扒光 你的隐私 是怎么被手机扒光的

原创 张博文 虎嗅APP

生活中有无数的巧合，让你觉得自己被手机看着。

你的工作，收入，住址……这些隐私的泄露，不仅决定你看到的广告，还决定了你购物时网站显示的价格，甚至会被打包售出赚钱。

前几天iOS 14更新，MIUI 12正式上线，都为用户隐私做了更多的优化。

停，先别着急对线，无所谓安卓苹果，这词和谁更好没关系。我们会从四个方面，谈谈“你给手机的授权，是怎样泄露你的隐私”

首先，剪贴板如何泄露你的隐私

更新 iOS 14 之后，总有白色小框提示你，当前应用正在读取你的剪切板。我们做了个测试，在30多主流 App 里，只有5个 app 不会获取你的剪贴板。

为什么是剪贴板？

因为它最重要，也是最容易下手。

回想一下，你几乎没有复制过无用的信息:冗长的用户名和密码、要访问的地址、朋友分享的电台、你从未听说过但感兴趣的名词…

并且系统并不会限制软件读取剪切板，开发者只需要写几行代码，就能看到你刚刚复制的内容。

应用程序获取剪贴板的内容后可以做什么？

第一，获取你复制的隐私

文本占用空之间的空间很小，意味着上传到云端的信息消耗的资源很少，软件分析也比较简单，过滤关键词后就可以轻松获取你的个人信息。

我花了两天时间清点我复制的所有内容。从内容上看，这些软件很有可能在你不知情的情况下掌握了你无数的重要秘密。

移动设备可以互通的用户则更危险，如 iOS端 启用了通用剪贴板，这些应用程序也可以访问在 电脑 上复制的内容。

第二，劫持剪贴板并写入信息

有些流氓应用，会强行在剪切板中写入吱口令/淘口令可以牟利的内容，打开相关应用就会弹出。

用户不仅可以复制文本，还可以复制相机中的照片。我们可能会在不知情的情况下向软件披露我们的确切位置。

这也就是今天第二个问题：

为什么相册会泄露你的隐私？

通过相机，主要会泄露用户所在的位置。

众所周知，GPS信息存储在未经处理的照片中。

一旦允许应用程序访问摄像头，即使它没有打开位置的权限，恶意程序也只需要过滤掉哪一个是你手机拍的，就能知道你的地理位置。

下一段篇幅会有点长，但只讲一件事。

为什么这些应用程序必须知道你的身份？

为了永远记住你，你可以知道你在任何情况下都在使用这部手机。通过跟踪你的行为，让用户的画像更加准确。

你的隐私，是怎么从WiFi里泄露的？

有了WiFi，应用程序可以读取你的很多隐私。

第一，可以获取设备的硬件信息。

有些应用可以通过WiFi获取Mac地址，也可以追溯到厂商。相当于身份证。每个人的身份证号码都是不同的，包含你来自哪里和你的家庭地址等信息。

作为每个设备唯一的标识，可以通过跟踪Mac地址，来收集企业或个人的活动和偏好。

其次，通过局域网，可以获得连接到WiFi的其他智能设备的型号。

我们每个人的家里，或多或少都有几件智能家居，这些设备都会接入家庭WiFi。

当APP拥有本地网络权限时，它可以读取连接到此WiFi的所有设备。

表面上问题不大，毕竟谁还不投个屏啊。但细思极恐的是，这也能成为追踪你设备的方式。

很多以自己名字命名的智能设备，非常容易泄露个人信息。

不仅如此，因为每个人家庭里的智能设备组合几乎不会有重复。应用可以根据设备信息，追踪你的手机。

比如你家里有电视、电灯、电饭煲、音响。下一次，只要你识别出这些设备，即使你不知道设备的Mac地址/IMEI，应用程序仍然可以识别出你在使用这款手机。

识别到你的其他设备后，还能向它们推送广告。如果不加以限制，应用程序还可能会操控你的智能设备，比如在你不知情的情况下，打开智能音响/冰箱/洗衣机、配置路由器。

你的隐私是如何从应用/网站泄露的？

第一，通过广告跟踪记录用户在网页上的活动

为了卖广告，很多网站都内置了广告跟踪器。当它第一次跟踪你的手机时，它会被分配一个唯一的ID，可以跟踪和验证你的身份，从而记录你的所有活动。

很多网站都使用同一个追踪器，(比如 Google Ads），能够跨网站收集你的隐私。比如浏览记录/位置，通过ID识别你的设备，无需追踪IP，也能得知你的活动范围。

与防跟踪技术成熟的网页相比，新兴的移动终端更容易被跟踪。

第二，通过第三方应用统计平台

APP会如何跟踪你？类似于网站，给每个用户一个唯一的设备标识符，然后记录你后续的操作。

在苹果禁用UDID之后，部分应用为了绕过系统限制。会通过钥匙串来识别用户身份。也就是除了账户和密码，该应用还会在钥匙串中输入一串特殊代码，读取到这串代码时就能了解用户是谁。

广告追踪，一般采用第三方程序，如通过优盟统计监控APP的渠道曝光、点击、激活、后续留存等。

优盟统计官网

开发者使用第三方提供的软件包后，即可追踪手机用户的浏览/购买行为。

但是开发者自己并不知道第三方平台会收集什么样的信息，第三方很可能会收集所有可以获得的数据。

包括但不仅限于——邮箱地址、电话号、IP地址和用户的位置，还可能利用“后台应用刷新”功能，在未开启的情况下向云端传输数据。

之前已经列出了很多可能性，但这并不意味着现实生活中也有这样的应用。大多数可怕的情况都是巧合。

第一，可能是通讯录暴露了你的交友圈，他们也在搜索这些内容，系统认为你也感兴趣，所以推送给了你。

第二，国内很多应用会联合打造一个大数据平台，比如“精一工程”。JD.COM可以通过与网易的合作，在网易新闻现场实现更精准的广告投放。

第三，开发者还要考虑性价比，以及法律是否允许。

有些方法太复杂了，比如用40米大刀杀人，当他们能毒死你的时候。比如把所有照片上传到云端分析，工作量太大，风险太大，所以大部分开发者不会选择这样做。而且大部分软件注册的时候都要求后台实名，也就是手机号。

如果你想知道自己在网络空间的形象，谷歌会为用户提供画像。

我们可以合理的质疑，但不要有“被迫害妄想症”。有时候APP请求这些权限，也会给用户带来更便捷的功能。新闻的个性化推荐，复制口令，图片打开链接……从交互设计的角度考虑，完全禁止这些工呢过，操作步骤会变得复杂，对用户也更加不友好。

但是，这并不意味着厂商没有责任，他们应该加强对开发者的约束。iOS 14和MIUI 12更新的这些功能也能让用户更好的保护自己的隐私。

上面说了这么多，看上去保护隐私是挺绝望一个事儿，但是视频结尾，我还是想跟你谈谈为什么保护隐私这么重要。

很多人都看过三体理论，有一个黑暗森林理论编得很好。对于三体来说，人类最强大的武器就是谎言，相应的，人类最宝贵的资源就是隐私。对隐私的需求实际上是刻在人类基因中的。它始于我们非洲的祖先从树上爬下来，不能让野生动物在回家的路上发现他们住在哪里。

失去隐私，就意味着你要和你攻击力完全不对等的攻击者面对面，接受降维打击。这个降维打击，就是你在攻击者眼里，根本不是一个真实的人，你只是一行存着你个人特征的数据。

因此，像苹果的iOS 14、小米的MIUI 12这样特别注重设备权限隐私的系统，通过系统级的更新，尽可能严格规范开发者的行为，而不是让开发者拿着你连看都不会看的用户许可证拿走你的隐私。

如对本稿件有异议或投诉，请联系tougao@huxiu.com

目标

原标题：《你的隐私，是怎么被手机扒光的》