陈根:从互联网到物联网,隐私泄露从未缺席

文/陈根

无处可逃,就是我们在从互联网到物联网时代下共同面临的困境。

得益于5G通信技术的发展,海量机器类通信和低时延、高可靠通信的移动物联网场景成为现实。从高速率传输支持“万屏互联”,到数以万亿的传感器被嵌入社会的各个角落,物联网正以“连接一切”的属性引发新时代的数据核爆。

就在物联网技术给人们提供便利和高效并且迅猛发展的另一边,物联网安全性也持续地受到质疑。数据攻击和信息泄露等事件的频发,让物联网带来的不安全问题逐渐凸显,也令越来越多人感受到惶恐和不安。

隐私泄露,有多少种实现可能?

今年9月,国家网络安全宣传周期间发布《App安全意识公众调查问卷报告》。报告显示,32万名受访者中,近三分之一的人表示很反感App的精准推送广告行为,感觉遭到了窥探或偷听。

事实是,任何涉及到信息来往的平台,从婚介到外卖物流,从考试到家政服务,从购票到银行保险,只要人们在赛博空间中留下了数字足迹,就有可能被大数据捕捉并分析利用。而这种个人在互联网上无处可逃不安全感却并非新近的困境

早在两年前,坊间就有App偷拍偷录的传言首当其冲的是QQ浏览器和百度输入法。彼时,vivo Nex手机的前置摄像头藏于手机内部,只有调用时才会升起,而用户使用QQ浏览器时会明显看到摄像头模块的开启。同时,在百度输入法界面没有进行任何操作时,手机也会提示正在录音。

尽管QQ浏览器和百度输入法分别解释称,没有私自调取用户的录音和拍照功能,而是由于某些网站读取摄像头参数、输入法进行语音麦克风预热优化导致,但喧嚣并未就此散去。

除了对启用手机窃听功能,直接或间接获取用户数据、完善用户画像数据来源还有是用户的个人资料和浏览数据,包括搜索记录、各个页面的停留时长、从哪个页面进入哪个页面等,从而为用户建立起一套包含多个标签的画像。

尽管这套标签体系的形成很可能极为复杂,但嵌入在App内的SDK(软件开发工具包)作为App内提供特定功能或服务的插件,却为对智能手机用户的窥探和数据窃取提供了便利。SDK的意义在于,当开发者需要调用某项功能时,不需要从头自行开发,只需要接入SDK即可。

比如,当App A和App B都采取了同一家广告SDK时,那么A和B内收集的数据都可能上传至这一家SDK上,A与B之间天然形成了数据共享。用户在A上的搜索记录和使用习惯有可能就会被反映在B上。这就是为什么当人们从浏览器搜索了某商品后,会被下一个电商平台获取需求并精准推送广告的原因

然而,互联网时代对于屏幕的隐私窥探和偷听还没结束,海量机器类通信和低时延、高可靠通信的移动物联网就裹挟下一波的安全风险汹涌而来。连接着“物”的物联网,除了用户主动交互产生的数据外,将用户的许多数据实时、无感地记录了下来。这让这一波安全风险则更隐蔽,也更广泛。

近日,江苏省南京警方就摧毁了一条包括生产厂家、销售代理在内的生产销售定位、窃听、偷拍设备的网络黑色产业链条,抓获犯罪嫌疑人28名,缴获相关设备2000多个。警方调查发现,这些设备被生产者伪装成充电宝,可以在使用者不知情的情况下,被人远程定位、轨迹查询、远程录音等,涉嫌侵犯公民个人信息

此外,随着技术的进步,一些家用电器的联网都有可能成为窥探隐私的“作案工具”。2020年 11 月 16-19 日举行的国际无线传感器网络顶会 ACM SenSys(国际计算机协会智能传感系统大会)上,就有一篇来自美国马里兰大学和新加坡国立大学的研究报告。

论文中,研究团队成功远程入侵了一台家用扫地机器人,使其充当窃听器来“窃听”屋内的私人信息。这项研究表明,即使没有安装传统的窃听器,不法分子也可以操纵家居设备来窃取他人信息

从互联网的APP隐私窥探,到家电的窃听攻击,这是一个重要的提醒:物联网智能感应设备的普及,也为私人对话与个人信息窃听提供了许多机会。

生产源头堵截风险发生

当前,物联网的威胁的源头往往指向了脆弱的物联网终端,在云、管、边安全的支撑下,以终端保护为核心的物联网安全防护体系亟待建立。

从技术的角度来说,物联网终端构建至少需要两种能力终端的信息保护能力和云端对终端的异常分析能力。前者能保证终端在其自身的使用场景下,有一些方式可以保证终端信息的安全;后者能保证即便终端很难维护的场景中运行时,也能安全地将一些信息上传到管理平台,并能分析出终端的异常状态。

对于终端的信息保护来说,终端和云端都需要在足够强的认证和加密的基础上建立安全通道,对终端自身信息的保护需要结合安全存储、可信执行、硬件调试策略等机制来实现。如果有软件需要升级,还需要在终端和云端之间建立一个安全的文件传输通道负责升级包的发送与接收,终端也需要安全地处理升级包,以防止恶意升级等。

如上所述,由于SDK的隐蔽性,SDK往往也成为数据安全和用户隐私保护上的重难点。而需要指出的是,SDK包含芯片厂商、代工生产厂商、安全厂商等提供的所有SDK。信息分7个,其中前两个是硬件信息。考虑到终端的组装、维修等流程,这些硬件信息必须完整保留。中间三个则可以通过应用可信系统、安全探针、SDK 等得到部分或者完整的支持。对于指纹等关键信息的保护,目前只能依托安全芯片、可信系统和安全 SDK来保证。

显然,在终端的信息里具有重要作用的SDK作为软件开发包,可以直接参与到产品研发阶段,这将能从根本上解决一定的安全问题

比如,在产品的设计研发阶段,有芯片厂商、OEM厂商的参与并提供SDK。所以,基于芯片的安全能力和OEM厂商提供的中间件,完全可以从底层开始对物联网终端做安全防护。

芯片上可以设置保护区域和可信区域,固件上可以做好代码检查以及关键资产保护,应用层还可以做流量的认证和加密、安全升级,甚至基于SDK实现一个简单的探针。SDK的应用不限于设备类型,从简单的插座到复杂的摄像头均可以基于 SDK做安全方案。

除了终端侧需要保护的信息以及保护方式和形式,确保终端运行时是否存在异常作为物联网的终端保护一环也具有重要意义,这一环节主要包括信息采集、策略接受与处理等。、

毫无疑问,用科技解决科技是对抗物联网风险的最有效办法,但这同时离不开社会层面和个人层面的行动。

2018年,欧盟出台了大数据时代专门保护个人信息的隐私法案《一般数据保护条例》(GDPR),从法理上确定了用户对自己的数据拥有自主控制权。GDPR规定,互联网公司不可以再把数据使用说明藏在辞典一样厚的用户协议里,收集数据时不可以和用户协议捆绑在一起。每一次取得用户数据,都必须明确告知用户,并且用户已同意的、之后也可以随时取消或删除。

2019年5月28日,国家网信办发布了《数据安全管理办法》征求意见稿,第一次尝试对个人数据采集、应用进行全方位的规定。按照这一《办法》,中国人也将逐步获得个人信息的自主权。“网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时,应当在合理时间和代价范围内予以查询、更正、删除或注销账号。”

此外,不得不承认,虽然隐私问题频出,人们也不断被隐私泄露的问题困扰,但大部分人却依旧没有树立很好的隐私观念。互联网带来的必然趋势使得人们越来越不在乎公共和私人领域的区别,当我们自己不关心自己的私隐的时候,我们也不会关心别人的私隐。

换言之,如果我们都能对大数据与个人信息隐私安全有一定的了解,在面对各种电话、邮件或者其他任何方式的套路时,我们至少能有基本的防范意识。

对个人信息的保护是一个常态化的过程,是线上线下结合起来的漫长过程,从生产源头开始堵截也好,对于使用者更多的规劝也好。文明总是螺旋式发展的,一个时代在进步的同时必然伴随着各种危机与阵痛。在物联网时代到来前,关于隐私的战争也才刚刚开始。

(0)

相关推荐

  • 这些偷我们隐私的App,活该被下架

    有时候小雷会想,大数据的出现对我们到底是好是坏? 自从进入移动互联网时代后,我们每天使用时长最多的就是手机. 而人机交互的核心正是那些功能各异的App. 聊天用微信,刷视频用抖音.看番剧和鬼畜上B站, ...

  • App过度收集个人信息,谁来管?

    人们在第一次安装和使用某款新的手机App时,一般都会看到"隐私保护条款".但很少会有用户去仔细阅读该条款,也并不知道条款中都包含了哪些个人信息收集内容.在快速点击"同意& ...

  • SDK窃取隐私背后,大环境不变或将一切皆成空

    在迟到了近4个月后,央视的315晚会在7月16日晚间拉开了帷幕.尽管此次3·15晚会上虽然互联网行业并不是主角,但在这台晚会上曝光的上海氪信与北京招彩旺旺SDK插件,能够在用户不知情的情况下窃取个人隐 ...

  • 个人信息保护法:让裸奔的人穿上“泳衣”?

    出品©一笔封禅 作者@何鲸洛 不知从何时开始. 相信你或多或少也有这样的感觉: 比如刚在网上浏览了几张风景秀丽的照片,接下来边边角角就出现了各种各样的旅行广告:比如刚在社交网络上提到了某个明星,接下来 ...

  • SDK国标开启试点,窃取隐私的黑手又少了一只

    自2018年Facebook的剑桥分析门爆发以来,隐私安全与数据透明就很快成为了全球网民共同关心的问题.在海外市场,苹果扛起了保护用户隐私的大旗,iOS 13的苹果登录(Sign in with Ap ...

  • 被忽视的APP隐私条款!科技公司是如何让我们放弃自己的数据和隐私的

    CDA数据分析师 出品 编译:Mika [导读]你真的读过你使用app的条款和条件吗?挪威消费者委员会的Finn Lützow-Holm Myrstad和他的团队就读过.他们花了将近一天半的时间阅读了 ...

  • 修一座安全的广厦,庇护赛博世界的流浪者

    问一个极具争议的问题:你觉得自己有没有被应用软件追踪? 很多朋友都觉得是,不然怎么解释刚刚在网上搜索过运动鞋,下一秒打开电商软件就能被精准推送相关产品呢? 你并不是一个人. 9月份发布的<App ...

  • 手机厂商高端混战,隐私安全是一张必备底牌

    隐私安全,始于用户利益,行于OPPO"本分"初心,融入每一款产品之中. 作 者 丨 宿艺 编 辑 丨 子淇 4月15日,伴随第六个全民国家教育安全日到来,网络信息保护与隐私安全再次 ...

  • 人脸信息被搜集?我们的个人信息安全,该如何保障?

    互联网平台中存在个人信息被售卖.泄露,人脸信息被搜集,部分APP涉嫌过度搜集用户个人信息等问题.上述问题是江苏省消保委发布的当地一季度消费投诉与舆情分析报告的部分内容. 而这些现象或问题并不是个案,在 ...

  • 陈根:HPV疫苗,男性也难缺席

    文/陈根 宫颈癌作为影响全球女性健康的第四大恶性肿瘤,也是我国第二大女性恶性肿瘤.2020年,全球有超过60.4万名女性被诊断为宫颈癌,约34.2万名女性因该疾病而死亡.其中,中国宫颈癌新发病例约10 ...

  • 陈根:隐私计算,能否破局“数据孤岛”?

    文/陈根 当前,与传统的资本.土地.劳动.技术等一样,数据已成为重要生产要素之一.其与算力.算法组合,作为一种新型社会生产力,在人们的生产生活中发挥显著作用.越来越多的业务场景需要多方数据的流通和共享 ...

  • 陈根:舆论沸腾的互联网,对立阵营壁垒分明

    文/陈根 古老的<圣经>里有一个关于巴别塔的故事.人类联合想要建造一座城和一座塔,塔顶通天.上帝为了阻止人类,就让人类开始说不同的语言,以至于人类不能有效地相互理解和协同,计划因此失败,人 ...

  • 陈根:全新触觉感应地毯,有效规避隐私风险

    文/陈根 触觉感应,即通过触摸进行感测.最简单的触觉传感器类型使用以行和列排列的简单触摸传感器阵列.这些通常称为矩阵传感器.每个单独的传感器与物体接触时都会被激活.通过检测哪些传感器处于活动状态(数字 ...

  • 陈根:数字经济当前,为什么要打造工业互联网平台?

    文/陈根 新工业革命和互联网发展的交汇,催生了工业互联网. 面对新一轮工业革命浪潮,德国推出工业4.0参考架构 RAMI4.0,美国推出工业互联网参考架构 IIRA,日本推出工业价值链参考架构 IVR ...

  • 陈根:工业互联网,开始驶入深水区

    文/陈根 工业革命是现代文明的起点,是人类生产方式的根本性变革. 在人类社会经历了蒸汽时代.电器时代.信息时代的三次工业革命后,以互联网.人工智能为代表的数字技术正以极快的速度形成巨大产业能力和市场, ...

  • 陈根:苹果颁布隐私新规,引战隐私战

    文/陈根 苹果的隐私新规引起了脸书和谷歌相继的担忧. 2020 年夏天,苹果推出了 iOS 14 系统,其中一项更新是针对 IDFA 的隐私新规,但官宣后引发了 Facebook 等公司的强烈抗议,于 ...

  • 陈根:被互联网浸入的年味,又淡了吗?

    文/陈根 互联网化的春节里,年味,又淡了吗? 事实上,每年春节,都多少听到些"年味淡了"的讨论.当人们对过年的印象还停留在"从前慢"的稠浓里,是民谚里" ...

  • 陈根:隐私和商业,有无和解的可能?

    文/陈根 个人信息保护是发展数字经济的底线,却在数字经济的发展中一再沦陷. 在个人信息的沦陷中,移动APP出演了重要角色.移动APP收集使用个人信息的乱象几乎有目共睹--违规收集个人信息,违规使用个人 ...