“勾正數(shù)據(jù)服務(wù)”？當心你家的創(chuàng)維電視可能正在監(jiān)控你

如果有一個監(jiān)控，它全天24小時觀察你、記錄你，無論你在家或外出，睡覺或做飯，打掃衛(wèi)生或者“葛優(yōu)躺”，它都會知道，并且將信息保存起來——

你，愿意安裝這個監(jiān)控嗎?

無所謂答案是什么，事實上，你根本沒得選。

最近，一款創(chuàng)維品牌的電視被曝，其涉嫌“私自采集用戶數(shù)據(jù)”。根據(jù)爆料內(nèi)容，創(chuàng)維電視的后臺默認運行著“勾正數(shù)據(jù)服務(wù)”。

對這項服務(wù)的分析發(fā)現(xiàn)，它每隔10分鐘就會掃描一次家中所有聯(lián)網(wǎng)設(shè)備，記錄下設(shè)備的hostname、mac、ip等等信息。最后，信息被打包、傳到一個叫g(shù)z-data.com的域名。

專業(yè)名詞聽起來有些晦澀，這留給后文解釋。

我們需要先知道，它就是上述“透明人社會”的一個入口。

電視看我？

消息是在技術(shù)論壇v2ex曝光的。4月23日，用戶“v64500”發(fā)帖說，“我家電視機正在監(jiān)視所有的聯(lián)網(wǎng)設(shè)備”。

起初，這名用戶只是覺得，自家電視有點慢。

如今家用的網(wǎng)絡(luò)，帶寬動輒有上百兆，大帶寬之下，一臺電視的卡頓并不正常。該用戶就好奇，電視的后臺都有哪些運行項目?

這一看，發(fā)現(xiàn)了“勾正數(shù)據(jù)服務(wù)”。

用戶“v64500”在技術(shù)論壇v2ex發(fā)帖

由于電視是安卓系統(tǒng)，該用戶于是“抓包”研究。這才知道，“勾正數(shù)據(jù)服務(wù)”隔10分鐘就掃描一次所有聯(lián)網(wǎng)設(shè)備，不僅是抓取設(shè)備的hostname、mac和ip，還會探測周圍wifi的ssid和mac地址。

也就是說，根據(jù)抓包到的代碼顯示，這項服務(wù)不僅“監(jiān)控”自己家的所有聯(lián)網(wǎng)設(shè)備，還會進一步掃描、獲取鄰居的網(wǎng)絡(luò)狀態(tài)。

該用戶表示，甚至是“網(wǎng)絡(luò)延遲時間”數(shù)據(jù)，這項服務(wù)都會掃描、上傳。這些數(shù)據(jù)，最后抵達了gz-data.com域名。

一經(jīng)搜索，發(fā)現(xiàn)該域名就是“勾正數(shù)據(jù)”公司的官網(wǎng)。

這意味著，在一個普通人家中，如果他的電視有這項“勾正數(shù)據(jù)”服務(wù)，那么，他自己家所有智能終端數(shù)據(jù)、以及他臨近幾戶人家的網(wǎng)絡(luò)狀態(tài)，都在被“勾正數(shù)據(jù)”公司時刻掌握著。

從其官網(wǎng)上，可以看到勾正數(shù)據(jù)提供的產(chǎn)品功能包括人群畫像、廣告監(jiān)測、實現(xiàn)自定義人群創(chuàng)建、投前人群洞察、家庭營銷數(shù)據(jù)沉淀等(勾正數(shù)據(jù)官網(wǎng)截圖)

用戶“v64500”據(jù)此質(zhì)疑，這樣隨時地采集、上傳數(shù)據(jù)，確定不是間諜服務(wù)?

不管它是數(shù)據(jù)服務(wù)，抑或是“間諜服務(wù)”，可以確定的是，它的服務(wù)對象絕對不是普通人，不是購買和觀看電視的人。

帖中還披露了該項服務(wù)的部分代碼，是由java語言寫成，代碼顯示了這項服務(wù)“掃描、封裝、上傳”的全過程。

總的來說，“它掃描的目的，第一個就是定位信息、獲取一些定位到人的數(shù)據(jù)，然后獲取周邊的信息，主要是設(shè)備信息……最后，封裝在集合里，打包上傳”，康哥介紹。

該項服務(wù)的部分代碼

它意味著什么?

在如今，家居家具步入“智能化”。尤其在年輕人中，智能家居成為潮流，比如掃地機器人、智能電視，現(xiàn)已走入千家萬戶，其它的還有智能冰箱、智能洗衣機、智能電飯煲、智能電燈、智能窗簾，等等。

家居智能化的好處是，生活變得便利了。比如你懶得起床關(guān)的燈，現(xiàn)在可以在手機上關(guān)閉。

它們都是智能終端，共享你家中的wifi，屬于被“掃描、上傳”之列。

那么在理論上，“勾正數(shù)據(jù)”獲取了數(shù)據(jù)，如果數(shù)據(jù)足夠多，這家公司就能知道你的生活作息，工作狀態(tài)，房屋大小、高度和戶型。

總之，它會比你更懂你自己。

更過分的是，在此之前，這一切都在悄悄發(fā)生。

露出破綻的“爛活”

數(shù)據(jù)公司“抓走”的信息，和我們的生活如何相關(guān)?或許現(xiàn)在，表述得仍不夠清楚。

如果懂得了專業(yè)名詞，我們會進一步明白，勾正數(shù)據(jù)服務(wù)、以及使用了服務(wù)的創(chuàng)維電視，其行為有何等惡劣。

首先是Mac和ip，它們是地址，是定位信息。我們知道，由于網(wǎng)絡(luò)在全球的需求和設(shè)計需要，它是分四層走的。從全球服務(wù)器，一直到日常軟件，是經(jīng)過了一層一層地往上分包。

論使用范圍，mac地址主要在二層網(wǎng)絡(luò)有用，IP則是在三層網(wǎng)絡(luò)。

代碼中顯示hostname、mac、ip甚至網(wǎng)絡(luò)延遲時間都會上傳，還探測了周圍的wifi SSID名稱、mac地址

用個比喻說明，IP像一個郵編，指向的是一個區(qū)域，代表大方向。mac就像街道、尤其是街道拐角處，由它來判斷，數(shù)據(jù)是從哪個接口出發(fā)、進入到哪個接口。

要知道，IP和Mac地址，普遍情況下都是全球唯一的。

另外，mac地址不僅是全球唯一，它還有個特殊標準：它的前半部分是組織機構(gòu)的名字。比如說一臺聯(lián)想電腦，它的Mac地址前6位就是“Lenovo”。

也就是說，了解到Mac地址，就可以獲悉設(shè)備品牌。

那么，在“掃描、上傳”了所有聯(lián)網(wǎng)設(shè)備后，一個創(chuàng)維電視用戶的家中，這位用戶的數(shù)據(jù)路徑、家居品牌，就毫無遺漏地被公司掌握。

圖源：新浪微博@創(chuàng)維電視

如果說，數(shù)據(jù)是信息時代的“石油”，是一種“寶藏”，那么“勾正數(shù)據(jù)”所做的，就是直接盜取了“藏寶圖”。

接著，被“抓去、上傳的”還有hostname(主機名)。主機名，就是每臺電腦擁有的名字，比如“某某的pc”，它和域名有一定關(guān)系，但是不能等同。

同樣地，沒有經(jīng)過特意偽裝的hostname，會暴露出很多信息，比如設(shè)備的大概類型，其中運行的何種系統(tǒng)，以及類似的種種信息。

前文還提到一個專業(yè)名詞，即，勾正數(shù)據(jù)服務(wù)可探測到周圍wifi的“ssid”，在目前常用協(xié)議層面，ssid與mac地址可以等同，也可視之為一個定位信息。

此前，勾正數(shù)據(jù)官網(wǎng)發(fā)布其用戶使用大致數(shù)據(jù)，聲稱其智能電視終端超過1.4億臺(圖源：勾正數(shù)據(jù)官網(wǎng)截圖)

我們知道，當手機靠近一個區(qū)域時，wifi列表會更新當前網(wǎng)絡(luò)。這就是說，wifi本身是在向外廣播(但區(qū)域不算大)。所以，它就被“有心人”探測、抓去、上傳公司。

這意味著，你或許不知道你的鄰居是誰，但數(shù)據(jù)公司卻可以通過大數(shù)據(jù)分析知道，而且比你更清楚。

豈可“自查”了事

事件的從前到后，細思極恐的是，它的曝光完全是一次意外。

如果說，用戶“v64500”習(xí)慣了卡頓，又或者，發(fā)現(xiàn)卡頓的人并不是一個技術(shù)人員，那么，勾正數(shù)據(jù)的“伎倆”還將繼續(xù)。千家萬戶的智能電視像個監(jiān)控，隱私悄悄流失。

在線索曝光了4天后，4月27日，創(chuàng)維電視在官網(wǎng)作出回應(yīng)，“鍋”全甩給了勾正數(shù)據(jù)。

創(chuàng)維電視于4月27日在其官網(wǎng)發(fā)布聲明

據(jù)創(chuàng)維的回應(yīng)，在了解到消息后，“公司第一時間全面禁用了所有創(chuàng)維電視上的勾正服務(wù)”，并且展開了相關(guān)調(diào)查。

創(chuàng)維強調(diào)說，其與勾正數(shù)據(jù)等的合作，“僅限于以抽樣調(diào)查國內(nèi)收視情況為目的的必要的數(shù)據(jù)采集。其他任何超出此范圍的行為，均未得到創(chuàng)維電視的許可及授權(quán)。”

此外，創(chuàng)維表示，此事件嚴重違背創(chuàng)維用戶至上的核心價值觀，因此，創(chuàng)維“已發(fā)函與勾正數(shù)據(jù)解除合作關(guān)系，并責(zé)令其刪除非法獲取的創(chuàng)維用戶相關(guān)數(shù)據(jù)。”

可以看出，創(chuàng)維的重點在于，“及時”和勾正數(shù)據(jù)作出切割。然而，事件真正的重點，如究竟采集了哪些數(shù)據(jù)、對數(shù)據(jù)是如何使用的，以及，一個技術(shù)員就能發(fā)現(xiàn)的代碼問題，作為合作方的創(chuàng)維為什么沒有發(fā)現(xiàn)?又或者是“視而不見”?

事實上，勾正數(shù)據(jù)的程序優(yōu)化并不高明。據(jù)了解，安卓系統(tǒng)中后臺運行的“程序開發(fā)包”并不少，但優(yōu)化差到影響了用戶體驗的，還是不多見。

這不是一個很難發(fā)現(xiàn)的BUG。

創(chuàng)維回應(yīng)的當天，27日晚，勾正數(shù)據(jù)也作出回應(yīng)，其中的“看點”頗多。

勾正數(shù)據(jù)于4月27日在其官網(wǎng)作出回應(yīng)

勾正數(shù)據(jù)的回應(yīng)中，首先，“第一時間禁用勾正數(shù)據(jù)服務(wù)APK(APK即程序開發(fā)包)”，經(jīng)過自查，勾正數(shù)據(jù)強調(diào)，此APK用戶可以自行禁用。

能夠自行禁用，不代表這就合理。

“在我們國家現(xiàn)行的法律體系當中，對于數(shù)據(jù)的收集應(yīng)用的原則是opt-in(選擇進入)，而不是opt-out(選擇退出)”，北京師范大學(xué)互聯(lián)網(wǎng)發(fā)展研究院院長助理、網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括表示。

勾正數(shù)據(jù)承認，“公司用戶隱私政策提示不夠清晰”，并對此致歉。

事實上，勾正數(shù)據(jù)的行為，已經(jīng)涉嫌違法。

毫無疑問，hostname、Mac、ip信息，屬于能夠直接或者間接識別特定自然人身份的信息，屬于個人信息的范疇。

“收集個人信息應(yīng)當遵循正當合法必要原則，應(yīng)當在收集前將收集信息的范圍收集的目的使用的方式等等告知用戶，并且經(jīng)過用戶的同意，那么這個是網(wǎng)絡(luò)安全法民法典等相關(guān)法律法規(guī)中所規(guī)定的收集個人信息最基本的規(guī)則。”北京云嘉律師事務(wù)所資深律師趙占領(lǐng)表示。

從目前的情況來看的話，創(chuàng)維默認勾選這個數(shù)據(jù)服務(wù)，在未經(jīng)用戶同意的情況下收集用戶的這些個人信息，顯然是一種違法行為。

豈可一句“自查”了事?