如何管好越了界的APP

2018-08-07

近日,有网友发现,大众点评、航旅纵横等手机应用,在没有明确提示的情况下加入社交属性,令用户的各类信息暴露在好友甚至陌生人面前。此外,还有网友在使用某款手机时发现,打开部分APP会导致手机的摄像头升降,以及被提示正在录音。

1362969577751.jpg

两个事件,将APP随意公开用户隐私和过度索取手机权限的问题再度推上舆论风口。如何管好越了界的APP,保护用户的隐私信息安全,是亟待解决的一道现实考题。

用户变成“透明人”

点评收藏信息未经提示随意公开

觉得这个餐厅很好吃,去大众点评给个五星;被推荐了一个不错的酒店,在大众点评里点个收藏打算下月休假去体验……近日,通过微信登录大众点评的用户发现,自己的点评、收藏信息,在没有明确提示的情况下,被推送给了自己的微信好友。

“当时使用微信登录大众点评,主要是为了获得5元奖励,也没有认真看相应的隐私协议。但没想到却是以自己变成‘透明人’为代价,真是不值得。”一名网友发帖抱怨。

无独有偶。今年6月,航旅纵横的“虚拟客舱”功能,也被质疑泄露用户隐私信息。用户在值机选座后,点击其他已选座位,可查看到该座位乘客选择航空公司的偏好、常去的目的地等信息。此外,用户还可以给其他用户添加个性化标签,比如某用户就被贴上了“天秤座”“偏爱深航”“广东”“座位靠窗派”的标签。

虽然大众点评与航旅纵横两款APP在被质疑后,均及时道歉并改进相关功能,但仍引发了手机网民对各类APP不经明确提示,随意公开用户个人信息的不满。“如果是分享给熟悉的好友也就罢了,万一这些敏感信息落在不法分子手里,后果不堪设想。”经常使用航旅纵横办理值机手续的陈先生说。

今年5月1日,《信息安全技术个人信息安全规范》正式实施,对个人信息和个人敏感信息、个人信息的授权同意及明示同意做出明确规定,要求收集个人敏感信息时,应取得个人信息主体的明示同意。当个人信息主体拒绝时,可不提供相应的附加功能,但不应以此为理由停止提供核心业务功能,并应保障相应的服务质量。

西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发

中国政法大学传播法研究中心副主任朱巍认为,个人信息的权利属于用户自己,任何手机应用收集和使用个人信息应先取得用户本人同意。同时,APP的隐私协议不可要求用户一概性授权使用个人信息,必须明确向用户告知收集个人信息的具体范围,如何使用收集到的信息,以及在保护用户信息方面采取的相应措施等。

强索权限存疑点

3家手机地图取消无关隐私获取

近日,一款新型手机火了。用户发现在该款手机上打开QQ浏览器APP,手机的摄像头会有升降的动作。此外,在未对手机进行任何操作时,会被提示百度输入法正在录音。随后,腾讯和百度分别发出声明,表示摄像头的升降是为了获取镜头参数,正在录音的提示是预热麦克风导致的,并未通过拍摄和录音来采集用户隐私。

35w58PICyuP.jpg

虽然是虚惊一场,但用户对APP索取手机摄像头、麦克风、定位、通讯录等权限的使用目的依然持怀疑态度。“如果说外卖APP要求获得用户的位置权限是为了推荐周边餐厅和送餐方便,那么它同时要求获得摄像头和通讯录权限又是为了什么呢?”一位网友在微博上这样写道。也有网友在尝试关闭某视频APP读取手机通讯录、短信等功能后发现,该APP依然能够正常打开使用,因此说明这些默认获取的权限并非必需。

智能手机时代,APP要正常使用,确实需要用到手机里的一些权限,但据DCCI互联网数据中心与腾讯社会研究中心联合发布的《网络隐私安全及网络欺诈行为研究分析报告(2017年一季度)》显示,基于对800多个安卓手机应用隐私权限检测,发现获取用户手机隐私权限的现象较为普遍,占比高达96.6%,其中25.3%存在越界获取用户手机隐私权限的情况,目前已成为网络诈骗的重要源头。

《移动互联网应用程序信息服务管理规定》指出,依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能。

今年7月,上海市消保委发布5款地图类手机APP涉及个人信息权限评测结果,多款地图类APP存在申请的敏感权限与实际功能不完全对应、缺少让消费者“一次性授权”等问题。随后,百度、高德、腾讯3家手机地图类APP,决定取消手机联系人、发送短信、获取通讯录等与地图应用无关的个人隐私信息获取。

朱巍建议,用户在下载APP时,应选择正规渠道。此外,还应了解所下载APP的权限行为,及时关闭不必要的授权。

恶意程序和钓鱼网站仍在猖獗发展

2018-08-07

据媒体报道,近期不少市民反馈称,醒来后发现手机收到数条验证码和银行扣款短信,甚至很多市民还因此莫名“被网贷”,蒙受了极为严重的经济损失。李女士(化名)便是此类诈骗案件中的一名受害者,她在凌晨接收到来自银行、京东和支付宝平台的100多条验证码后,发现自己钱款全部被转走,京东平台还开通了金条、白条功能,被借走一万多元。

c3c977c881bd774cfefdd158084fbebb.jpg

针对上述案件,360手机卫士安全专家介绍,这是一种最新型的网络电信诈骗手法,不法分子通过利用“GSM劫持+短信嗅探”技术,可实时获取用户手机短信内容,从而利用银行、网站、移动支付APP的技术漏洞和缺陷,最终实现信息窃取、钱款盗刷、私自借贷等诈骗犯罪的目的。

对于普通民众来说,“GSM劫持”还属于较为陌生的词汇,但是“伪基站”却早已被人们熟知,大致来说,“GSM劫持”便是“伪基站2.0版本”,属于伪基站的技术再升级。以前,不法分子利用“伪基站”为诈骗短信安上了银行、运营商等合法假面,并以此为幌子诱骗用户点击不明链接,从而达到窃取用户个人信息和钱款的目的。

但是,不法分子不再满足于此,而是借助于GSM嗅探技术监视用户短信。不法分子通过伪基站劫持,即中间人攻击手段获取到一定范围内潜在的手机号码后,再利用GSM嗅探技术来窥探用户短信中的验证码信息,以便他们完成密码重置、身份验证等步骤。据悉,不法分子的劫持对象主要针对那些处于GSM网络中的手机,有时也会干扰附近的手机信号使之降级到2G信号后,窃取用户短信信息,然后通过登录其他网站,试图掌握用户更多隐私信息,继而盗刷钱款或冒充受害者消费或套现。

西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发

360手机卫士安全专家解释称,不法分子在利用GSM劫持+嗅探技术窃取用户短信信息时,无需直接与受害者接触,因此用户毫无知觉。它就像是一条经过专业训练的狗,悄无声息地辨别事物,所以也被专业人士叫做“短信嗅探”技术。

对此,360手机卫士安全专家提醒广大用户,GSM协议的问题早已经被关注到,目前该方面的系统换代升级也在进行中。针对近期出现的利用截获短信验证码实施网络身份假冒攻击行为,在全国信息安全标准化技术委员会秘书处牵头下,360手机卫士安全专家还参与编制了《网络安全实践指南—应对截获短信验证码实施网络身份假冒攻击的技术指引》,提出多项加强身份验证安全性的建议,除短信验证码外还新增了图片验证、语音验证、人脸验证、指纹验证等等诸多二次验证机制,所以大家无需恐慌。

此外,360手机卫士安全专家强调,不法分子利用伪基站的主要方式是将用户降为2G,通过技术手段拿到手机号,窃取短信验证码。除上述劫持方式外,钓鱼网站和恶意程序也是不法分子非法获取验证码短信的主要手段。据360互联网安全中心日前发布的《2018年上半年中国互联网安全报告》显示,仅2018年上半年,360手机卫士累计为全国手机用户拦截恶意程序攻击5919.4万次,360的PC端和手机安全软件共为全国用户拦截钓鱼攻击207.2亿次,恶意程序和钓鱼网站仍在猖獗发展。

微信图片_20180807103727.jpg

最后,360手机卫士安全专家强调,广大用户在保护好个人短信验证码外,还可以下载安装360手机卫士此类安全管理软件。该软件不仅可拦截诈骗电话、诈骗短信和钓鱼网站,还具备“手机杀毒”功能,能够及时拦截并查杀高危软件、恶意程序等,避免用户因此泄露个人信息或产生经济损失。同时,360手机卫士还结合短信内容智能识别,通信环境智能检测,以及云拦截和大数据等技术,推出了伪基站短信识别和拦截功能,保护手机用户免受伪基站短信侵害。

亚马逊的人脸识别系统Rekognition,把28位美国议员认成了罪犯?

2018-08-06

BuzzFeed的人类们,一路喜欢搞事情。

1.jpg

自从亚马逊的人脸识别系统Rekognition,把28位美国议员认成了罪犯,他们就决定亲自实验一下。

不过,BuzzFeed测试的不是这套系统,而是同属亚马逊的一个名人识别AI

FBI通缉犯507幅图像拿去给AI匹配。

2.jpg

画家Bob Ross与通缉令上的Mike W. Jackson

结果,吉他手啊,演员啊,画家啊,纷纷与通缉犯高分匹配成功。AI一共完成了17次置信度 (Confidence)95%以上的匹配。

在另外一项用NIST脸部数据集做的测试里,AI还把美国前国务卿赖斯,和一非裔男子被捕后的照片,匹配在了一起,置信分是96%

3.jpg

机智的你可能发现了,重点不在明星和通缉犯的匹配,却在于这些匹配并非勉勉强强拉个人凑数,而是AI很有信心的答案。

为什么会这样?BuzzFeed也想知道,于是联系了亚马逊。

亚马逊:这不是人脸识别

得到的答复,可能比实验结果,还要让人惊喜。

亚马逊说,别看名人AI是作为Rekognition的一次更新,发布出来的,它们两个其实是完全不同的产品啊。

名人AI是个娱乐产品,会在社交网络或者搞笑App这样的地方出现。

所以,它要做的就是给出更多相似的组合。

4.jpg

比如,加勒比海盗的杰克船长,画了很浓的妆,跟强尼戴普平时的样子相差不少。

即便这样,名人AI还是会给你一个很高的置信分,告诉你他们两个是同一个人。

而同样的一组图,喂给Rekognition的话,两者匹配的置信分数,可能就只有50%-60%了。

毕竟,后者作为严肃的人脸识别AI,设定里就包含了执法用途。

5.jpg 

为了强调两者的差异,亚马逊甚至表示,名人AI根本不是人脸识别系统,它和Rekognition在模型的结构上,就有明显的不同。

未曾写清差别

可问题是,普通人没有办法感觉到这样的差异。

至少,亚马逊的官方文件和宣传文,都没有体现它们之间的区别。

复习一次这张图,如果两者结构和用途都完全不同,如此摆在一处真有些匪夷所思。

在跟BuzzFeed聊过之后,亚马逊的人类才修改了Rekognition的文件。修改过的版本,已经可见二者结构上的不同了。

亚马逊的一位发言人说,之前的文章写得太傻了,只想着吸引人点进去,没有想到应该让用户看清楚。

就像刚才说的,名人AI针对的是,会在影视作品里伪装自己的演员,把他们的扮相和真实的长相匹配起来。

所以,如果只对着一群通缉犯去匹配,当然匹配不出正确的结果了。

6.jpg

亚马逊还表示,大家不用在意名人AI给的置信分,因为真正的人脸识别系统,打分的规则是完全不一样的。

特意不写清楚?

这样,问题又来了。

加州大学伯克利分校的学者Joshua Kroll说,执法用的AI系统,大部分都不会公开技术细节。

7.jpg

这样的话,公司说什么,就是什么。

像亚马逊,Rekognition被爆出“把议员认成罪犯”之后,公司才向外界解释说,95%以上是推荐的置信度。

可置信分数到底是怎样得出的,代表怎样的含义,亚马逊从来没有解释过。

Kroll说,让外界产生那么大的困惑,这是亚马逊自己选择的。

如果公司愿意透露更多的细节,比如系统是如何开发,活如何运行的,那么针对亚马逊人脸识别技术的质疑和困惑就会少一些。

西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发

如何解读置信分?

可是现在,只是给出了95%的推荐置信阈值,执法人员又应该怎样理解这个数字呢?

来自乔治城法律中心的Clare Garvie说,一个人如果看到99%的置信度,那ta大概会认为系统给的结果是99%肯定的。

8.jpg 

可事实并不是这样,那只是AI系统自己的信心而已。

而执法人员要怎么解读这个数字,取决于他们接受的是怎样的培训。

这个解读,又可能影响到案件调查的方向,人类很可能更偏重于那些置信分高的匹配结果。

人们之所以会有各种各样的担心,一部分也是因为,AI可以调查各种各样的人,可对人类又很难对AI的工作原理展开调查。

9.jpg

人类在明,AI在暗。

无休止的调查?

除此之外,当人脸识别被用于执法,你一旦被监控拍到,就不知道AI对你的调查,什么时候是个头了。

亚马逊说,存下图像,只是为了维护系统,改进系统。

可是,图像会不会被滥用,谁也不知道。

从养猫到博彩,区块链游戏成“赌徒”盛宴

2018-08-06

一个不到4人的团队创造的区块链游戏,在上线不足一月的时间里,就吸引了3亿人民币的资金进入。与此同时,这款名为Fomo3D的区块链游戏争议声越来越大,有人甚至称之为一个去中心化的传销游戏,“人性试验场”、“庞氏骗局”、“贪婪者的游戏”。

20170704040340987.jpg

  游戏被认为是区块链落地最快的领域和重要引爆点。不过在投资人士看来,目前很多所谓区块链游戏只是在偷换概念。短期来看,区块链游戏尚不具备条件大规模应用和推广的条件,原因是底层公链技术尚不成熟。“像Fomo3D这样博彩类的游戏,是最适合应用区块链的。”一位区块链领域投资人表示。

  从养猫到博彩,区块链游戏成“赌徒”盛宴

  “边玩游戏边赚钱不再是噱头,而是玩家实实在在的福利。”一家区块链公司宣传区块链游戏时这样描述道。为了吸引用户涌入,投资界(ID:pedaili2012)了解到,许多区块链游戏都打着赚钱的旗号进行营销传播,区块链游戏已不再是“游戏”本身。

  什么是区块链游戏?和传统的游戏相比,火币网发布的区块链产业专题报告认为,区块链对游戏最大的影响即虚拟资产的确权和归属,并可对虚拟资产的权属历史进行追溯,其价值的出口在于虚拟资产交易。

  2017年11月,一款名为CryptoKitties(以太猫)的区块链游戏突然爆火。

  CryptoKitties是一款建立在多个以太坊智能合约上的养猫游戏,也是所有区块链养成游戏的起源。它的玩法很简单,玩家使用以太币(ETH)进行电子猫的购买、喂食、照料与交配等,然后将电子猫进行出售。

  据悉,最高的一只猫被拍出了百万元的天价,游戏开发商靠着交易手续费大赚了一笔。此后,国内涌现了一批领养宠物类区块链游戏,比如百度推出“莱茨狗”,网易推出“网易招财猫”等。

  上述报告还指出,由于区块链跨应用账本的属性,游戏的资产具备互通性,因而跨游戏的虚拟资产交易市场,可能成为未来一个极大的流量和财富集散中心,具备极大的潜力。

20180126094716843.jpg

  巨大的财富效应之下,区块链游戏的投机色彩也越来越浓厚。Fomo3D是继CryptoKitties之后又一款爆红的区块链游戏,它是一个典型的资金盘游戏,游戏的玩家们都在赌有比自己更贪婪的人加入。

  这款游戏的规则是这样的,玩家购买钥匙,越晚买钥匙越贵。只要后面有新人购买,上线就可以根据钥匙比例获得一定收益,每当有人买1把钥匙,这游戏发放奖金的时间就会延长30秒,但最多24小时。

  如果超过24小时都没有新人购买钥匙,那么最后一个购买钥匙的人会获得奖金池48%的超高奖金。所有人都在赌,所以游戏就这样漫长地进行下去。

  类似庞氏骗局的游戏设计游走在监管的灰色地带,风险正日渐暴露。链塔团队认为,Fomo3D项目存在较大的风险。一是奖金用途不明,后期游戏迅速结束可能性加大;二是项目方挑战监管底线,项目方跑路可能性极大;三是存在安全漏洞,交易安全没有保障。

  不过,博彩类游戏恰恰是最适合应用区块链技术的一个领域。“游戏上链便意味着透明化,不可篡改,大大改变原先传统游戏规则、数值等不透明,黑箱等一系列问题,让游戏变得公平可信。”在上述投资人看来,区块链可以最大程度实现博彩竞猜类游戏的透明性和公开性。

  底层技术不足, 区块链游戏最大的问题是如何快速上链

  除了游戏设计上存在的争议之外,区块链游戏存在的另一大问题是技术的应用。但由于现阶段的区块链底层技术本身无法承载太大的数据流,对于巨量交互的大型多人网游而言,目前的公链根本满足不了玩家的需求。

  老鹰基金投资经理林翰儒表示:“区块链游戏最大问题是如何快速上链,以及跨链。一般游戏生命周期16个月左右,如何快速部署及扩大应用面是目前解决不了的。”

上链的最大障碍是目前公链性能达不到游戏使用标准。此前,CryptoKitties就让以太坊崩溃了,原因是以太坊的吞吐量(出块速度)TPS不行。所谓TPS就是Transactions Per Second(每秒传输的事物处理个数),即服务器每秒处理的事务数。

西安软件开发、西安APP开发、西安软件外包、西安软件开发、西安网站建设、电商软件开发、社交软件开发、直播软件开发、西安网站制作、西安区块链开发

  众所周知,游戏是高并发的,像王者荣耀几百万人同时在线,巨量数据同时传递,没有一个公链可以做到。目前的区块链网络最厉害的每秒处理3000笔交易,和阿里几十亿的量根本无法相提并论。

  值得一提的是,由于TPS以及区块确认时间的限制,以及Dapp共用一个网络的特性,区块链对于高频次交易的支持能力有限,但较适宜低频次少量数据高价值的线上资产记录。

  区块链游戏尚处于发展初期。根据State of the Dapps数据显示,目前市面上虽有约1700款Dapp(去中心化应用),但整体Dapp的日活跃数在7000人次左右,活跃用户主要还集中在去中心化交易所之上。

  游戏虽位列Dapp中的第二位,但从区块链游戏Dapp本身的日活跃用户数量来看,以最成功的区块链游戏加密猫CryptoKitties为例,刚上线巅峰时期的日活数达到1.4万人次,但后续日活快速下滑,目前仅为300多人次。

  区块链游戏走向成熟需要多久?PlayBlock联合创始人何晓星认为,可能还需要1-2年。“因为区块链的技术本身还不成熟,大家还都在解决生态环节中的问题。生态趋于完善,是一个用户体验更好、话题更易于传播、底层技术更稳定的过程。完善的生态会吸引更多开发团队来区块链领域探索。所以区块链游戏走向成熟可能只需要1-2年,但我希望它会更快,也许就在今年。”