江苏龙网

  1. 首页 > 资讯 > 科技 > >

环球网|360独家揭秘:披着借贷“外衣”非法窃取隐私的移动应用


移动互联网时代 , 移动应用内保存的个人隐私数据信息愈加丰富 , 在这个极具诱惑力的市场中 , 利益驱使之下违规操作层出不穷 , 非法窃取用户隐私泛滥成风 。
近日 , 360安全大脑监测到 , 在金融类移动软件中 , 存在一批具有隐秘拍照行为的软件鱼目混珠 , 以提供借贷服务之名 , 悄无声息进行隐私非法收集行为 , 隐私安全如履薄冰 。
静默偷拍+明文上传 非法获取用户隐私“手段”再升级
据360安全大脑监测数据显示 , 截至今年6月中旬 , 共发现9款软件 , 捕获90个样本 。 相比以往 , 这9款软件“偷盗”手段略有不同 , 除了非法收集用户敏感通讯数据外 , 还会尝试对用户面部图像进行静默偷拍与上传 。
手法一:静默偷拍 , 悄无声息获取隐私信息
经深入分析发现 , 这类借贷软件都用了同样的操作手法 , 常规启动登陆页面 , 然后停留输入信息 , 最后登录主页面 , 在这个过程中进行“偷拍” , 悄无声息获取个人信息 。
这类软件都借助了开源的无预览拍照工具AndroidHiddenCamera进行静默偷拍 , 用户打开登录界面后 , 这款工具便会开启“非法之路” , 先检测手机机型 , 然后根据机型调用前置或后置摄像头 , 最后进行静默拍照 , 也不会发出提示音与闪光 , 轻松躲避用户感知 。
当然 , 手机型号不同 , 也决定了选择不同 。 该类软件在静默拍照时首选前置摄像头偷拍用户面部图像 , 只有检测到某些具有升降摄像头的特定机型才会使用后置摄像头 , 例如OPPO k3、VIVO x27等 。 而针对具有升降摄像头的手机 , 这类软件会避开采集面部图像 , 以免摄像头升起让用户有所察觉 , 达到偷拍目的 。

环球网|360独家揭秘:披着借贷“外衣”非法窃取隐私的移动应用
本文插图

静默拍摄的图片名称为a.jpg , 保存在用户手机SD卡中以软件名全拼命名的文件夹下 , 如“信用袋”的图片保存路径为/sdcard/xinyongdai/camera/a.jpg 。 如果路径下有同名文件存在不会进行覆盖 。 当用户身份认证成功后 , 该图片会被私自上传至指定服务器 , 可谓是不费吹灰之力实现一树百获 。
手法二:明文上传 , 敏感数据被“盗取”
值得一提的是 , 除偷拍用户面部图像外 , 这类借贷软件毫无限制、“扫荡式”地采集用户的各种敏感通讯与网络数据 , 包括用户短信、通话记录、通讯录、接入网络等 , 进行非法收集与明文上传 。
用户登录成功后必须先完成多重认证才能进行借款操作 , 借助认证 , 这类软件乘机收集用户短信、通话记录与安装软件列表 , 并将这些个人敏感信息连同认证时上传的身份证照片一并明文发送至指定服务器 。
在这一环节 , 与身份认证同步进行的隐私非法收集与明文上传过程同样让用户无任何感知 , 且在首页、认证页与个人页都看不到隐私声明 , 环环相扣 , 不留痕迹 , 其贼心不言而喻 。
移动软件滥用隐私仍难自持 对标“红线”共耕指尖安全“责任田”
自移动金融行业兴起至今 , 360安全大脑始终对金融类软件隐私收集保持着高度关注 , 截至此次新薪时代信用服务有限公司事件的披露 , 共发现上千款有着隐私不当收集行为的金融类软件 , 其中以借贷软件为主 。 金融类软件出于业务风控特性 , 往往需要采集部分用户数据 , 但无克制不受限采集与静默采集现象却在金融类软件中泛滥 。
可见 , 在大数据与个人隐私边界模糊的时代 , 五花八门的软件早已成为狼豺虎豹争相抢夺的“潘多拉之盒” , 借贷软件中招仅是恶意软件权限滥用的冰山一角 , 因此 , 强烈的监管风暴也随之刮起 。
在立法层面 , 《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》、《App违法违规收集使用个人信息行为认定方法》先后出台 , 明确了未公开收集使用规则;未明示收集使用个人信息的目的、方式和范围等6项认定准则 , 包含31种场景 。


推荐阅读


上一篇:|全新高刷普及机iQOO Z1x宣传海报曝光

下一篇:|怪不得不用英特尔!苹果 Mac ARM 处理器成本曝光:不到100刀