如果有一个监控,它全天24小时观察你、记录你,无论你在家或外出,睡觉或做饭,打扫卫生或者“葛优躺”,它都会知道,并且将信息保存起来——
你,愿意安装这个监控吗?
无所谓答案是什么,事实上,你根本没得选。
最近,一款创维品牌的电视被曝,其涉嫌“私自采集用户数据”。根据爆料内容,创维电视的后台默认运行着“勾正数据服务”。
对这项服务的分析发现,它每隔10分钟就会扫描一次家中所有联网设备,记录下设备的hostname、Mac、ip等等信息。最后,信息被打包、传到一个叫gz-data.com的域名。
专业名词听起来有些晦涩,这留给后文解释。
我们需要先知道,它就是上述“透明人社会”的一个入口。
电视看我?
消息是在技术论坛v2ex曝光的。4月23日,用户“v64500”发帖说,“我家电视机正在监视所有的联网设备”。
起初,这名用户只是觉得,自家电视有点慢。
如今家用的网络,带宽动辄有上百兆,大带宽之下,一台电视的卡顿并不正常。该用户就好奇,电视的后台都有哪些运行项目?
这一看,发现了“勾正数据服务”。
用户“v64500”在技术论坛v2ex发帖
由于电视是安卓系统,该用户于是“抓包”研究。这才知道,“勾正数据服务”隔10分钟就扫描一次所有联网设备,不仅是抓取设备的hostname、mac和ip,还会探测周围wifi的SSID和mac地址。
也就是说,根据抓包到的代码显示,这项服务不仅“监控”自己家的所有联网设备,还会进一步扫描、获取邻居的网络状态。
该用户表示,甚至是“网络延迟时间”数据,这项服务都会扫描、上传。这些数据,最后抵达了gz-data.com域名。
一经搜索,发现该域名就是“勾正数据”公司的官网。
这意味着,在一个普通人家中,如果他的电视有这项“勾正数据”服务,那么,他自己家所有智能终端数据、以及他临近几户人家的网络状态,都在被“勾正数据”公司时刻掌握着。
从其官网上,可以看到勾正数据提供的产品功能包括人群画像、广告监测、实现自定义人群创建、投前人群洞察、家庭营销数据沉淀等(勾正数据官网截图)
用户“v64500”据此质疑,这样随时地采集、上传数据,确定不是间谍服务?
不管它是数据服务,抑或是“间谍服务”,可以确定的是,它的服务对象绝对不是普通人,不是购买和观看电视的人。
帖中还披露了该项服务的部分代码,是由java语言写成,代码显示了这项服务“扫描、封装、上传”的全过程。
总的来说,“它扫描的目的,第一个就是定位信息、获取一些定位到人的数据,然后获取周边的信息,主要是设备信息……最后,封装在集合里,打包上传”,康哥介绍。
该项服务的部分代码
它意味着什么?
在如今,家居家具步入“智能化”。尤其在年轻人中,智能家居成为潮流,比如扫地机器人、智能电视,现已走入千家万户,其它的还有智能冰箱、智能洗衣机、智能电饭煲、智能电灯、智能窗帘,等等。
家居智能化的好处是,生活变得便利了。比如你懒得起床关的灯,现在可以在手机上关闭。
它们都是智能终端,共享你家中的wifi,属于被“扫描、上传”之列。
那么在理论上,“勾正数据”获取了数据,如果数据足够多,这家公司就能知道你的生活作息,工作状态,房屋大小、高度和户型。
总之,它会比你更懂你自己。
更过分的是,在此之前,这一切都在悄悄发生。
露出破绽的“烂活”
数据公司“抓走”的信息,和我们的生活如何相关?或许现在,表述得仍不够清楚。
如果懂得了专业名词,我们会进一步明白,勾正数据服务、以及使用了服务的创维电视,其行为有何等恶劣。
首先是Mac和ip,它们是地址,是定位信息。我们知道,由于网络在全球的需求和设计需要,它是分四层走的。从全球服务器,一直到日常软件,是经过了一层一层地往上分包。
论使用范围,mac地址主要在二层网络有用,IP则是在三层网络。
代码中显示hostname、mac、ip甚至网络延迟时间都会上传,还探测了周围的wifi SSID名称、mac地址
用个比喻说明,IP像一个邮编,指向的是一个区域,代表大方向。mac就像街道、尤其是街道拐角处,由它来判断,数据是从哪个接口出发、进入到哪个接口。
要知道,IP和mac地址,普遍情况下都是全球唯一的。
另外,mac地址不仅是全球唯一,它还有个特殊标准:它的前半部分是组织机构的名字。比如说一台联想电脑,它的Mac地址前6位就是“Lenovo”。
也就是说,了解到Mac地址,就可以获悉设备品牌。
那么,在“扫描、上传”了所有联网设备后,一个创维电视用户的家中,这位用户的数据路径、家居品牌,就毫无遗漏地被公司掌握。
图源:新浪微博@创维电视
如果说,数据是信息时代的“石油”,是一种“宝藏”,那么“勾正数据”所做的,就是直接盗取了“藏宝图”。
接着,被“抓去、上传的”还有hostname(主机名)。主机名,就是每台电脑拥有的名字,比如“某某的pc”,它和域名有一定关系,但是不能等同。
同样地,没有经过特意伪装的hostname,会暴露出很多信息,比如设备的大概类型,其中运行的何种系统,以及类似的种种信息。
前文还提到一个专业名词,即,勾正数据服务可探测到周围wifi的“ssid”,在目前常用协议层面,ssid与mac地址可以等同,也可视之为一个定位信息。
此前,勾正数据官网发布其用户使用大致数据,声称其智能电视终端超过1.4亿台(图源:勾正数据官网截图)
我们知道,当手机靠近一个区域时,wifi列表会更新当前网络。这就是说,wifi本身是在向外广播(但区域不算大)。所以,它就被“有心人”探测、抓去、上传公司。
这意味着,你或许不知道你的邻居是谁,但数据公司却可以通过大数据分析知道,而且比你更清楚。
岂可“自查”了事
事件的从前到后,细思极恐的是,它的曝光完全是一次意外。
如果说,用户“v64500”习惯了卡顿,又或者,发现卡顿的人并不是一个技术人员,那么,勾正数据的“伎俩”还将继续。千家万户的智能电视像个监控,隐私悄悄流失。
在线索曝光了4天后,4月27日,创维电视在官网作出回应,“锅”全甩给了勾正数据。
创维电视于4月27日在其官网发布声明
据创维的回应,在了解到消息后,“公司第一时间全面禁用了所有创维电视上的勾正服务”,并且展开了相关调查。
创维强调说,其与勾正数据等的合作,“仅限于以抽样调查国内收视情况为目的的必要的数据采集。其他任何超出此范围的行为,均未得到创维电视的许可及授权。”
此外,创维表示,此事件严重违背创维用户至上的核心价值观,因此,创维“已发函与勾正数据解除合作关系,并责令其删除非法获取的创维用户相关数据。”
可以看出,创维的重点在于,“及时”和勾正数据作出切割。然而,事件真正的重点,如究竟采集了哪些数据、对数据是如何使用的,以及,一个技术员就能发现的代码问题,作为合作方的创维为什么没有发现?又或者是“视而不见”?
事实上,勾正数据的程序优化并不高明。据了解,安卓系统中后台运行的“程序开发包”并不少,但优化差到影响了用户体验的,还是不多见。
这不是一个很难发现的BUG。
创维回应的当天,27日晚,勾正数据也作出回应,其中的“看点”颇多。
勾正数据于4月27日在其官网作出回应
勾正数据的回应中,首先,“第一时间禁用勾正数据服务APK(APK即程序开发包)”,经过自查,勾正数据强调,此APK用户可以自行禁用。
能够自行禁用,不代表这就合理。
“在我们国家现行的法律体系当中,对于数据的收集应用的原则是opt-in(选择进入),而不是opt-out(选择退出)”,北京师范大学互联网发展研究院院长助理、网络法治国际中心执行主任吴沈括表示。
勾正数据承认,“公司用户隐私政策提示不够清晰”,并对此致歉。
事实上,勾正数据的行为,已经涉嫌违法。
毫无疑问,hostname、Mac、ip信息,属于能够直接或者间接识别特定自然人身份的信息,属于个人信息的范畴。
“收集个人信息应当遵循正当合法必要原则,应当在收集前将收集信息的范围收集的目的使用的方式等等告知用户,并且经过用户的同意,那么这个是网络安全法民法典等相关法律法规中所规定的收集个人信息最基本的规则。”北京云嘉律师事务所资深律师赵占领表示。
从目前的情况来看的话,创维默认勾选这个数据服务,在未经用户同意的情况下收集用户的这些个人信息,显然是一种违法行为。
岂可一句“自查”了事?
(来源:南风窗微信公号)
,