互联网用户泛隐私安全热点问题回顾与浅析 （2012年3月）

互联网用户泛隐私安全热点问题回顾与浅析

肖新光
安天实验室

（本文原载《计算机学会通讯》（2012年第四期），系根据作者在2012年3月在信息安全论坛同名报告录音整理的，因报告中涉及到具体的案例事件的解读均可通过参考资料查阅，因此做了较多删减）

近期互联网用户热点事件回顾

在过去的几个月时间里，隐私问题的热点已经由传统恶意代码过渡到合法的网络应用，特别是把一些巨头甚至寡头厂商拉到了聚光灯下。

“《环球邮报》近日报道[1]，Twitter向数据挖掘公司出售用户数据。Boulder、Gnip和DataSift获得Twitter授权分析其存档的tweet和访问用户基本信息如地理位置。隐私保护组织担心这对用户隐私影响深远。PrivacyRights Clearinghouse组织主席PaulStephens说，收集一个人在一年多时间内说的话具有颠覆性意义，用户的思考过程可能会被挖掘出来。另一位隐私专家说，商家正在了解用户正在想什么。”

现在我们通过一个表格来整理和回顾一下在过去的几个月内发生的一些事件：

时间	被曝光/报道事件
2011.09	Facebook在用户退出后仍跟踪其行为[2]
2011.11	CarrierIQ软件搜集回传隐私[3]
2011.12	Facebook记录大量用户行为及用户删除的数据[4]
2012.01	Google更改其大量网络服务的隐私条款[5]
2012.02	Google通过付费方式搜集和分析用户数据[6]
2012.02	微软和Google互相指责对方浏览器隐私设置[7] [8]
2012.02	Facebook、Youtube等Android和iOS应用被指责过度搜集用于隐私、读取短信、拦截电话等[9]
2012.03	Twitter向数据挖掘公司出售用户信息和微博内容[10]

这就引发了对于这种合法企业、巨头企业、甚至是寡头企业的行为的担忧，以及对用户隐私威胁的担忧。尽管我们在去年曾通报过恶意代码对用户电话录音等的威胁形式，但基于媒体曝光的厂商行为我们可以看到，在过去几个月内，却是互联网企业（而且是主流的互联网企业）、互联网巨头（甚至是寡头），而不是恶意代码，更加牵动了我们关于个人信息和隐私保护的神经。

在这样的背景下，这种威胁的边界趋于模糊。在过去传统PC的互联网领域，基本上有一个庞大的地下经济产业，他们所主导的工具是其所编写和加工出来的样本，如果用HASH计算的话，可能是数以亿计的一个恶意代码样本集合，这就是PC上的用户价值侵害主题。但目前从手机终端上来看，这种过度的数据收集更主要的是由合法厂商实施的，这种安全边界一下子变得模糊了，谁是敌人谁是朋友的问题变得非常复杂。

智能终端发展进一步带动隐私问题泛化

智能终端设备的快速发展进一步带动了隐私泛化。根据去年相关统计机构的统计[11]，去年智能手机的出货量达到480万台，已经首次超过了PC终端410万台的数量。

	2011年出货量（百万台）	年增长率
智能手机	487.7	62.7%
全部PC终端	414.6	14.8%
平板电脑	63.2	274.2%
上 网 本	29.4	-25.3%
笔 记 本	209.6	7.5%
台 式 机	2.4	2.3%

表1 智能终端设备出货量统计（数据来源：Canalys. Smart phonesovertake client PCs in 2011）

通过对比个人电脑和智能手机，我们能发现两者有很大不同（如下表所示）。

	个人电脑	智能终端
与用户关联程度	较 低	较 高
平台架构和系统	基本统一	异构分化
系统开放性	比较封闭	高度开放
产业链分工	简 单	复 杂
安全防护方案	比较成熟	尚未成熟

表2个人电脑和智能手机对比

从个人电脑的角度看，它往往与用户关联较低。比如说，网民使用网吧的PC就能上网。但手机一般都是用自己的，因为手机是一种与个人身份关联的设备；从整个PC角度来讲，基本上是IBM确定了三架马车体系（IBM-PC标准、Win-tel联盟）之后，PC在和主流操作系统角度基本趋同并保持向前的兼容。而从智能终端的角度看，无论从它的硬件体系结构，还是从它的几个主流智能机操作系统，呈现出异构分化的角度；个人电脑还是一个相对的封闭简单产业链（在高度的标准化的情况，以PC出品商的品牌和供应量为主导），而智能终端是一个开放而复杂的产业链；从安全防护解决方案的角度来看，虽然基于PC的恶意代码，经过几十年，积累了大量与安全体系对抗的经验，但同时，安全体系也经历了长期发展，其中既包括了安全厂商与操作系统厂商的磨合，也包括操作系统厂商自身对安全的改进等等，因此也比较成熟。而在智能终端的角度，我们看到它尚十分稚嫩。

正因为手机产业链条比较复杂，每个链条上的环节都有话语权，但又不承担对安全的主要责任，因此导致了手机产业威胁源头的分化，即：手机制造商、手机操作系统的生产厂商、移动的运营商以及手机应用软件的开发商。每个环节都能从安全模式上对整个手机安全给予深刻影响。并且在过去的一段时间真实的引入了大量安全威胁。

这种威胁的产生可分为以下几种：

a）失误型。在过去的一段时间，我们注意到一些厂商的软硬件缺陷所带来的一些问题，从而导致用户隐私可能被泄露。

b）故意型。合法产业的角色在法律所不及之处，同样因利益因素具有侵害用户隐私的故意。

c）复合型。即厂商本身有搜集用户信息的故意，由于其程序存在bug，导致了这个程序又被攻击者利用。

来自智能终端厂商的案例：

2011年，在HTC自己开发的Sense界面中，一个名为HTCLoggers的组件存在漏洞 [12]。这样，所有其他应用程序只要拥有访问互联网的权限，都可以利用这个漏洞获得手机中大量的我们所列举的隐私数据。

在2012年1月31日，HTC又被发现另一个安全漏洞。在一些型号的手机上，攻击者可以通过这个漏洞，拿到所有已经保存的wi-fi证书[13]。

目前HTC已经通过发布补丁方式对上述问题予以解决，这是厂商失误导致隐私的威胁。

来自智能终端OS的案例：

　　从Android4.0开始，它的默认配置是将用户的SSID，wifi的用户名和密码备份到Google的服务器。这种备份的还原凭据就是用户的Google的帐号。在这种通过单帐号、密码作为凭据进行还原的情况下，我们尚无法证实这个数据对Google方是不是可见。此外，这个服务是一个默认开启的服务。不可否认，这是一个非常方便的功能，因为每个人可能在单位、在家里、在咖啡厅配置了很多密码，如果没有一个有效的备份，这些密码可能会丢失。

但从纵深来看，我们可以联想起前几年沸沸扬扬的谷歌无线街景车的监听事件。2010年，谷歌街景车即被发现有缓存和上传所经过的地区的wifi数据的行为[14]。为此，Google遭到欧盟、澳大利亚等地的调查。甚至在韩国，Google的办公室遭到了韩国警方的搜查[15]。如果把这两点结合来看，我们虽然并不能认为Google有这种故意，但是实际上这个云备份，延展了其监听全球互联网的能力。而这种能力的完成不是依赖大量的CPU+GPU，不是依赖大量的云计算资源，而是通过用户体验的引导，让用户自动上交。假设在2005年以前，如果有厂商这么做，那么会群起沸腾。而今天却不是如此。

来自运营商的案例：

2011年的“Carrier IQ事件”，尽管媒体是10月份报道出来的，但据事后追溯来看，从去年6月份开始，国外主流ROM定制的民间组织就开始逐步删除这个应用[3]。说明相关质疑由来已久。Carrier IQ就是一个为美国运营商提供用户体验和服务支持改进工具的公司。事后，它宣称，其没有重度采集用户信息的行为。但是，从它的相关注册的专利，以及从它原来网站上删除的文档来看，它具有全面的数据采集能力。根据我们的分析，它的采集行为非常隐蔽，是写入某一个内存区域，通过触发条件来上传的，这种触发条件我们也进行了成功的模拟并发布了分析报告。这个事件把美国三大运营商Sprint、AT&T、T-Mobile都牵扯其中。相关报道称受影响设备数量达1.41亿。这个事件表明了通讯运营商在手机价值链条所拥有的巨大话语权。手机这种生存形态与PC不一样，PC使用的固网运营者多数只起到一个提供通路的过程，没有更多的附加业务，也没有更多的话语权；而移动运行商由于把握接入的因素，能够影响终端厂商向里边进行相应的预装。这个情况在美国更严重，因为他们是以合约用户为主导的。

来自软件开发者的案例：

根据某研究机构的调研App Store的应用中，68%存在回传UUID的行为[16]。根据华尔街日报调查数据与此接近，App Store应用中，56%回传UUID、47%回传个人位置，5%回传个人数据[17]。这显然都是采集用户隐私的故意行为，而以免费为主导的Android Market，相关过度采集问题严重的多。

同时操作系统厂商通常扮演着软件提供者的角色，由于具有先天预装和用户信任的优势，其如果出现失误，比一般开发者出现问题严重的多。

谷歌钱包是Android手机上第一款基于NFC技术的支付软件，可以把手机当成信用卡直接刷卡。前阶段就暴露出谷歌钱包是用明文存储了用户的相关信息，其中包括用户信用卡的后四位等等[18]。这样相关实名信息就可能被恶意的应用获取。

免费模式与传统安全价值的冲突

我们过去在探讨隐私时，往往用微技术化观点或泛道德观点来考察这个问题，缺少对于这种隐私威胁风起云涌的原因上的价值链探讨。一种状态的迅速发展或者恶化，必然有其经济链条支持。过去，安全研究者更关注以恶意代码为主要工具来进行活动的地下经济产业链。但从前面的案例来看，聚合和挖掘用户隐私，不幸的同样成为合法产业的动力之源。因此这种隐私聚合和挖掘，它的内在规律和崛起原因需要我们进行思考。

作为互联网行业众多“必读本”的《免费——商业的未来》一书介绍了这种新兴“免费”商业模式是一种建立在以电脑字节为基础上的经济学。这种趋势正在催生一个巨量的新经济。这本书从商业现象列举较多，但对价值链的规则挖掘并不深入。当然，他们同样并没有注意到我们这些安全工作者对于这种模式的安全隐忧，以及如何去打消我们这种隐忧。书里只是说了一种“引导性促成销售模式”，如：广告商获得被免费内容吸引的消费者的姓名和电子邮件地址或与这些消费者相关的信息等等。

我们可以看一下这种免费之路的演进构成。一般来看，不管是免费的应用还是免费的客户端，更多的为用户采纳并非是由于价格因素，而是来自用户体验。比如Gmail，大家的体验实际上比用任何其他收费的邮件服务感受都更好。互联网开发方法就是以用户的体验为引导进行快速开发改进的先进开发模式，而这种用户体验中的改进中亦可产生一些革命性的工程方法。比如原来输入法的人工智能问题很难解决。但比如搜狐输入法，就是基于在互联模式下，基于用户输入频度统计，就可以形成非常高质量的输入建议。因此用户体验的聚合与联合改进，助动了其形成巨大的用户群。在这个用户群的基础上，就要挖据它的产品价值。这样一个产品价值形成之后，免费将去何方呢。它最终要把自身做成一个平台，这个平台效应形成时，仿佛就是免费模式最为开放的时候，因为它是一个open的架构。但当你完全接受这个架构之后，你会发现，它基本上成为了在这个领域上你的唯一入口。因此我们回顾一下，当免费模式到来的时候，我们下意识的从情感上以为它与开源是同类，会代表一个驱动自由竞争、驱动繁荣的一个倾向。但我们后来可以发现，在几乎有主流免费的领域，其产品有竞争性的存在都要比原有的、以收费为主导的情况下少了很多，最终会助动垄断和寡头的形成。

那么免费价值在这个过程中是否侵害和干扰了用户权益呢，那么我们就需要探讨一下。互联网用户的基本权益到底是什么。我认为互联网用户的基本权益，可以概括为三点：

a)身份的自我保护

b)操作的自主选择

c)信息的自由获取

当然从各国官方的角度看，这些用户基本权益是在某些公共权益的约束之内的。比如，这些权益的实行要基于相应的道德、契约和法律，特别是知识产权等社会基本准则为基础，也要以尊重政府的合法监听和管理权为边界。但各界对于这种边界的具体合理性，亦没有普适的解读。并存在着大量的讨论和争议。

传统的安全产品模式和价值观，甚至包括一些传统应用软件的价值观，是应对着这种基本权益的体现的。比如，个人防火墙就是一种典型的针对具有身份自主保护的产品，比如防火墙的一个工作开关block all package coming in，就降低了节点信息被探测到的可能（比如操作系统指纹等）。比如传统的反病毒软件，它能拦截一些恶意代码的非授权的操作，并在发生一些有害数据的传递（比如恶意代码的复制）时，和用户之间产生询问交互，或者按照用户定义去处理，实际上是保障了用户的自主选择权。

我们再来看一下传统的浏览器。传统的浏览器默认首页是空白的（当然，发布者也可以定制）。但是，我们看看手机上的浏览器，大多数商业浏览器是给你订制好了内容。你下意识的，就会去阅读这些内容。传统的网络信息获取，或者是用户基于大的门户站点，或者自己去用搜索引擎选择自己去看什么，这就是信息的自由获取，而且是平衡的获取。而现在的信息，不仅是定制好给你，而且是用弹窗推送给你。我们经常用的一些互联网免费客户端，它的弹窗信息的阅读量，已经超过了新浪的首页。在这个时候，对传统的用户体验模式的颠覆，导致了用户逐渐对自我权益的放弃。所以，站在安全的角度，我们对免费的思索（注意：我没有使用质疑或者批判）是：它的价值链基础是聚合（我没有使用侵害这个词）海量的弱隐私（注意：我在隐私前加了一个弱字）信息。但它们的价值交换方式是，用户放弃部分权益换取免费。而这种换取过程，是用户牺牲掉自主选择和自由获取权得到了更舒适的体验。在这个过程中，互联网厂商和用户之间是各得其所的（我没有说这个过程是非正义的）。然后，这个价值链的目的达成，是达成了对用户的信息和行为的控制。而在这个过程中，唯有对我们这种敏感的安全工作者产生了浓重的不适感觉，而对大众确实获取了良好的体验。

互联网以广告投放、流量重定向和信息封装为主导的免费模式，一定程度上是依赖于获取用户个人信息来实现广告的精确投放；通过让用户感受更加方便的方法削弱用户的选择范围；通过信息推动的方式，影响用户对信息的平衡获取。但是，我们认为免费模式的行动关键词确实和用户的基本权益存在着某些冲突。我认为免费模式的三个行为支撑点分别是：采集、投放和接管。所谓采集，即对用户身份、用户习惯、用户存在位置和相关的社会关系的采集；投放，就是向用户投放聚类和再加工的信息，投放自己所推荐的软件，以及对其评级和建议，包括投放软硬方面的广告等；接管，是代替用户的所有操作，从而形成一个替用户管理的局面。采集行为所伤害的就是自我保护的权利；投放行为就是伤害了自由获取的权利；接管行为伤害的就是自主选择的权利。所以，这种免费所造就的隐私隐患（注意：我使用的是隐患），它依赖于隐私聚合并具备滥用隐私的可能性。其次，用户逐渐倾向使用这种免费，最后变得别无选择。

这里，我再批判一次在大规模互联网场景下进行生物识别。为什么很多大的厂商，包括facebook等等，都在讲，要人脸识别。人脸识别提升安全性么？当然不能。比如出现了拖库事件，过去是丢失了用户名和可以废止的密码，现在连不可改变的脸部签名信息都丢了。但为什么要这么积极的推进人脸识别呢？实际上，就是为了实现这种更为精确的，更有消费价值信息的获取。比如，对圆脸用户，就可以推送减肥广告，有雀斑用户，可以推送祛斑广告。我们不是说要敌视这个商业模式，而是我们反对假以安全的语汇、通过制造用户恐慌来推广并掩盖商业图谋。

不乐观的未来

当这种用户对免费模式的依赖已经达到一定程度的结果时：我们看到一幅叫“Free”的伟大的、诱人的地图在缓缓摊开的时候，在图卷的最后，会不会是一把匕首呢？

套用国外一些学者比较常用判断的逻辑：“Threat can be seen asa combination of capability and intention（威胁是能力和意图的结合）”。即在界定是否存在某些威胁时，需要就对象的Capability和Intention进行考核。从前面的论述来看，当前互联网寡头们的相关能力是毋庸置疑的。那么更重要的就变成意图判断了。

我们可以理解为，分析寡头们是否有主动的对抗用户信息自我保护意愿的行为，是其是否有采集扩大化或者滥用意图的一个重要风向标。

我们先来看Google的动向，Google通过一系列自身的研发和创新，也包括一系列的兼并和整合后，形成了一个庞大的应用体系。Google原来的每种应用，只能分析自身所采集的数据，而不能交叉使用，而在其隐私信息调整后，就可以交叉使用了。隐私保护维权人士抨击了谷歌的最新举措。华盛顿独立隐私保护和安全研究员索霍安(Christopher Soghoian)说[19]：“现在用户只要在上网就处在谷歌的监视之中。没有哪一个单独的实体应该被委以如此多的敏感数据。”

而苹果定期回传用户的GPS坐标，wifi接入点，基站信息等[20]，每12小时向苹果的服务器发送一次，涉及的产品包括iPhone, iPad, iPod Touch, Snow Leopard系统以及Safari浏览器（甚至包括windows版的Safari ）。当被发现之后，它采用的做法是什么呢？它不是道歉，不是解释说明，而是强制性的修改用户条款，要求用户必须接受[21]。而在这个时候，你已经产生了非常重度的依赖。

用户的品牌和认知一旦形成，其巨大的用户群体惯性将使寡头在一段时间内可以为所欲为。而这种群体惯性成为一个巨大的事实之后，就可以藐视传统的法制和安全惯例。这种惯例将成为一种阻挡的力量，从而使类似我这种杞人忧天的人的提醒就像桀犬吠尧一样可笑。

而最能说明问题的，可能正是近期微软和谷歌关于隐私浏览问题的冲突，微软指责Google用相关JS脚本绕过IE隐私浏览模式，来获取用户信息[7]，而Google回应IE隐私保护功能不符实际[8]。首先，隐私浏览的模式，是有行业标准存在的。其次，隐私浏览模式并不是浏览器的默认模式，而是用户强制启动模式。也就是说，这是一个非常明显的用户主观意愿。因此这种获取，是一个明显与用户意愿的对抗的行为。

但是我们能用传统的道德观点或者行业标准去泛泛的要求Google么？不能。因为它提供了免费的应用；因为它可以进一步把这一点写入使用免费应用的用户义务；因为它已经具有了无可争议的话语权。所以，在加入移动背景场景的情况下，隐私威胁从源头、目的和方式上呈现分散化的趋势。更大的威胁从主观的直接威胁过渡到各种间接风险。在免费的模式下，隐私价值已经显示出能够支撑巨大的产业链条的这样一个空间。用户的权益被逐渐侵蚀。

值得反思的是，过去的这些年里，包括几个月前，我们在探讨的是什么？我们在探讨的是恶意代码、漏洞挖掘，探讨的是各种攻击防御技术，探讨各种加密算法的合理应用等等。但实际上来看，我们始终在关注这种具体的威胁，我们始终在猜测一些并不具备实证性的故意，但对产业模式变革带来的安全风险缺少足够的警惕。而当意识到这点的时候，我们已经是温水中的青蛙。

这里，我想讲三句话：这不是一篇反智能终端的战书。我始终认为作为一个信息安全工作者，需要做的是保障用户价值，但不是限制用户的价值；这不是反互联网模式的宣言，我认为需要警醒的不是互联网模式本身，而是互联网模式的无节制膨胀反噬用户的利益。互联网确实存在着不断寡头化的倾向，这个世界也不可能是没有寡头的世界，但也不能是寡头主宰一切的世界。

（感谢我的同事肖梓航、李琦等对本文的贡献）

附一：杂志文章提取链接（PDF格式）：

http://www.ccf.org.cn/sites/ccf/download.jsp?file=/resources/1190201776262/2012/04/16/10.pdf

附二：参考资料列表：

[1] Twittersells your feed to Big Data. http://www.theglobeandmail.com/news/technology/digital-culture/social-networking/twitter-sells-your-feed-to-big-data/article2355287/
[2] Loggingout of Facebook is not enough. http://nikcub-static.appspot.com/logging-out-of-facebook-is-not-enough
[3] 对Carrier IQ木马的综合分析报告. http://www.antiy.com/cn/security/2011/analysis_of_carrieriq.htm
[4] TwentySomething Asks Facebook For His File And Gets It - All 1,200 Pages.http://threatpost.com/en_us/blogs/twenty-something-asks-facebook-his-file-and-gets-it-all-1200-pages-121311

[5] PrivacyPolicy. http://www.google.com/intl/en/policies/privacy/
[6] Googlepaying users to track 100% of their Web usage via little black box.http://arstechnica.com/gadgets/news/2012/02/google-paying-users-to-track-100-of-their-web-usage-via-little-black-box.ars

[7] GoogleBypassing User Privacy Settings. http://blogs.msdn.com/b/ie/archive/2012/02/20/google-bypassing-user-privacy-settings.aspx
[8] Googlesays IE privacy policy is impractical in modern Web. http://www.itworld.com/security/251660/google-says-ie-privacy-policy-impractical-modern-web
[9] Facebook,Flickr, others accused of reading text messages. http://www.zdnet.com/blog/btl/facebook-flickr-others-accused-of-reading-text-messages/70237
[10] Twitter sells yourfeed to Big Data. http://www.theglobeandmail.com/news/technology/digital-culture/social-networking/twitter-sells-your-feed-to-big-data/article2355287/
[11] Smart phones overtakeclient PCs in 2011. http://www.canalys.com/newsroom/smart-phones-overtake-client-pcs-2011
[12] HTC Android Flaw LeaksSmartphone User Data. http://www.informationweek.com/news/security/mobile/231700100
[13] HTC Phone Bug AllowsWi-Fi Passwords to Be Stolen. http://www.pcmag.com/article2/0,2817,2399766,00.asp
[14] Google Street View :CNIL pronounces a fine of 100,000 Euros. http://www.cnil.fr/english/news-and-events/news/article/google-street-view-cnil-pronounces-a-fine-of-100000-euros/
[15] South Korea saysGoogle Street View broke law. http://news.cnet.com/8301-13578_3-20028406-38.html
[16] iPhone Applications& Privacy Issues: An Analysis of Application Transmission of iPhone UniqueDevice Identifiers (UDIDs).http://www.pskl.us/wp/wp-content/uploads/2010/09/iPhone-Applications-Privacy-Issues.pdf

[17] IPhone Apps TransmitPhone ID Numbers, Study Finds. http://blogs.wsj.com/digits/2010/10/04/iphone-apps-transmit-phone-id-numbers-study-finds/
[18] FORENSIC SECURITYANALYSIS OF GOOGLE WALLET. https://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html
[19] Google Widens ItsTracks. http://online.wsj.com/article/SB10001424052970203806504577181371465957162.html
[20] Apple Offers Opt-Outfor iAd, Collects Location Data. http://www.eweek.com/c/a/Web-Services-Web-20-and-SOA/Apple-Offers-OptOut-for-iAd-Collects-Location-Data-348349/
[21] Apple Tells CongressmenIt Batches, Encrypts Location Data. http://www.eweek.com/c/a/Web-Services-Web-20-and-SOA/Apple-Tells-Congressmen-it-Batches-Encrypts-Location-Data-411968/