逾期费用每一天竟高达本金的5%—10%。新贷款还旧贷款,起初7000元的债务短短三个月就滚到50多万元。
此外,三个月间,在董女士每天不断还款的同时,通讯录这个“定时炸弹”在亲友间炸裂,她和她的亲友不断地接到各种侮辱性的催收电话。在这种压力下,董女士写下了遗书。
幸好公安机关及时发现,拯救了董女士,才揭开了借贷App的真面目。不久后App读取用户信息就有了新规定,借贷类App不得强制要求用户授权通讯录信息。
如今,在互联网这个新载体下,随着新的营销工具出现,骗术也在大跃进,他们就如同寄生虫,母体越强,他们生命力越旺盛。
3
短视频App成黑产新战场
还记得那篇《我一个500强做食品的,被抖音卖烤虾的骗了》的文章吗?作者刷抖音时,刷到一个卖烤虾的广告,由于视频中的大妈一副诚意满满的样子,作者经不住诱惑果断下单,实付款194元买了250克烤虾干,货到付款后发现是三无产品,且外形口感与广告宣传天差地别。
由于在抖音查无订单信息,她的维权之路艰难坎坷,直到写了文章才在网络上引起广泛关注。
从这个故事里,不难发现一个巧合:作者是食品行业工作者,而诱惑她下单的恰好又是美食广告,这里面有联系吗?
答案:有,一种新型的营销方式,与短视频广告有着千丝万缕的关系。可以将这种模式,称之为进化3.0.
具体操作流程虽然不难,但可以用“处心积虑”来形容。
首先,购买大量用户手机号。
黑产的最末端——诈骗团伙(营销团队),从小中间商处,购买大量分类好的用户手机号。如学生家长号码、装修业主号码、大学生号码等等。
参考图
然后,伪造好友关系。
他们将用户手机号,录入准备好的手机中,建立起通讯录。然后通过一些软件,在手机里伪造出通话记录、短信记录等信息。比如:
A手机里都是大学生的联系方式,和伪造的通话记录、短信等内容;
B手机里都是在网上买过零食的买家联系方式,和伪造的通话记录、短信等;
C手机里都是装修业主的联系方式,和伪造的其他信息。
这样分门别类的手机,可以达到几百台,并且还伪造出每个手机都是真实用户,以及与通讯录里的号码存在社交联系。
接下来,用短视频App营销。
黑产们在这些手机都装上抖音、快手、火山小视频等视频App,并全部开放通讯录等权限。通过伪造好友关系,当这些手机开放权限后,能成功骗取这些视频App的信任,认为手机是一个真实的人,而它的通讯录也有真实的好友关系。
于是,黑产们的好戏就正是开始了,他们在这些手机里不停的发布视频营销广告,比如,在A手机(大学生通讯录)发布服装推广类视频;B手机(零食爱好者通讯录)发布美食推广类视频;C手机(装修业主通讯)发布家居、装饰类视频。
由于视频App已经承认这台手机里的好友关系,只要通讯录里有人在刷短视频App,那么这些营销广告,就会以“你在对方通讯录”、“你们有共同好友”的形式,进入通讯录好友的视线。
可以说,黑产们是通过骗取短视频App的信任,让这些无辜的App去骗取更多人。要知道这些被推送广告的号码主人,可都是精准筛选过的用户,他们的需求非常精准,也将意味着这些用户的转化率将会非常高。
烤虾的广告能进入那位维权作者的手机,很有可能也是因为她本身就一个贴有食品标签的手机号主人。营销产品与手机号主人标签十分契合,才更容易上当。
这种“处心积虑”的营销方式,对黑产们来说还是一种覆盖面广,转化率高,且消耗人力成本低的赚钱方式。
4
用户同意授权的边界在哪里?
随着互联网技术不断“下沉”,用户对于互联网安全的质疑,越来越强烈,很多用户对开放权限充满抵触,即不用也不想授权。
为了让用户打消质疑的念头,许多App开始“自我加压”,主动把索取的权限“说个明白”。
简单来说就是,将向用户索取的权限以及其使用场景一一说明,还明明白白地告诉用户如果不愿意索取该项权限、可能影响使用的功能,方便用户做出选择。
看似是App良心发现,其实这里头也有不少“霸王条款”。比如,有的App会提出一些看似很对的理由,促使用户授权,只要用户同意,App就能以“这是用户同意了的”为由,进行其他骚操作。
有用户对我们说:“之前有个打车类App,称提供几个紧急联系人号码,可以在你遇到危险时联系到你好友,如有麻烦也可以直接授权联系人。”这个理由看似合情合理,但仔细一想为什么要有授权联系人这个选项?很明显,有可能这款App想要的不只是紧急联系人号码,而是该用户的通讯录。如果用户授权,那么通讯录将会被App读取。
该用户咨询:用户即使同意该App读取通讯录信息,但依然是属于App能够读取范围外的信息,那么该App是否依旧违法?
对此赵律师表示:“如果App存在超范围收集用户信息,在法律上有明确的规定,但在执行过程中,用户主动授权的界限怎么界定和理解,可能会产生争议。”
也就是说,App与用户之间,如何理解主动授权和诱导授权还存在争议,需要进一步完善这类规定。“如果发现自己被侵权,应该及时去网信办举报”赵律师嘱咐。
面对日趋严重的网络黑产,隐私泄露问题日益被大众所关注。特别是以Facebook数据丑闻爆发为标志,针对科技公司的数据问题,全球政企开始不断加大管制力度。相信有一天,我们使用App时,不必一边谨慎他的“霸王条款”,一边随时准备手动举报。
End
好文回顾
小游戏赛道“风变”,变现红利来袭
看一看再测新功能,这次能实现“高效阅读”吗?
微信小程序AR能力来了,谁最有戏?
好书推荐:
《微信力量》、《微信思维》是微信团队联合萤火科技推出的两本书,通过采访数十个企业商业案例,共同描绘了一幅微信生态的全景图,是了解微信生态的最佳读物。

为您推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注