如果有一個監(jiān)控,它全天24小時觀察你、記錄你,無論你在家或外出,睡覺或做飯,打掃衛(wèi)生或者“葛優(yōu)躺”,它都會知道,并且將信息保存起來——
你,愿意安裝這個監(jiān)控嗎?
無所謂答案是什么,事實上,你根本沒得選。
最近,一款創(chuàng)維品牌的電視被曝,其涉嫌“私自采集用戶數(shù)據(jù)”。根據(jù)爆料內(nèi)容,創(chuàng)維電視的后臺默認運行著“勾正數(shù)據(jù)服務(wù)”。
對這項服務(wù)的分析發(fā)現(xiàn),它每隔10分鐘就會掃描一次家中所有聯(lián)網(wǎng)設(shè)備,記錄下設(shè)備的hostname、mac、ip等等信息。最后,信息被打包、傳到一個叫g(shù)z-data.com的域名。
專業(yè)名詞聽起來有些晦澀,這留給后文解釋。
我們需要先知道,它就是上述“透明人社會”的一個入口。
電視看我?
消息是在技術(shù)論壇v2ex曝光的。4月23日,用戶“v64500”發(fā)帖說,“我家電視機正在監(jiān)視所有的聯(lián)網(wǎng)設(shè)備”。
起初,這名用戶只是覺得,自家電視有點慢。
如今家用的網(wǎng)絡(luò),帶寬動輒有上百兆,大帶寬之下,一臺電視的卡頓并不正常。該用戶就好奇,電視的后臺都有哪些運行項目?
這一看,發(fā)現(xiàn)了“勾正數(shù)據(jù)服務(wù)”。
用戶“v64500”在技術(shù)論壇v2ex發(fā)帖
由于電視是安卓系統(tǒng),該用戶于是“抓包”研究。這才知道,“勾正數(shù)據(jù)服務(wù)”隔10分鐘就掃描一次所有聯(lián)網(wǎng)設(shè)備,不僅是抓取設(shè)備的hostname、mac和ip,還會探測周圍wifi的ssid和mac地址。
也就是說,根據(jù)抓包到的代碼顯示,這項服務(wù)不僅“監(jiān)控”自己家的所有聯(lián)網(wǎng)設(shè)備,還會進一步掃描、獲取鄰居的網(wǎng)絡(luò)狀態(tài)。
該用戶表示,甚至是“網(wǎng)絡(luò)延遲時間”數(shù)據(jù),這項服務(wù)都會掃描、上傳。這些數(shù)據(jù),最后抵達了gz-data.com域名。
一經(jīng)搜索,發(fā)現(xiàn)該域名就是“勾正數(shù)據(jù)”公司的官網(wǎng)。
這意味著,在一個普通人家中,如果他的電視有這項“勾正數(shù)據(jù)”服務(wù),那么,他自己家所有智能終端數(shù)據(jù)、以及他臨近幾戶人家的網(wǎng)絡(luò)狀態(tài),都在被“勾正數(shù)據(jù)”公司時刻掌握著。
從其官網(wǎng)上,可以看到勾正數(shù)據(jù)提供的產(chǎn)品功能包括人群畫像、廣告監(jiān)測、實現(xiàn)自定義人群創(chuàng)建、投前人群洞察、家庭營銷數(shù)據(jù)沉淀等(勾正數(shù)據(jù)官網(wǎng)截圖)
用戶“v64500”據(jù)此質(zhì)疑,這樣隨時地采集、上傳數(shù)據(jù),確定不是間諜服務(wù)?
不管它是數(shù)據(jù)服務(wù),抑或是“間諜服務(wù)”,可以確定的是,它的服務(wù)對象絕對不是普通人,不是購買和觀看電視的人。
帖中還披露了該項服務(wù)的部分代碼,是由java語言寫成,代碼顯示了這項服務(wù)“掃描、封裝、上傳”的全過程。
總的來說,“它掃描的目的,第一個就是定位信息、獲取一些定位到人的數(shù)據(jù),然后獲取周邊的信息,主要是設(shè)備信息……最后,封裝在集合里,打包上傳”,康哥介紹。
該項服務(wù)的部分代碼
它意味著什么?
在如今,家居家具步入“智能化”。尤其在年輕人中,智能家居成為潮流,比如掃地機器人、智能電視,現(xiàn)已走入千家萬戶,其它的還有智能冰箱、智能洗衣機、智能電飯煲、智能電燈、智能窗簾,等等。
家居智能化的好處是,生活變得便利了。比如你懶得起床關(guān)的燈,現(xiàn)在可以在手機上關(guān)閉。
它們都是智能終端,共享你家中的wifi,屬于被“掃描、上傳”之列。
那么在理論上,“勾正數(shù)據(jù)”獲取了數(shù)據(jù),如果數(shù)據(jù)足夠多,這家公司就能知道你的生活作息,工作狀態(tài),房屋大小、高度和戶型。
總之,它會比你更懂你自己。
更過分的是,在此之前,這一切都在悄悄發(fā)生。
露出破綻的“爛活”
數(shù)據(jù)公司“抓走”的信息,和我們的生活如何相關(guān)?或許現(xiàn)在,表述得仍不夠清楚。
如果懂得了專業(yè)名詞,我們會進一步明白,勾正數(shù)據(jù)服務(wù)、以及使用了服務(wù)的創(chuàng)維電視,其行為有何等惡劣。
首先是Mac和ip,它們是地址,是定位信息。我們知道,由于網(wǎng)絡(luò)在全球的需求和設(shè)計需要,它是分四層走的。從全球服務(wù)器,一直到日常軟件,是經(jīng)過了一層一層地往上分包。
論使用范圍,mac地址主要在二層網(wǎng)絡(luò)有用,IP則是在三層網(wǎng)絡(luò)。
代碼中顯示hostname、mac、ip甚至網(wǎng)絡(luò)延遲時間都會上傳,還探測了周圍的wifi SSID名稱、mac地址
用個比喻說明,IP像一個郵編,指向的是一個區(qū)域,代表大方向。mac就像街道、尤其是街道拐角處,由它來判斷,數(shù)據(jù)是從哪個接口出發(fā)、進入到哪個接口。
要知道,IP和Mac地址,普遍情況下都是全球唯一的。
另外,mac地址不僅是全球唯一,它還有個特殊標準:它的前半部分是組織機構(gòu)的名字。比如說一臺聯(lián)想電腦,它的Mac地址前6位就是“Lenovo”。
也就是說,了解到Mac地址,就可以獲悉設(shè)備品牌。
那么,在“掃描、上傳”了所有聯(lián)網(wǎng)設(shè)備后,一個創(chuàng)維電視用戶的家中,這位用戶的數(shù)據(jù)路徑、家居品牌,就毫無遺漏地被公司掌握。
圖源:新浪微博@創(chuàng)維電視
如果說,數(shù)據(jù)是信息時代的“石油”,是一種“寶藏”,那么“勾正數(shù)據(jù)”所做的,就是直接盜取了“藏寶圖”。
接著,被“抓去、上傳的”還有hostname(主機名)。主機名,就是每臺電腦擁有的名字,比如“某某的pc”,它和域名有一定關(guān)系,但是不能等同。
同樣地,沒有經(jīng)過特意偽裝的hostname,會暴露出很多信息,比如設(shè)備的大概類型,其中運行的何種系統(tǒng),以及類似的種種信息。
前文還提到一個專業(yè)名詞,即,勾正數(shù)據(jù)服務(wù)可探測到周圍wifi的“ssid”,在目前常用協(xié)議層面,ssid與mac地址可以等同,也可視之為一個定位信息。
此前,勾正數(shù)據(jù)官網(wǎng)發(fā)布其用戶使用大致數(shù)據(jù),聲稱其智能電視終端超過1.4億臺(圖源:勾正數(shù)據(jù)官網(wǎng)截圖)
我們知道,當手機靠近一個區(qū)域時,wifi列表會更新當前網(wǎng)絡(luò)。這就是說,wifi本身是在向外廣播(但區(qū)域不算大)。所以,它就被“有心人”探測、抓去、上傳公司。
這意味著,你或許不知道你的鄰居是誰,但數(shù)據(jù)公司卻可以通過大數(shù)據(jù)分析知道,而且比你更清楚。
豈可“自查”了事
事件的從前到后,細思極恐的是,它的曝光完全是一次意外。
如果說,用戶“v64500”習(xí)慣了卡頓,又或者,發(fā)現(xiàn)卡頓的人并不是一個技術(shù)人員,那么,勾正數(shù)據(jù)的“伎倆”還將繼續(xù)。千家萬戶的智能電視像個監(jiān)控,隱私悄悄流失。
在線索曝光了4天后,4月27日,創(chuàng)維電視在官網(wǎng)作出回應(yīng),“鍋”全甩給了勾正數(shù)據(jù)。
創(chuàng)維電視于4月27日在其官網(wǎng)發(fā)布聲明
據(jù)創(chuàng)維的回應(yīng),在了解到消息后,“公司第一時間全面禁用了所有創(chuàng)維電視上的勾正服務(wù)”,并且展開了相關(guān)調(diào)查。
創(chuàng)維強調(diào)說,其與勾正數(shù)據(jù)等的合作,“僅限于以抽樣調(diào)查國內(nèi)收視情況為目的的必要的數(shù)據(jù)采集。其他任何超出此范圍的行為,均未得到創(chuàng)維電視的許可及授權(quán)。”
此外,創(chuàng)維表示,此事件嚴重違背創(chuàng)維用戶至上的核心價值觀,因此,創(chuàng)維“已發(fā)函與勾正數(shù)據(jù)解除合作關(guān)系,并責(zé)令其刪除非法獲取的創(chuàng)維用戶相關(guān)數(shù)據(jù)。”
可以看出,創(chuàng)維的重點在于,“及時”和勾正數(shù)據(jù)作出切割。然而,事件真正的重點,如究竟采集了哪些數(shù)據(jù)、對數(shù)據(jù)是如何使用的,以及,一個技術(shù)員就能發(fā)現(xiàn)的代碼問題,作為合作方的創(chuàng)維為什么沒有發(fā)現(xiàn)?又或者是“視而不見”?
事實上,勾正數(shù)據(jù)的程序優(yōu)化并不高明。據(jù)了解,安卓系統(tǒng)中后臺運行的“程序開發(fā)包”并不少,但優(yōu)化差到影響了用戶體驗的,還是不多見。
這不是一個很難發(fā)現(xiàn)的BUG。
創(chuàng)維回應(yīng)的當天,27日晚,勾正數(shù)據(jù)也作出回應(yīng),其中的“看點”頗多。
勾正數(shù)據(jù)于4月27日在其官網(wǎng)作出回應(yīng)
勾正數(shù)據(jù)的回應(yīng)中,首先,“第一時間禁用勾正數(shù)據(jù)服務(wù)APK(APK即程序開發(fā)包)”,經(jīng)過自查,勾正數(shù)據(jù)強調(diào),此APK用戶可以自行禁用。
能夠自行禁用,不代表這就合理。
“在我們國家現(xiàn)行的法律體系當中,對于數(shù)據(jù)的收集應(yīng)用的原則是opt-in(選擇進入),而不是opt-out(選擇退出)”,北京師范大學(xué)互聯(lián)網(wǎng)發(fā)展研究院院長助理、網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括表示。
勾正數(shù)據(jù)承認,“公司用戶隱私政策提示不夠清晰”,并對此致歉。
事實上,勾正數(shù)據(jù)的行為,已經(jīng)涉嫌違法。
毫無疑問,hostname、Mac、ip信息,屬于能夠直接或者間接識別特定自然人身份的信息,屬于個人信息的范疇。
“收集個人信息應(yīng)當遵循正當合法必要原則,應(yīng)當在收集前將收集信息的范圍收集的目的使用的方式等等告知用戶,并且經(jīng)過用戶的同意,那么這個是網(wǎng)絡(luò)安全法民法典等相關(guān)法律法規(guī)中所規(guī)定的收集個人信息最基本的規(guī)則。”北京云嘉律師事務(wù)所資深律師趙占領(lǐng)表示。
從目前的情況來看的話,創(chuàng)維默認勾選這個數(shù)據(jù)服務(wù),在未經(jīng)用戶同意的情況下收集用戶的這些個人信息,顯然是一種違法行為。
豈可一句“自查”了事?