来源 | 编程技术宇宙
责编 | 李雪敬
封图 | CSDN 付费下载自视觉中国
光说隐私泄露,人们总觉得似乎离自己很远,然而它早已像一个“地雷”,悄悄埋进了我们的生活中,不是不爆,时候未到。
别认为自己只是社会中的一个小透明,个人信息一文不值,就满不在乎。
当今社会,最值钱的就是信息,人人都可能成为下一个被扒光的对象。
请记住,互联网从来都不是免费的。
输入法早已是众矢之的
近年来输入法软件泄露用户数据的新闻频繁曝出,受影响用户多达 3100 万。
输入法将用户输入的内容上传到云服务器,美其名曰帮助用户提升输入体验,实则是根据用户的输入习惯推测你的兴趣并投放广告。而这个过程中,隐私泄露早已无法避免。
如果用户允许「完全访问」,输入法不仅能获取你所有的输入数据,还能获取你的位置及通讯录信息,并可以随意地发送到输入法自家的服务器中。
且只要曾经启用过「完全访问」,即使之后关闭权限,输入法也可能在本地记录输入信息,待权限重新开启后一并上传至开发者服务器。
作者发现,如果用户打开“完全访问”权限,第三方开发者能够获取用户的大量个人信息,包括:地理位置、照片、银行账户、信用卡号码、街道地址等个人数据……
完全访问:即厂商以完善用户体验为由,允许软件连接网络、获得用户信息的权限,被获知的信息中包含大量的隐私。
包括通讯录、密码、地址、银行卡、街道、聊天记录等……
在用户许可的情况下,可以使用定位服务,可以读取用户通讯录信息、输入法可以记录击键数据以及其他输入数据。
并可以发送到输入法的服务端、输入法可以使用 iCloud 在多设备同步设置以及自定义的自动更正数据。
打开——暴露隐私;不开——没有体验。用户要怎么选?
完全访问≈完全泄露
1、暴露生理特征
照片+声音=生理特征
第三方输入法获取访问麦克风和相册的权限后,用户很可能面临着生理信息被泄露的风险。尤其是当下生物技术、语音密码、人脸识别等技术正在野蛮生长阶段,内部机制并不够完善。
五官、瞳孔、音色等生理特征一旦泄露给不法分子,盗刷银行卡、破解账号密码、盗号、换脸支付等非法行为就变得更加简单,不法分子还可以,通过后期AI换脸合成技术,用收集到的人脸和声音数据合成色情视频。
就比如,2019 年年底,昙花一现的换脸 APP“ZAO”,仅需要上传一张五官清晰的照片,就可以生成换脸动态视频,其活灵活现的程度几乎浑然天成。
国外网友通过利用深度学习的开源库,将色情视频中主角的脸替换为女明星,加尔·盖朵、斯嘉丽·约翰逊、泰勒·斯威夫特等著名女星都惨遭肖像权侵犯的伤害。
而近日,“一甜相机”与搜狗输入法首度尝试跨界合作,推出“DIY 超甜魔法皮肤”活动。
用户将一甜相机中拍摄的美照导入搜狗输入法,即可制作制作出专属输入法皮肤,活动上线仅 2 天,就获得了超过 600 万次的点击参与。而一甜相机以人脸关键点识别、人体关键点识别、人体分割、3D 人脸重建为优势,其母公司是互联网巨头——快手。
资本+技术+数据,几乎可以为所欲为,把用户数据玩弄于股掌之间。
2、暴露地理位置
用户每次唤醒输入法(用到输入法的时候),某狗输入法就会定位一次。
输入法具有非常高的使用频率和用户粘性,我们使用手机等移动终端时,几乎时时刻刻都会打字,那么地理位置信息将会泄露无疑。
可是明明获取大致的IP地址,就足够支撑大部分服务需求了,为什么某狗输入法要实时监控人们的一举一动?
3、暴露手机“身份证”
Imei 是一部手机的唯一识别码,与手机型号和机主信息相对应。以苹果手机为例,我们大多数人的 APPLE ID 都是自己的真实姓名,并且绑定了手机号码、邮箱等额外的个人信息。
手机丢了imei,就像你丢了身份证一样。
注明:【imei】国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备。
一个个令人匪夷所思的接口
4.暴露聊天记录和“秘密”
每输入一个标点符号,系统就会向某狗云服务器传输一次输入的文字内容。
我们的日常聊天记录中不仅涉及个人身份信息、家庭信息等等,和朋友、亲人、爱人我们还会聊到很多私密话题。
工作当中的商业机密和加密文档,想想这些信息都被轻松掌控着,令人不寒而栗,甚至于你已经忘记的、已经删除的,输入法还帮你记着!
新机预装,“先入为主”的霸王条款
输入法应用终端以智能手机为主,各输入法平台与智能手机厂商建立深度合作,通过软件预装的形式抢占用户资源。
其中搜狗输入法与三星、小米、OPPO、vivo 等手机厂商的部分机型合作;讯飞输入法是小米、OPPO、锤子部分机型的预装输入法应用。
百度输入法与华为、vivo、一加等手机厂商合作。
2019 年,苹果 iOS 13 及新 iPad OS 开始支持安装第三方输入法,都是我们日常生活中最常购买的手机品牌,几乎占据了全部手机市场。
截止 2019 年第 3 季度,中国第三方输入法的活跃用户规模已经达到 7.71 亿 人,占全网用户的 75.9%。
而输入法的全网渗透率仅次于应用管理(94.9%)、系统工具(81.2%)、地图导航(77.6%), 甚至还高于浏览器(60.0%)、实用工具(54.2%)的全网渗透率。(数据来源:易观)
不用多说,输入法三巨头早已潜入了每个人的生活。
值得一提的是,苹果手机安装某狗输入法后的默认界面,跟苹果自带的输入法非常相似,用户难以分辨。
麦克卢汉曾说“媒介是人的延伸”,这一预言显然已经成为现实,手机是当代人“身体的一部分”,输入法成了刚需,也正是因为这种超乎寻常的亲密关系,第三方输入法可以借用户之手,收集用户的手机号、通讯录、人脸、声音、手机imei识别码、网络状态以及大量实时定位数据等等,进而通过这些数据进行精准的用户画像和用户社会关系描绘。
你一定要问了,泄露这些信息会怎样?
1、商业变现
作为工具属性软件,第三方输入法的商业变现渠道非常有限,主要营收方式包括面向C端用户的打赏以及面向B端用户的广告营销和企业级服务,营收结构非常脆弱。
输入法平台的主要变现渠道是作为流量入口,收入来源于广告营销。
鉴于输入法与用户的高度粘性,收集用户数据就变得非常有利可图,通过用户大数据分析,进行广告的精准投放,赚广告费,和商业平台合作,搭建消费入口,骗你买买买,甚至于直接出售用户信息。
2、密码不再是秘密
使用某狗输入法时,所有你输入的信息超过三次以上便可形成内容记忆,方便用户下次输入时自动联想完整信息。
我们日常生活中使用手机时,会反复输入自己的“手机号、姓名、密码、身份证号码、银行卡号码及密码等常用信息”。
公司日常运营中,反复输入员工的“工资、密码、加密文档、商业机密、专利信息”;
政务工作中“各类政务文件内容”也在被重复码入……这些信息输入法早已帮我们自动记忆。
但是,这些信息如果保护不当,个人、企业和国家的生命财产安全怎么保障?科研成果、知识产权如何维护?你辛辛苦完成的作品,也许瞬间就可以被黑客通过挟持输入法信息窃取。
高利贷产品——某狗借钱,逾期一天打爆通讯录
有匿名消费者反映:“利息太高了,对我造成了经济压力,让我不得以而投诉,让平台帮我解决一下,不管怎样,也是对其他用户的帮助,希望某狗可以改正一下”
三千元分九期,每期还款 385
某狗借钱不仅利率涉嫌高利贷。而且凭借其输入法的用户数据对借款人实行定位监控。
甚至于侵入借款人通讯录——在借款人逾期仅一天后,挨个骚扰借款人通讯录好友,向其告知借款人的借款情况,给当事人和其亲属好友带来极大困扰。
根据所调查的案例显示,部分借款人的年利率甚至超出了 90%
两个案例的年利率
而根据国家规定年利率超过 24% 即为高利贷,超出 36% 利息约定则无效。
最可怕的是,输入法对你实时定位的情况几乎无孔不入,就在受害者举报某狗借钱时,某狗输入法还对其进行着位置监控,大胆的脑补一下,如果现在不是法治社会,会不会人在家中坐,祸从天上来?
受害者投诉时,还接受着某狗的强迫定位
借款人仅仅逾期还款一日,其个人通讯录中的家人和好友,纷纷接到了某狗高利贷方的催还钱的电话,使得借款人陷入尴尬!
输入法到底偷走了多少信息?
根据某二线输入法厂商的公开数据,我们计算一下,他们偷走了多少信息?
仅仅一个二线的输入法,每年就能收集 105010 亿字+ 35560 亿字的语音?
而针对于一线的输入法,这个数字只会成几何倍增长。
你以为只有输入法会这样?
错了!
是厂商会这样,以刚才举例的某二线输入法产品举例,他们的全线产品,几乎都存在多多少少的问题,只要你使用了其中一款,你的隐私就会无处安放。
再来看这个的另一款录音产品——录音宝:
个人用户的录音文件,只需在搜索引擎中使用特定的搜索方法,就可以随意听取别人的录音
作为用户,你能做什么?
1、安卓推荐开源的输入法,苹果默认输入法的安全性稍高于其他市面上的第三方输入法;
2、如非必要,请禁止您手机上的输入法的“完全访问”权限;
3、如果不得不打开“完全访问”,请您在输入关键的、秘密的、隐私的个人信息时请调用手机原始输入法;
4、密切关注隐私保护相关信息,遇到隐私泄露及时举报,并积极使用法律武器;
5、端正守护隐私的态度,不要放任和纵容任何泄露隐私的行为,更不要事不关己高高挂起。
人工智能技术发展的一项障碍就是缺乏丰富细致的用户数据,而这也正是用户隐私保护和技术的发展相悖之处。
在我国,由于个人隐私保护意识不高,很多企业都冒着泄露隐私的风险收割技术红利,输入法市场头部企业,或多或少都存在着隐私泄露的情况。
如何以更完善、优化的服务赢取用户、收获更高的用户粘性,是所有第三方输入法平台应该共同完成的课题,而保护隐私必然是题中应有之义。
提个小问题,你是用的什么输入法?使用过程中又遇到奇奇怪怪的事情吗?
更多阅读推荐
从 Dagger 到 Hilt,谷歌为何执着于让我们用依赖注入?
进入编译器后,一个函数经历了什么?
Kubernetes 并非灵丹妙药…
GitHub 超3W Star,最受欢迎的 VS Code IDE 是如何炼成的?
微软三杰
