当中国知名手机制造商小米承认其智能手机会将用户的个人信息发送到其位于中国大陆的服务器上的时候,它立即引发了中国台湾地区政府的抗议和调查。
这一事件也让人们开始关注我们的智能手机和外部世界之间的联系。简而言之,你的智能手机可能装在你的口袋里,但是你做不了它的主。
只要你的智能手机处于开机状态,它就会与至少三个不同的主人进行通讯:手机生产公司、无线运营商和你手机中安装或预装的第三方应用程序开发者。
所有这些公司都可能会编写相应的程序,让智能手机通过无线网络或手机网络给他们回传用户数据。他们这样做可能没有征得用户的同意,或者根本就没有让用户知道。就小米手机而言,用户一旦开启智能手机,它就开始回传个人数据。
小米称,它的目的是让用户经由小米服务器来发送信息,而不必向无线运营商支付费用。而要达到这个目的,它就必须了解用户的地址薄。
“小米的做法显然是错误的:他们会收集你的地址薄信息,并在未经你同意的情况下就传回给他们。”米科-哈普宁(Mikko Hypponen)说,正是他的电脑安全公司F-Secure帮助揭露了这个问题。“而且,这些数据是在未经加密的情况下传递的。”
小米称,它已解决了这个问题,事先会征得用户的同意,并只会发布加密的数据。
行业问题
小米绝不是唯一一家从你手机中抓取数据的公司。
互联网安全公司FireEye亚太地区首席技术官布莱斯-柏兰德(Bryce Boland)说,无线运营商可能会从你的手机中收集收据。手机制造商也可能会收集各种信息,包括你的地理位置信息。
“这不是哪个手机制造商或电信公司的问题,而是整个行业的问题。”柏兰德说,“各家公司都会以各种理由来收集数据,这样做可能合法,但却会带来隐私方面的问题。”
例如,很多无线运营商在其服务条款中就包含了收集有关手机、电脑和网络活动(包括用户访问的网站)等个人数据的权力。惠普和法国互联网安全公司Qosmos所做的一项案例研究发现,无线运营商能够跟踪个人设备,查看用户发送了多少条Facebook信息。他们这样做的目的是:利用这些数据来向用户投放更有针对性的广告。
但是,一些用户担心不只有无线运营商在收集这些详细的数据。
三年前,用户惊讶地发现,美国无线运营商预装了Carrier IQ公司的一款应用程序,该应用程序可以将个人数据传输给无线运营商。
用户于是提起了集体诉讼,但他们状告的不是无线运营商,而是手机制造商,包括HTC、三星电子和LG电子。他们声称这些手机制造商利用这款软件收集了远超出无线运营商所需要的诊断性数据的内容。
这起诉讼案声称,手机公司利用Carrier IQ软件拦截个人信息为己所用,包括在未经用户允许的情况下记录用户的电子邮件和短信——这些数据还可能会共享给第三方。这些公司为自己进行了辩护。
此外,收集用户数据的还有用户安装的应用程序。每款应用程序均需要征得你的同意才能够访问你手机中的数据或功能。例如,如果你想要用手机录音,那么你就要允许相应的应用程序访问你的麦克风;如果你想要它推荐附近的酒店,你就得允许它获得你的地理位置信息。
曙光初现
但是,用户并不能够轻易地知道哪些信息或功能被访问,哪些数据被传回到开发者的服务器上以及这些被传到服务器上的数据是怎么被处理的。罗马尼亚杀毒软件开发商Bitdefender去年发现,三分之一的Android智能手机应用程序会在“用户不知情的情况下”上传个人信息给“第三方公司”。
不仅这些数据是瞒着用户上传的,而且它往往与这款应用程序的功能没有多大关联。
例如,有一款Android应用程序可以将你的手机变成一个“火炬”,即开启手机上的所有灯光,包括摄像头闪光灯和键盘背景灯。用户抱怨说,这款应用程序会发送用户的地理位置信息。美国联邦贸易委员会敦促该应用程序的位于爱达荷州的开发者明确说明:这款免费的应用程序还会收集用户的地理位置信息,以便向他们投放针对性的广告。尽管如此,这款应用程序已被安装了逾5000万次,并获得了极好的用户口碑。
虽然大多数人都在担心Android手机,但是苹果的设备也不是不存在这样的隐私问题。
例如,无线运营商控制着SIM卡的代码,因此它可能通过它来访问手机上的数据。尽管苹果应用商店对于应用程序的管制更为严格,但是FireEye公司的柏兰德说,他的公司经常会发现针对iOS平台的恶意应用程序以及在用户不知情的情况下悄悄发送敏感数据的iOS应用程序。“iPhone平台要比Android平台更安全一些,但是它也不是完美的。”他说。
苹果称,它自己的iOS安全系统会对其应用程序进行数字签名和认证,从而保护了用户的数据。
用户做主
问题不在于手机制造商、应用程序开发者和无线运营商是否会从你的手机中收集数据,而在于它们会收集什么样的数据、何时收集以及用来做什么。
“如果我们考察诸多应用程序发送的内容,我们就会惊讶地发现我们有多少数据被上传了。”柏兰德说,“在不知道背景信息的情况下,人们根本无从判断发送这些数据是否合理。”
小米竞争对手一加手机主管卡尔-裴(Carl Pei)称,手机制造商需要向用户清楚说明他们正在做什么以及为什么要这样做。一加手机会收集“匿名统计信息”,例如手机激活的地点、手机中运行的软件类型和版本,这些信息有助于公司更好地决策,以更好地服务用户。
全球移动行业贸易协会GSMA的设备安全组的主席、牛津大学移动系统安全教授大卫-罗杰斯(David Rogers)说,“糟糕的安全设计和隐私保护的缺失让用户做出了很多牺牲。”他说,“与此同时,收集用户数据也是很多公司的一大盈利点,因为他们不会轻易让用户阻挡他们的财路。”