“你的iCloud帐号还安全吗?”
“还好,我用的是Android。”
“那你用过‘疯狂来往’吗?”
“是泄漏隐私那款吗?还好,我没使用。”
如果你关注了iCloud的泄漏,关注了“疯狂来往”的隐私事件,那么作为一个没有使用过“疯狂来往”的Android用户,我想你现在或多或少都在为自己的谨慎感到庆幸,因为至少你现在的隐私至少看起来是安全。
不过,这可能只是看起来。也许在看完一个Android用户,在手机上遇到的“乱象”遭遇之后,我相信你会重拾恐惧的。
1、今天,你扣费了吗?
尽管SP的时代已经远去,但在手机中的扣费行为依然不减。
作为一个还有些安全认知的Android用户,我几乎从不安装知名应用市场外的应用。在一个开放而且毫无管理的生态中,我毫不怀疑Android病毒木马的出现频率。但即便如此,在我还是中招了。
数天之前,我在豌豆荚应用市场的游戏分类中,下载了一款名为“CS枪神阻击”的游戏。之所以会下载这款游戏,是因为豌豆荚几乎用了所有的绿色标志来表明其安全性:“优质应用”、“无病毒”、“隐私安全”、“官方版”——不得不承认,我是豌豆荚的忠实用户。
这是一款设计类游戏,所以当我打开游戏试玩了一下系统提出要赠送我一把道具的时候,我欣然点击接受。随即,应用自动跳转到“沃商店”支付页面,顿时我知道中招了,于是强制关闭应用。但为时已晚,在不到一分钟之后,我收到了一条来自中国联通的扣费短信,提示我够买了一家名为“杭州真趣网络科技有限公司”提供的应用。
显然,这次极其糟糕的使用让我对豌豆荚的信任将至冰点。要知道,不少用户早前喜欢上豌豆荚就是因为其能够帮助用户进行筛选优质应用。而此次豌豆荚把此款吸费游戏放在了分类推荐的第二名,并将其打上“官方版”三个字,我甚至开始怀疑豌豆荚是否通过此种游戏推荐盈利。
在随后的观察中,我发现并不只是我一人中枪。在豌豆荚下的评论中,整款应用的好评率仅为5%。另一个细节是,我在沃商店、豌豆荚以及安全宝都发现了类似软件,而Google应用商店和小米商店中却尚未出现。
这能说明点什么吗?
2、启动就启动,干嘛发一堆通知啊
说的就是阿里系的应用。
因为不少朋友在阿里工作,手机中也免不了安装一些阿里系的应用,什么淘宝、旺信、微博一应俱全。估计每个引用都想增加打开率,所以设计了关联启动:一旦一个应用启动,其他关联应用也会相应启动。
如果说启动就启动了,通过系统进程杀掉就可以了,但——问题来了,几乎每个阿里应用都会发送至少一条系统通知。我特意数了下,手机中安装的应用包括:淘宝、天猫、聚划算、来往、旺信、微博、闲鱼、淘宝旅行。这意味着一旦我打开其中一款软件,通常我的通知栏都会出现至少8条通知。
OK,8条通知还是好的。在阿里系应用中还有个特点就是,什么事都发通知。比如淘宝,发货了会发送一条通知,收货了会发一条通知,旺信中的聊天会发一条通知,而且还有重复推送。你能想象这个交叉的通知有多恐怖吗?
当然,我们也不能只批评阿里,毕竟开放的通知栏是Android的原罪,比如沃商店的通知就是一条通知占半屏的作死玩法,但阿里关联启动后推送一堆通知不是同样如此么?
3、在Android,请问什么叫做隐私?
好吧,最后回到标题,我们来说说Android的隐私问题。
这其实是蛮隐秘的一个问题。在前面被恶意扣费之后,我尝试做了一个试验:我在另一台手机安装了这款吸费游戏,但用LBE禁止了这款游戏访问IMEI.结果,当我再次尝试想要试玩这款游戏的时候,游戏闪退无法运行。
这就是游戏要求的权限无法满足得到的一个鲜活案例。
对于大部分苹果用户和Windows Phone来说,用户其实并不需要担心权限泄漏造成的隐私泄漏问题。但在Android平台上就不同了,在这个平台上几乎每个应用都想获得各种系统权限。如果你用三方安全软件监控,会发现小到连一款压根都不用联网的记账软件都要求获取包括GPS、通讯录、拨号、短信、打开移动数据等等权限。
这便是Android平台面临非常严峻而且直接的隐私问题。
即便我们能够使用LBE这样的安全软件对应用进行权限设定,但如果你一旦使用之后会发现其实并不现实。一来是因为用户压根就无法判定这些应用是否需要这些应用、在获得这些权限之后会做些什么,二来则是当你手机中应用超过了10个以后整个设定成本陡然增加。
所以,从这个角度来说,由于Android的开放式设计,用户压根其实没有隐私选择的余地。
不过能让Android用户心安一点的是,苹果用户的隐私可能也高不到哪里去,因为用户端的安全只是一个部分,更大的隐患在应用厂商本身。比如在“疯狂来往”这个例子中,即便是用户端是安全的,但通讯设计的低级失误同样造成了大量的隐私泄漏。
不过,也有业内人士指出这可能是一场营销事件,是利用泄漏隐私进行的事件营销。但无论是营销事件还是低级失误,至少说明隐私的概念本身在国内就不强,想来在这样一个急速膨胀的时代,谁不想好好利用大捞一笔呢?至于隐私么,侵犯了再说吧。
说到底,还是对于用户本身的尊重态度啊。
末了,再补充一下“疯狂来往”的致歉书给各位感受一下吧:
今天,我们接到用户反馈在运行“疯狂来往”时,部分游戏视频在不知情的情况下被了视频网站优酷上,对此我们立刻进行了紧急排查,现将情况整理如下:
用户在使用“疯狂来往”游戏结束后,可自主选择将游戏视频分享至微博、微信朋友圈、来往动态或者微信好友和来往好友等渠道。我们为了实现上述分享,会将游戏视频存储在优酷。
排查发现,“疯狂来往”团队未能事先告知用户这些游戏视频存储在优酷,对于这一错误,我们作为游戏的开发商和运营商向所有受影响的用户诚恳致歉。目前,我们已在优酷删除所有此类链接地址,并已停止“疯狂来往”游戏视频的分享功能。