上海新增5例境外输入确诊病例详情公布

中新网9月14日电 据上海市卫健委官方微博消息,9月13日0—24时,通过口岸联防联控机制,上海报告5例境外输入性新冠肺炎确诊病例。新增治愈出院7例,其中来自加拿大1例,来自伊拉克1例,来自新加坡1例,来自几内亚1例,来自马里1例,来自美国1例,来自菲律宾1例。

病例1、病例2为中国籍,分别在塞内加尔和几内亚工作,9月9日分别自塞内加尔和几内亚出发,经法国转同一航班于9月11日抵达上海浦东国际机场,入关后即被集中隔离观察,期间出现症状。综合流行病学史、临床症状、实验室检测和影像学检查结果等,诊断为确诊病例。

雷锋网(公众号:雷锋网)雷锋网雷锋网

那么,一个老生常谈的问题是如何避免我们的信息被窃取呢?可能很多人的第一想法当然是卸载这类 App ,但绝对禁止显然不是一条好路子,还是要从源头入手。

技术人员一共检测了 50 多款手机软件,这些软件中分别包含了上海氪信信息技术有限公司和北京招彩旺旺信息技术有限公司的 SDK 插件。而这两个公司的插件,都存在在用户不知情的情况下,私自窃取用户隐私信息的问题。涉及到的手机 App 达 50 多款,包括国美易卡、遥控器、最强手电、全能遥控器、91极速购、天天回收、闪到、萝卜商城等。

还要警惕来源不明的二维码扫描、注册申请等,一些补贴、礼品很有可能是黑灰产为了收集个人信息的诱饵,2 块钱获得的数据被转手就能卖出 10 块钱。

手机里的传感器主要用于运动计步。它的工作原理和麦克风一样,都是记录震动。每当手机扬声器发出的声音,这些震动都会被加速度传感器记录下来。只要把这些细微的震动变化进行还原,就可以识别破解出扬声器里的谈话内容。 更可怕的是,手机 App 对加速度传感器的调用,并不是高权限,可以在不询问的情况下悄悄开启。在这种情况下,不论是苹果,还是安卓手机,都难逃被偷听的命运。

简单来说,上游负责供货;中游负责信息处理与再加工,形成规模化市场;下游负责“应用变现”,通过电信诈骗、恶意营销等非法渠道牟取高额利润。产业链结构完整,各种信息明码标价。

一个很重要的原因就是很多 App 在隐私政策中并没有为其设限。

9月13日0—24时,无新增本地新冠肺炎确诊病例。

而据数据统计,每个人手机中平均有 56 款 App,少一点的可能十多个,多一点的,上百都有可能。中国应用商店数量有 200 多家,上架的 App 有 500 多万款。

正如上文所说,卸载 App 也并不是万全之策,所以,大家更好奇的还是 SDK 插件如何窃取隐私的?

此外,用户的电话号码、地理位置、手机视频和相册等个人信息也被一些 SDK 获取,尤其是地理位置信息,被 32 个 SDK 获取。 

图为市民在公园内休憩。遵义消防救援支队 供图

最后,从个人层面来讲,在下载 App 时,最好选择恶意密度较低的应用商店,比如苹果的 Appstore、安卓手机的应用商店,不要在一些恶意 App 密度高的应用商店下载。

对此,网友也直呼:“大数据时代,我们居然毫无安全可言”。

《信息安全技术 个人信息安全规范》修订草案则要求,涉及 SDK 等第三方嵌入或接入的自动化工具的个人信息控制者,宜开展技术检测确保第三方的个人信息收集、使用行为符合约定要求;宜对其收集个人信息的行为进行审计,发现超出约定行为的及时切断接入。

SDK 插件是怎么窃取用户隐私的?

细思极恐!吓得我赶快删掉了所有短信。

为落实消防宣传“有载体,创品牌,树形象”的总体要求,提升消防“火焰蓝”队伍形象宣传,实施消防宣传“进公园”工程。近日,贵州省消防救援总队各支队结合场地大小、位置、人流量等因素及城市美化建设等因素,依托当地人流密集的公园打造的具有消防雕塑、标识标志、互动体验等元素和文化的消防主题公园正式建成并投入使用。

截至9月13日24时,累计报告境外输入性确诊病例605例,治愈出院562例,在院治疗43例,无重症和危重症。现有待排查的疑似病例3例。

你以为这就完了吗,更可怕的是,这些 App 里的 SDK 在读取完成后,还会悄悄地将数据传送到指定的服务器存储起来。

病例5为中国籍,在美国生活,9月10日自美国出发,9月12日抵达上海浦东国际机场,入关后即被集中隔离观察,期间出现症状。综合流行病学史、临床症状、实验室检测和影像学检查结果等,诊断为确诊病例。

首先,对于企业而言,记录用户数据无法避免。很多厂商会记录用户的匿名数据,但侵犯用户隐私的关键在于,拿到用户数据后有没有脱敏,如何运用这些数据。所以,对于厂商而言,更为重要的工作应该是通过系统层面的更新,尽可能严格规范开发者行为,而不是让开发者举着你根本不会看的用户许可,冠冕堂皇拿走你的隐私。

因为除了 App 个性化推送的需要,还离不开一条规模大、链条长、利益大的黑色产业链。

SDK 是 Software Development Kit 的缩写,即”软件开发工具包”,一般来说,SDK 可以实现安卓开发工具、广告推送、图像识别或移动支付等功能。通过 SDK 插件,App 开发者不再需要针对每项功能进行开发,极大缩短了产品的开发周期。

当然,没有人喜欢主动出卖隐私,也不会有人觉得数据被私自调用是合情合理的事情,一旦这些后台行为的调用逐渐清晰和明朗化,系统也愿意给出更多限制性手段后,守住自己的私密数据,大概就不会成为一个难题了。

根据南都此前发布的《常用第三方 SDK 收集使用个人信息测评报告》(以下简称《报告》)显示:

其次,从政策层面上来规范,《数据安全管理办法(征求意见稿)》第三十条规定,网络运营者对接入其平台的第三方应用,应明确数据安全要求和责任,督促监督第三方应用运营者加强数据安全管理。

根据 2017 年发布的《电子商务生态安全白皮书》推测,中国“网络黑产”从业人员已经超过 150 万,市场规模高达千亿级别。

截至9月13日24时,尚在医学观察中的无症状感染者0例。

主题公园分为消防文化展示区、消防器材展示区、消防游戏亲子互动区、消防知识科普教育区等,采用雕塑、趣味小物等主题装饰以及消防宣传展板、座椅、灯箱、提示牌、垃圾桶等功能性物件为表现手法,突出了消防主题旋律,宣传“消防安全,人人有责”意识。

回答这个问题之前,我们先了解下 SDK 插件的信息收集情况。

那么,重点来了,这些 SDK 插件为什么能如此轻易的获取这么多信息呢?

图为消防主题公园内设置供市民拍照的趣味物件。遵义消防救援支队 供图

这个产业链背后在做什么,大家也有所了解。

据介绍,这两个插件会读取这部设备的 IMEI、IMSI、运营商信息、电话号码、短信记录 、通讯录、应用安装列表和传感器信息。

通过对 60 款 App 进行 5-30 分钟时长不等的逐一检测后发现, 可以将 SDK 实际收集的信息划分为五类:

对于开发商而言,则要尽可能选择有一定市场基础的第三方 SDK,尽量使用苹果和谷歌商店里选用的 SDK 进行集成。

那么,这些 App 有可能停止收集你的数据吗?

5例境外输入性确诊病例已转至定点医疗机构救治,已追踪同航班的密切接触者119人,均已落实集中隔离观察。

在 315 曝光后,工信部今日也表示将在第一时间组织相关单位进行认真核查,依法依规严厉查处涉事企业。

据 315 晚会报道,2019 年 11 月,在上海市消费者权益保护委员会委托第三方公司对一些手机软件中的 SDK 插件进行测试的时候,就发现一些 SDK 里存在的问题。

《报告》显示,不少 App 并没有做到收集前告知。比如,中国银行手机银行 App 的讯飞 SDK 可以“对环境 或通话录音”,却没有提供任何隐私政策;宜人财富 App 和宜人贷借款 App 使用的 TalkingData SDK 获取了用户的地理位置,但两款 App 的隐私政策都没有提及会收集位置信息。也就是说,用户的隐私很可能在不知情的情况下被 SDK 收集了。

App 不去挖掘用户的数据,就很难获得用户痛点和喜好,没有对用户痛点和喜好的洞察,就无法提供合适的产品和解决方案,也就无法创造商业价值。

从人脸识别 5 毛起售再到被 App 私自窃取信息,我们的隐私安全到底应该如何谈起,这一话题也在知乎引起热议。

手机设备信息 (如IMEI、IMSI 等设备唯一 识别码); 网络信息(如 IP 地址、MAC 地址、Wi-Fi热点等); 手机状态信息 (如已安装/运行中的应用信息); 用户行为信息(如锁屏、安装、升级、卸载应用软件); 用户个人信息 (如电话号码、地理位置、 通话记录)。 

以黑产中较为重要的交易产品——个人 App 账号密码为例。数十亿账号密码,被黑灰产业所掌握,他们大多数都是通过撞库、刷库造成账号被盗,而盗号衍生的产业链年获利超百亿元。

截至9月13日24时,累计报告本地确诊病例342例,治愈出院335例,死亡7例。现有待排查的疑似病例0例。

所以,收集用户信息是第一步,用收集的信息来“作恶”就是第二步了,当然,这并不是指这些企业本身。

病例3、病例4为中国籍,在菲律宾工作或生活,乘坐同一航班,9月11日自菲律宾出发,经日本转机后于当日抵达上海浦东国际机场,入关后即被集中隔离观察,期间出现症状。综合流行病学史、临床症状、实验室检测和影像学检查结果等,诊断为确诊病例。

值得注意的是,钉钉、铁路12306、闲鱼等 App 使用的支付宝 SDK,派派、陌陌等 App 使用的声网 SDK , 百度贴吧 App 以及铁路12306 App 使用的梆梆安全 SDK 都收集了传感器信息。很多情况下,步数、心跳等与健康相关的个人信息就是通过“传感器”权限收集。

雷锋网原创文章,。详情见转载须知。

下一步,将采取常态化监管措施,加强移动互联网应用程序 App 综合治理。集聚产业力量,推动技术手段建设,大幅提升技术检测水平。加强监督检查,加大对各类违规行为的处置和曝光力度,对未经用户同意收集使用用户个人信息等违规行为,依法予以查处,切实维护用户合法权益。

在安装 App 时,会弹出各种权限申请,此时一定要注意位置信息、手机通讯录等隐私权限,不常用的不要给。

“球员感染新冠这种事是有可能发生的,而且情况还有可能变得更糟,所以我们必须要接受这事,继续为球队而工作。”

此外,要定期清理手机内存数据,不要把身份证照片、银行卡号等关键信息留在手机内,定期查看手机应用权限。

此外,检测人员也指出:

收集用户信息方面,据统计,在检测时间内,60 款 App 使用的 966 个 SDK 中,有 150 个获取了 IMEI、IMSI 等手机设备信息,在所有类别中最为频繁;其次是 Wi-Fi 连接信息( IP 地址、MAC 地址)、扫描周围热点、Wi-Fi 热点信息(SSID)、运营商与基站信息等各类网络信息,都有 35 个以上 SDK 获取;还有 10 个 SDK 获取了用户行为信息,比如锁屏、安装/升级/卸载 App。 

所以,这些信息的重要性你懂的。

发现信息被泄露后,也不要自认倒霉。按相关规定,消费者有权要求网络服务提供者删除个人隐私信息,还能向公安和互联网管理部门进行投诉举报。

“虽然 SDK 只是一个看似普通的插件,但是因为它对所有的手机 App 具有通用性,很多手机软件可能都嵌入了同一个 SDK,因此一旦某个 SDK 窃取用户个人隐私,将会涉及众多手机软件。”

如何避开这样的隐私曝光侵害?