窃隐私、放高利贷,输入法的骚操作真不少!

news/2024/11/8 22:48:39/

来源 | 编程技术宇宙

责编 | 李雪敬

封图 | CSDN 付费下载自视觉中国

光说隐私泄露,人们总觉得似乎离自己很远,然而它早已像一个“地雷”,悄悄埋进了我们的生活中,不是不爆,时候未到。

别认为自己只是社会中的一个小透明,个人信息一文不值,就满不在乎。

当今社会,最值钱的就是信息,人人都可能成为下一个被扒光的对象。

请记住,互联网从来都不是免费的。

输入法早已是众矢之的

近年来输入法软件泄露用户数据的新闻频繁曝出,受影响用户多达 3100 万。

输入法将用户输入的内容上传到云服务器,美其名曰帮助用户提升输入体验,实则是根据用户的输入习惯推测你的兴趣并投放广告。而这个过程中,隐私泄露早已无法避免。

如果用户允许「完全访问」,输入法不仅能获取你所有的输入数据,还能获取你的位置及通讯录信息,并可以随意地发送到输入法自家的服务器中。

且只要曾经启用过「完全访问」,即使之后关闭权限,输入法也可能在本地记录输入信息,待权限重新开启后一并上传至开发者服务器。

作者发现,如果用户打开“完全访问”权限,第三方开发者能够获取用户的大量个人信息,包括:地理位置、照片、银行账户、信用卡号码、街道地址等个人数据……

完全访问:即厂商以完善用户体验为由,允许软件连接网络、获得用户信息的权限,被获知的信息中包含大量的隐私。

包括通讯录、密码、地址、银行卡、街道、聊天记录等……

在用户许可的情况下,可以使用定位服务,可以读取用户通讯录信息、输入法可以记录击键数据以及其他输入数据。

并可以发送到输入法的服务端、输入法可以使用 iCloud 在多设备同步设置以及自定义的自动更正数据。

打开——暴露隐私;不开——没有体验。用户要怎么选?

完全访问≈完全泄露


1、暴露生理特征

照片+声音=生理特征

第三方输入法获取访问麦克风和相册的权限后,用户很可能面临着生理信息被泄露的风险。尤其是当下生物技术、语音密码、人脸识别等技术正在野蛮生长阶段,内部机制并不够完善。

五官、瞳孔、音色等生理特征一旦泄露给不法分子,盗刷银行卡、破解账号密码、盗号、换脸支付等非法行为就变得更加简单,不法分子还可以,通过后期AI换脸合成技术,用收集到的人脸和声音数据合成色情视频。

就比如,2019 年年底,昙花一现的换脸 APP“ZAO”,仅需要上传一张五官清晰的照片,就可以生成换脸动态视频,其活灵活现的程度几乎浑然天成。

国外网友通过利用深度学习的开源库,将色情视频中主角的脸替换为女明星,加尔·盖朵、斯嘉丽·约翰逊、泰勒·斯威夫特等著名女星都惨遭肖像权侵犯的伤害。

而近日,“一甜相机”与搜狗输入法首度尝试跨界合作,推出“DIY 超甜魔法皮肤”活动。

用户将一甜相机中拍摄的美照导入搜狗输入法,即可制作制作出专属输入法皮肤,活动上线仅 2 天,就获得了超过 600 万次的点击参与。而一甜相机以人脸关键点识别、人体关键点识别、人体分割、3D 人脸重建为优势,其母公司是互联网巨头——快手。

资本+技术+数据,几乎可以为所欲为,把用户数据玩弄于股掌之间。

2、暴露地理位置

用户每次唤醒输入法(用到输入法的时候),某狗输入法就会定位一次。

输入法具有非常高的使用频率和用户粘性,我们使用手机等移动终端时,几乎时时刻刻都会打字,那么地理位置信息将会泄露无疑。

可是明明获取大致的IP地址,就足够支撑大部分服务需求了,为什么某狗输入法要实时监控人们的一举一动?

3、暴露手机“身份证”

Imei 是一部手机的唯一识别码,与手机型号和机主信息相对应。以苹果手机为例,我们大多数人的 APPLE ID 都是自己的真实姓名,并且绑定了手机号码、邮箱等额外的个人信息。

手机丢了imei,就像你丢了身份证一样。

注明:【imei】国际移动设备识别码(International Mobile Equipment Identity,IMEI),即通常所说的手机序列号、手机“串号”,用于在移动电话网络中识别每一部独立的手机等移动通信设备。

一个个令人匪夷所思的接口

4.暴露聊天记录和“秘密”

每输入一个标点符号,系统就会向某狗云服务器传输一次输入的文字内容。

我们的日常聊天记录中不仅涉及个人身份信息、家庭信息等等,和朋友、亲人、爱人我们还会聊到很多私密话题。

工作当中的商业机密和加密文档,想想这些信息都被轻松掌控着,令人不寒而栗,甚至于你已经忘记的、已经删除的,输入法还帮你记着!


新机预装,“先入为主”的霸王条款

输入法应用终端以智能手机为主,各输入法平台与智能手机厂商建立深度合作,通过软件预装的形式抢占用户资源。

其中搜狗输入法与三星、小米、OPPO、vivo 等手机厂商的部分机型合作;讯飞输入法是小米、OPPO、锤子部分机型的预装输入法应用。

百度输入法与华为、vivo、一加等手机厂商合作。

2019 年,苹果 iOS 13 及新 iPad OS 开始支持安装第三方输入法,都是我们日常生活中最常购买的手机品牌,几乎占据了全部手机市场。

截止 2019 年第 3 季度,中国第三方输入法的活跃用户规模已经达到 7.71 亿 人,占全网用户的 75.9%。

而输入法的全网渗透率仅次于应用管理(94.9%)、系统工具(81.2%)、地图导航(77.6%), 甚至还高于浏览器(60.0%)、实用工具(54.2%)的全网渗透率。(数据来源:易观)

不用多说,输入法三巨头早已潜入了每个人的生活。

值得一提的是,苹果手机安装某狗输入法后的默认界面,跟苹果自带的输入法非常相似,用户难以分辨。

麦克卢汉曾说“媒介是人的延伸”,这一预言显然已经成为现实,手机是当代人“身体的一部分”,输入法成了刚需,也正是因为这种超乎寻常的亲密关系,第三方输入法可以借用户之手,收集用户的手机号、通讯录、人脸、声音、手机imei识别码、网络状态以及大量实时定位数据等等,进而通过这些数据进行精准的用户画像和用户社会关系描绘。


你一定要问了,泄露这些信息会怎样?

 

1、商业变现

作为工具属性软件,第三方输入法的商业变现渠道非常有限,主要营收方式包括面向C端用户的打赏以及面向B端用户的广告营销和企业级服务,营收结构非常脆弱。

输入法平台的主要变现渠道是作为流量入口,收入来源于广告营销。

鉴于输入法与用户的高度粘性,收集用户数据就变得非常有利可图,通过用户大数据分析,进行广告的精准投放,赚广告费,和商业平台合作,搭建消费入口,骗你买买买,甚至于直接出售用户信息。 

2、密码不再是秘密

使用某狗输入法时,所有你输入的信息超过三次以上便可形成内容记忆,方便用户下次输入时自动联想完整信息。

我们日常生活中使用手机时,会反复输入自己的“手机号、姓名、密码、身份证号码、银行卡号码及密码等常用信息”。

公司日常运营中,反复输入员工的“工资、密码、加密文档、商业机密、专利信息”;

政务工作中“各类政务文件内容”也在被重复码入……这些信息输入法早已帮我们自动记忆。

但是,这些信息如果保护不当,个人、企业和国家的生命财产安全怎么保障?科研成果、知识产权如何维护?你辛辛苦完成的作品,也许瞬间就可以被黑客通过挟持输入法信息窃取。

高利贷产品——某狗借钱,逾期一天打爆通讯录

有匿名消费者反映:“利息太高了,对我造成了经济压力,让我不得以而投诉,让平台帮我解决一下,不管怎样,也是对其他用户的帮助,希望某狗可以改正一下”

三千元分九期,每期还款 385

某狗借钱不仅利率涉嫌高利贷。而且凭借其输入法的用户数据对借款人实行定位监控。

甚至于侵入借款人通讯录——在借款人逾期仅一天后,挨个骚扰借款人通讯录好友,向其告知借款人的借款情况,给当事人和其亲属好友带来极大困扰。

根据所调查的案例显示,部分借款人的年利率甚至超出了 90%

两个案例的年利率

而根据国家规定年利率超过 24% 即为高利贷,超出 36% 利息约定则无效。

最可怕的是,输入法对你实时定位的情况几乎无孔不入,就在受害者举报某狗借钱时,某狗输入法还对其进行着位置监控,大胆的脑补一下,如果现在不是法治社会,会不会人在家中坐,祸从天上来?

受害者投诉时,还接受着某狗的强迫定位

借款人仅仅逾期还款一日,其个人通讯录中的家人和好友,纷纷接到了某狗高利贷方的催还钱的电话,使得借款人陷入尴尬!

输入法到底偷走了多少信息?

根据某二线输入法厂商的公开数据,我们计算一下,他们偷走了多少信息?

仅仅一个二线的输入法,每年就能收集 105010 亿字+ 35560 亿字的语音?

而针对于一线的输入法,这个数字只会成几何倍增长。


你以为只有输入法会这样?

错了!

是厂商会这样,以刚才举例的某二线输入法产品举例,他们的全线产品,几乎都存在多多少少的问题,只要你使用了其中一款,你的隐私就会无处安放。

再来看这个的另一款录音产品——录音宝:

个人用户的录音文件,只需在搜索引擎中使用特定的搜索方法,就可以随意听取别人的录音


作为用户,你能做什么?

1、安卓推荐开源的输入法,苹果默认输入法的安全性稍高于其他市面上的第三方输入法;

2、如非必要,请禁止您手机上的输入法的“完全访问”权限;

3、如果不得不打开“完全访问”,请您在输入关键的、秘密的、隐私的个人信息时请调用手机原始输入法;

4、密切关注隐私保护相关信息,遇到隐私泄露及时举报,并积极使用法律武器;

5、端正守护隐私的态度,不要放任和纵容任何泄露隐私的行为,更不要事不关己高高挂起。

人工智能技术发展的一项障碍就是缺乏丰富细致的用户数据,而这也正是用户隐私保护和技术的发展相悖之处。

在我国,由于个人隐私保护意识不高,很多企业都冒着泄露隐私的风险收割技术红利,输入法市场头部企业,或多或少都存在着隐私泄露的情况。

如何以更完善、优化的服务赢取用户、收获更高的用户粘性,是所有第三方输入法平台应该共同完成的课题,而保护隐私必然是题中应有之义。

提个小问题,你是用的什么输入法?使用过程中又遇到奇奇怪怪的事情吗?

更多阅读推荐

  • 从 Dagger 到 Hilt,谷歌为何执着于让我们用依赖注入?

  • 进入编译器后,一个函数经历了什么?

  • Kubernetes 并非灵丹妙药…

  • GitHub 超3W Star,最受欢迎的 VS Code IDE 是如何炼成的?

  • 微软三杰


http://www.ppmy.cn/news/506164.html

相关文章

转载-如果你不熟悉Material Design,请一口吃下这篇干货!

转载:https://www.uisdc.com/material-design-knowledge 为您准备了最新的 Material Design设计规范,请伴随笔记一口吃掉。 一、安卓是什么? 想象一下,过年同学聚会上,大家把手机都放在饭桌前,除了各种型…

android绑定交通卡,【NFC-SIM卡刷公交教程】支持安卓8.0(3月23日更新)

本帖最后由 张继先森 于 2018-3-23 19:40 编辑 本来是冲着全功能NFC去的,结果发现被张老板坑了,不能刷自带公交APP就算了,NFC-SIM卡也被屏蔽了。不过后来发现一个帖子解决了这个问题,但是内容比较凌乱,无奈&#xff0c…

skype安卓手机版_最新手机系统——安卓Q尝鲜版体验

北京时间 5 月 8 日凌晨,Google 在 2019 年 I/O 开发者大会上发布了 Android 的下一代系统。首批支持的手机厂商也在第一时间放出了 Android Q 全量刷机包,笔者也是第一时间拿手上的一加 6 和 Reno 普通版刷上了 Android Q,下面用这两台手机&…

除了 Android 12,Google I/O 开发者大会还有哪些亮点?

整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 头图 | 来自谷歌官方 去年,因为一场席卷全球、突如其来的特殊情况,出于安全考虑,谷歌首次取消了一年一度的 Google I/O 开发者大会,令许多对此翘首以待…

各种有意思的Github项目收集,不断更新

目录 vardbg 动图代码调试工具 alive-progress 炫酷进度条 gopup 各种权威公开数据 Walle 2.0 代码部署平台 WeiXinMPSDK 微信全平台SDK Bytesize Icons SVG图标库 Amazing-QR 多样式二维码生成器 Ip2region IP定位 public-apis 免费API集合 gogs 自助Git服务 chine…

告别繁琐的签到,使用 dailycheckin 就可以解决

引言 告别繁琐的签到,使用dailycheckin就可以解决。 你还在手动的签到吗,网易云、百度、爱奇艺、腾讯。。。。 今天提供了一种工具可以解决繁琐的手动签到问题。 Dailycheckin 介绍 基于【腾讯云函数】/【Docker】/【青龙面板】/【elecV2P】/【群晖…

android开发收藏功能实现,Android使用Realm数据库如何实现App中的收藏功能

Android使用Realm数据库如何实现App中的收藏功能 发布时间:2021-05-07 11:20:34 来源:亿速云 阅读:63 作者:小新 这篇文章主要介绍了Android使用Realm数据库如何实现App中的收藏功能,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面…

AI行业“四小龙”里,谁最有巨头相?

https://www.toutiao.com/a6692342338317976076/ 中国AI正在从风口转向现实。 在是个互联网从业者都能随口蹦出计算机视觉(CV)、人脸识别、人工智能等词汇的年代,除了BAT大厂们做出的普及“贡献”,就要数国内如火如荼的AI“四小龙…