安卓|严防死守下,手机 App 已经很难背着你干坏事了
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
文章图片
隐私保护是个大问题 , 但并不是每个人都在意它 。
就拿我们最常见的手机权限来说 , 访问相册 , 开启定位 , 获取联系人列表 , 还有调用麦克风……弹窗一多 , 图方便或是无所谓的朋友基本就无脑点「允许」了 。
当然 , 有时我们也没什么自主选择权 , 毕竟一禁止 , 人家可能就不让你正常使用了 。
更多时候 , 为了一句「提供更好更安全的用户体验」 , 我们也只得将数据双手奉上 , 而互联网大厂也大可以用一句「用隐私换便利」的说法 , 来为自己圆场 。
的确 , 很多人并不反感这样的便利 , 就像是淘宝的「猜你喜欢」页面 , 就省去了很多人去思考「该买点什么」的过程 , 哪怕这些推荐都是淘宝收集你的搜索记录、购买习惯和点击历史等数据生成的 。
但这个现状并不应该被视为理所当然 , 也不值得被互联网公司加以大肆利用 。
比起高姿态的声讨 , 人们更需要的是一个保护隐私的切实手段 , 所幸现在iOS和Android都已经开始解决这方面的问题 。
▲AppOps是早几年Android系统自带的功能 , 但Google对入口做了隐藏
从Android发展史来看 , Google在4.3JellyBean时代就已经为Android引入了权限管理的概念 , 可以通过「AppOps」来禁用某个应用程序的权限 。
不过在当时 , 该功能对普通用户是隐藏不可见的 。
Google的看法是 , 在用户不清楚、不了解「权限管理」的情况下 , 擅自关闭某些接口可能会导致应用无法运行 , 之后还一度在更新中移除了该设计 。
▲AndroidM开始引入权限弹窗
直到AndroidM时代 , Google才开始正式引入我们都熟悉的权限管理机制 , 允许用户对应用所访问的数据进行单独设定 。
然而 , 此时的Android在某些数据保护上仍没有做到尽善尽美 , 也暴露了不少漏洞 , 之前原生系统存在的「电话权限」就是很典型的问题 。
很多Android用户之所以会「谈权限而色变」 , 一部分原因在于自己并不懂「权限」为何物 , 所以才会被一些别有用心的应用钻了空子 。
拿这个「电话权限」来说 , 我们看到的 , 往往就是一个「是否允许XXX拨打电话和管理通话」的弹窗 , 别人不说 , 还以为是让应用获得「打电话」的使用权 。
但实际上 , 在Android10之前 , 这个「电话」权限还包括了手机号码、设备标识符(ID)等关键信息 , 尤其是像IMEI这样的设备识别码 , 与手机是一一对应的关系 , 这就相当于将自己手机的「身份证」交了出去 。
当然 , 有些厂商或许是为了风控需求考虑 , 但也有的开发商就是冲着精准广告投放的目的才获取 。 你使用手机越久 , 广告商知道的也越多 , 自然也能根据你的使用习惯描绘画像 。
▲图片来自:新京报
这类个人信息也是第三方应用们最喜欢获取的数据 。 据新京报报道称 , 自2019年12月以来 , 中国工信部累计通报的87个违规侵害用户权益的应用中 , 超过六成都存在「私自收集个人信息」的问题 , 而「过度索取权限」和「私自共享给第三方」问题只占了三、四成左右 。
▲图片来自:广东省通信管理局
什么是「私自收集个人信息」?按照广东省通信管理局的说法 , 指的就是「APP运行时 , 缺乏向用户明示且征求用户同意的环节 , 收集IMEI、设备MAC地址、软件安装列表、通讯录、短信等 。 」
很多时候 , 一些违规应用显然是希望借助「电话权限」 , 获得包括IMEI在内的内容 。 如果用户不允许 , 应用就拒绝正常运行 , 这样的情况也并不少见 。
▲图片来自:Android
这个遗留了多年的问题 , 直到Android10的到来才得以改进 。 如今 , 新旧应用都无法再通过电话权限来获取用户的设备识别符 , 真想强行获取 , 也只能得到一串空白值 。
▲MIUI12采取的虚拟ID , 也可以看作是广告ID
而在国内 , 几家大厂组成的安全联盟也推行了OAID的虚拟ID , 既可以让广告商继续做生意 , 又可以令用户不再泄露自己的设备关键信息 , 最大程度减少自己被广告商「监控」的感觉 。
可以说 , 经过了多年的折磨后 , 如今Android阵营终于赶上了iOS在5.0、6.0时代就完成的事情 , 对IMEI这样的关键信息实现了保护 。
当然 , 这还不够 。
▲图片来自:Apple
从今年开始 , 新推出的iOS14和Android11都对摄像头、定位和麦克风等几个关键权限做了更细化的分类 , 不再只有「允许」和「拒绝」两种选择 。
很多人以为这是为了预防偷听、偷拍等行为 , 但事实上 , 这些明目张胆的做法其实很少存在于我们的正规应用中 。
美国西北大学曾在2018年做过一次实验 , 对1.7万个应用做了一轮测试 , 发现其中有超过9000个应用需要用户开启麦克风和摄像头权限 , 但没有一款应用会偷偷启动麦克风 , 或者秘密上传音频文件 。
▲图片来自:ConsumerReports
真正存在的隐患 , 其实是这些应用会在用户不使用的情况下 , 搜集额外的数据 , 亦或是继续在后台保持活跃 , 对设备造成不必要的电量消耗、内存占用等 。
这也是为什么 , 早几年Android会随着使用时长的增加 , 变得「越用越卡」 , 而国内的一些定制ROM , 也很早就开始下狠手 , 解决「全家桶」、「链式启动」等会影响手机流畅度的隐患 , 隔绝应用之间的相互唤醒 。
在定位这部分 , 现在iOS和Android都加入了「仅在应用使用时允许」的选项 , 就是为了防止某些生活类、地图类应用偷偷在后台调用定位权限 。
到了今年的iOS14和Android11上 , 两者还进一步对定位权限做了细化 。
▲Android11引入了「一次性权限」 , 可适用于位置信息、麦克风或摄像头的权限调用 。
其中 , Android11加入了「仅限本次」的选项 , 进一步对应用所调用该权限进行了限制 , 有一种「阅后即焚 , 用完即走」的意思 。
且这种「当次有效 , 下次无效」的特性 , 不仅适用于定位 , 也支持麦克风和相机这两个常用接口 。
▲iOS14的「模糊定位」会在一块区域内任意取点 , 但不会偏离太多
在iOS14上 , 苹果现在还给出了一个「模糊定位」的功能 , 只允许应用获得你的大概位置 , 而非确切位置 。
这可能并不适合滴滴、高德地图这类需要精确位置的应用 , 但对于一些新闻或天气应用来说 , 它们往往只需要知道你所在的城市或片区即可 , 模糊定位足以让它们提供和之前一样的服务 。
▲iOS14中 , 敏感权限的调用不再隐藏于后台 , 而是在前台有更直观的展示
在麦克风和相机上 , 现在iOS14还加入了指示灯的标识——如果你看到绿色的指示灯 , 则表明某个应用正在使用你的摄像头;橙色则代表了麦克风 。
苹果此举 , 等于是将应用的权限调用行为变成了「前台化」呈现 。 就算是应用没有偷听、偷拍的念头 , 但仍然可以给用户一个直观的提示 , 真正做到防范于未然 。
按照苹果高管CraigFederighi的说法 , 苹果之所以会想到这个功能 , 其实源于一封用户反馈邮件:
「客户在电子邮件告诉我说 , 他觉得有应用在后台偷偷听自己说话 。 因为他讲到某个东西后 , 手机就弹出来了一则和他谈论东西相关的广告 。 尽管我知道不可能发生那种事 , 但仍然觉得有必要提供一个指示器 。 」
最终苹果也的确这么做了 , 只要你用上了iOS14 , 打开微信、支付宝扫码 , 或是语音备忘录 , 都能在顶栏右上角看到一颗闪烁的光点 。
▲今年MIUI12也对隐私保护做了不少激进的改动
我个人还特别欣赏MIUI12做的「照明弹」功能 , 它等于是让用户实现了对手机内应用的全面监管 , 干没干坏事一目了然 。
即使用户嘴上说不在乎隐私安全 , 但若是看到一款应用毫无缘由、疯狂在后台获取自己的通讯录列表、位置甚至是应用列表 , 我想也不会视若无睹 。
总之 , 没有人喜欢主动出卖隐私 , 也不会有人觉得数据被私自调用是合情合理的事情 , 一旦这些后台行为的调用逐渐清晰和明朗化 , 系统也愿意给出更多限制性手段后 , 守住自己的私密数据 , 大概就不会成为一个难题了 。
是开放的便利还是保守的安全?这其中当然需要一个平衡点 , 只是这个点 , 我们希望是我们自己说了算 。
【安卓|严防死守下,手机 App 已经很难背着你干坏事了】题图来源:MidDay
推荐阅读
- 苹果|再次确认如果安卓系统不支持微信,鸿蒙OS是最大赢家
- 精神药品|重磅!银河麒麟操作系统V10发布 支持海量安卓应用
- 打破安卓系统垄断?华为鸿蒙系统手机或很快推出
- 深圳市|小心你的隐私!安卓系统出现重大安全隐患 网友:华为上鸿蒙吧
- 安卓|临时协议到期致华为安卓系统断供?官方回应:会继续更新
- 火星科技站点|黑鲨3S新功能测试:用一根数据线,能让电脑玩上安卓游戏
- |又一备胎转正!国产系统麒麟V10发布,直接吞了300万安卓软件
- 库克的大招!iPhone 12真给力,苹果还是安卓无法超越的对手
- 华为|临时协议到期致华为安卓系统断供?官方回应:会继续更新
- 华为|许可证到期:华为可能没有安卓用了