2011年5月8日 星期日

你的智慧手機被監視了嗎?

目前,「智慧手機」(Smart Phone)包括iPhone、Android或Windows手機,不僅可以接聽電話或回覆簡訊,而且還具有電腦功能,如收發電子郵件、傳送即時資訊、視訊聊天、追蹤社群動態、搜尋網路資料、瀏覽網頁、處理文書、編輯影像、播放音樂、玩遊戲、衛星導航(GPS)、照相或拍攝影片等功能。因此,許多上班族或學生把智慧手機視為隨身必備的生活用品之一。

不過,兩名前蘋果公司(Apple)職員4月公布的一項調查,讓擁有「智慧手機」、特別是 iPhone者,開始擔心自已的隱私正逐漸被侵犯。英國衛報和華爾街日報同時公布的這項調查發現,iPhone的內建程式自動記錄該手機在哪裡使用、何時使用。這兩位研究網路安全專家指出,目前沒有明確證據這些紀錄是否傳至蘋果公司,而他們也尚未針對其他品牌的智慧手機進行研究,但已引起包括民主黨聯邦眾議員馬基(Edward Markey)等議員對手機隱私的關注。美聯社試圖詢問蘋果公司,沒有任何答覆。


智慧手機是從普通手機發展出來的。現在,許多技術公司大量開發應用程序(App),讓手機使用者透過手機免費或付費自行下載,來增加普通手機的功能。例如,蘋果公司的應用程序商店 (App Store)就提供iPhone、iPad及iPod使用者幾萬種應用程序,供蘋果迷們下載應用。但是,讓使用者想不到的是,許多應用程序設定了監視功能,可以收集使用者的電話號碼、目前位置、真實姓名、甚至是手機獨特身分序號(ID number)。

華爾街日報去年底發表一篇報導,標題就是「你的程序正在監視你」。報導稱,你的電話並不保密,「他們把這些資訊定期而廣泛地與他人分享」。該報調查了為iPhone和Android設計的 101個流行的智慧手機的應用程序。結果發現,其中56個程序可以把電話的獨特身分號碼傳遞給其他的公司,而且使用者並不知情,也未同意;47個應用程序通過一定的方式傳輸電話的位置;五個程序向外人傳出使用者的年齡、性別和其他個人資訊。

針對這種情況,聯邦交易委員會(FTC)正在遊說國會立法,限制技術公司私自安裝追蹤程序。其具體做法是建立一個「禁止追蹤 」(do not track)機制,類似於過去設立的「拒絕來電」(do not call)註冊系統一樣。業內專家建議,政府應立法禁止,「如果你的手機上已有這些程序,又不願自己資料被廣告商和調查結果使用,最好的方法是把它們從你的手機上解除 (Uninstall)」。

侵犯隱私 引起關注

智慧手機使用者被追蹤早已存在。華爾街日報曾以「智慧手機追蹤引起隱私擔憂」為題目報導說,越來越多的市場銷售和軟體公司為智慧手機開發軟件程序,使得手機可以追蹤消費者及其地址,以便廣告商準確地投放廣告。報導稱,美國立法者和保護隱私團體指出,針對手機使用者的住處銷售廣告已經成為一個新的行業。最新研究已經發現,許多使用地址追蹤技術的公司並未清楚地告訴消費者,他們正在追蹤何種資料、如何使用這些資料以及和誰共享這些資料。

在過去的一年內,這種市場銷售方法快速擴張。這是因為出現以下因素,如高速無線上網的發展、使用智慧手機的人數增加、含有全球定位系統芯片的移動機器的廣泛使用以及能夠查明使用者位置技術的發展。通過植入這些程序,那些做地方市場銷售的公司就會知道,消費者何時、何地訪問一定的手機網站、打開手機使用的軟件程序、尋找餐館、檢查交通狀況和進行其他活動。市場銷售者能夠使用這些資訊,向這些消費者寄出附近商業的廣告。

報導說,天棚無線(Skyhook Wireless)為iPhone和其他公司開發定位軟件,通過使用全球定位系統的衛星、無線上網系統(Wi-Fi networks)和手機發射塔等技術,把使用者準確定位在60呎以內。這樣,一個旅館經理使用此軟件就可以向消費者寄發廣告,就是因為這個消費者正在附近的高速公路上通過其手機訪問交通網站(www.traffic.com)。目前,大公司和幾千家技術公司使用天棚軟件,能夠看到智慧手機使用者的位置。

引狼入機 無所遁形

華爾街日報12月17日報導,在這101個應用程序中,許多程序開發商,除了在程序內置入廣告板賺取外快,還會用程序在幕後監視手機使用者的各種動向,如用手機上過哪些網站、在網路上搜尋過哪種商品、下載過哪些遊戲或電子書、聆聽哪種類型的音樂、手機裡有哪些程序軟體等。

然後,這些開發商依此整理出一份足以描述個人興趣、嗜好、需求與消費能力的資料,再定期透過當事人手機的上網功能,偷偷傳送給廣告商或線上追蹤公司,作為市場調查的依據。

在 iPhone與Android手機中,下載與安裝新的程序時,並不會像安裝電腦軟體那樣,會跳出一個使用條款或授權同意書的視窗,讓你可以在安裝前選擇「同意」或「不同意」該軟體的條款與授權。因此,當手機使用者安裝任何小工具或小遊戲的程序時,已經在彈指之間引狼入「手機」了。不過,在全球各地目前卻尚無法令可管束。

過去,這種透過安裝免費軟體而被盜取個人資料的情況,常發生在個人電腦上。不過,電腦使用者如今可透過清除瀏覽器中的「歷程」(History)、「餅乾」(Cookie)或「快取記憶體」(Cache),防止「間諜軟體」(Spyware)竊取瀏覽紀錄。有的電腦甚至以「防毒軟體」、「間諜移除軟體」或「防火牆」,隔離及刪除那些「潛伏」在電腦中的間諜。但是,目前智慧手機並沒有可阻絕「間諜程序」的功能。

目前,收集資訊的方法無處不在。蘋果公司經營的各個網路商店公開提供給消費者各種音樂、程序、電子書、電影、電視影集下載率的排行榜,甚至還會分門別類依照商品類別更細微的排名,無論是廣告商或消費者都可依此端倪發現目前哪些商品最紅火、最給力。

最近,蘋果也在iTunes裡成立了自己的社群網站「坪」(Ping),每位iTunes用戶都可透過的社群功能,將自己喜歡的音樂或影片名單分享給社群名單上的親朋好友,讓蘋果迷們可以建立出自己的排行榜,主動將個人的消費喜好公開在網路上。

獨一無二 序號重要

華爾街日報報導,在華爾街日報的測試中,最普遍被程序所偷傳的個人資料,就是使用者的手機序號 (Phone ID)。手機序號是移動電話生產商在製造每隻手機時所賦予的一組「獨一無二」的號碼,就像是我們的身分證號碼或護照號碼。

手機序號在不同的手機公司稱呼不同。iPhone把手機序號稱為唯一設備標識(Unique Device Identifier,簡稱UDID),而Android的手機則是採用另一種名稱。這個序號被植入在手機內,無法隱藏、消除或者更改。

報導稱,廣告商與線上追蹤公司把序號視為超強的追蹤器(Super Cookie)。只要取得了這組序號,就等於掌握到一位真實的手機用戶,在破解後或透過手機間諜程序,就可以監視該名使用者的「一舉一動」。

這也就是為什麼台灣檢調單位,可以確實掌握到知名的「陳致中召妓」疑案,召妓電話的撥出者是來自該案當事人家中的手機,因為他們所追蹤到的是手機序號。儘管有心人士可透過更換用戶識別模塊(Subscriber Identity Module,簡稱SIM卡)而改變電話號碼,卻無法防止該手機的序號被電信公司的伺服器追蹤到。

資料建檔 投放廣告

華爾街日報報導,位於加州的廣告商Mobclix是一間專營廣告交換 (Ad Exchange)的公司。他們為25家以上的廣告客戶置入廣告板到市面上1萬5000多款手機程序裡。

Mobclix 利用部分間諜程序發送回來的手機序號與資料,建立一個龐大可觀的「手機用戶動向資料庫」。公司可以查出哪些程序的下載率最高、哪些用戶下載過哪些程序、每天會花多少時間使用、通常是在哪個時段使用。這樣,他們就可將客戶的廣告板「匹配」置入到最適合、最有效益的程序上。

同時,從用戶端傳來的手機位置或衛星定位點中,Mobclix也可得知這位用戶大概是居住在哪個國家、城市或街道。他們再調閱出「尼爾森市調公司」(Nielsen Co.)對該地區的統計數字,就可輕易推算出該區域的人口對各類程序的消費能力。Mobclix以這種方式可將一位手機使用者歸類到至少150多種目標市場類別,如足球熱愛者、槍戰遊戲玩家、電子書閱讀者、股票看盤者、旅遊喜好者、商家企業用戶。這就是說,通過手機裡安裝過哪些程序,而將他們分門別類到不同的廣告投放族群。

蘋果公司表示,他們對於所有開發商的小程序在上架之前都會有嚴格的管控,尤其針對會洩漏用戶手機位置及個人資料的小程序,在未通過審核前都禁止在蘋果的線上程序商店上架。谷歌公司也指出,他們一向都是以保護客戶隱私為出發點,亦要求所有的開發商在程序需要記錄或傳送用戶的手機位置或其它個人資料時,一定要有彈跳視窗提示,讓使用者點選「同意」或「不同意」。

媒體龍頭 上黑名單

可是,華爾街日報的技術小組作測試時卻發現,蘋果與谷歌兩大企業裡也有子公司在經營廣告交換的業務。谷歌麾下就有AdMob、AdSense、Analytics及 DoubleClick四家廣告公司。他們是華爾街日報的測試中接收最多手機用戶資料的廣告商。其中AdMob公司在2010年就為谷歌賺進了7.5億元。這家子公司接收用戶的年齡、性別、手機序號、手機位置、手機款型等個人資料,統計出用戶的消費能力與動向,精準掌握廣告投放的目標族群。

AdMob公司的發言人解釋,他們僅在收集某些使用者在安裝程序時自願登記的一些個人資料與手機位置,作為評估廣告投放的參考,並否認該公司有監視程序用戶的手機使用動向,或追蹤用戶下載過哪些程序的行為。此說法與華爾街日報的測試報告頗有出入。

蘋果的企業裡也有一家叫iAd的廣告公司,專營iPhone手機程序中的廣告板投放,在測試過51款iPhone的程序裡,18款會傳送用戶的部分資料到 iAd公司。不過,蘋果迷們認為,蘋果本身在網上就有販賣電腦與3C週邊商品的蘋果商店;可付費下載音樂、電影或電視影集的「iTunes」;提供免費或付費程序小程序的程序;以及開張沒多久的電子書商店「iBookstore」。光是靠商品的被點擊率、成交數字與消費者的評比功能,就可以整理出一份鉅細靡遺的市場調查統計,哪需要靠監視或追蹤手機用戶的使用動向來做市場評估?

在華爾街日報公布一份涉嫌收集及傳輸手機用戶隱私的程序黑名單,驚見「哥倫比亞廣播公司」、「福斯新聞網」、「紐約時報」及「氣象頻道」(Weather Channel)等媒體龍頭所提供的新聞類免費程序,竟然也會私下收集當事人的手機序號與手機位置,轉傳給多家市調機構。

資料顯示,這些官方所提到的規則可輕易被忽略。例如,蘋果線上程序商店裡有一款名為「南瓜雕刻」(Pumpkin-Carving)的小遊戲。該款程序在未經遊戲玩家的同意下,就將用戶的手機位置逕自傳給廣告商。蘋果公司對華爾街日報所提出的這項質疑拒絕回應,讓人無從認定這種洩密的行為,到底是出自蘋果內部審查的漏洞,或是某些程序開發商有特權可以「走後門」。

遊戲程序 誘導下載

華爾街日報報導,洩漏個人隱私最嚴重的五款程序分別為:「超值簡訊4」(Text Plus 4)、「潘朵拉音樂盒」(Pandora)、「垃圾投籃」(Paper Toss)、「團購折扣網」(Groupon)與「磨床交友」(Grindr)。

iPhone 上排行第一名的小遊戲「憤怒鳥 」(Angry Birds)也名列於這份黑名單之上。「憤怒鳥」被查出會將玩家的手機序號,偷傳到合作廠商「藝電遊戲 」(Electronic Arts)旗下的Chillingo部門,作為此款遊戲的市場開發指標。Chillingo內部人員強調,這些手機序號或個人資料,將不會被轉嫁使用在廣告投放的參考用途,也絕對不會分享給其他的廠商。

「超值簡訊4」是一款提供iPhone用戶發送免費簡訊的程序,卻會在幕後蒐集使用者的手機序號傳送給八家廣告商,亦會將用戶的年齡、性別及郵遞區號發給其中兩家公司。「潘朵拉音樂盒」是一款iPhone與Android手機上都有的音樂程序,它也會偷傳使用者的年齡、性別、手機位置與手機序號給多家廣告商。「垃圾投籃」是知名的投垃圾桶遊戲,則會在你玩遊戲的同時,將你的手機序號傳給至少五家以上的廣告商。非常受家庭主婦歡迎的「團購折扣網」和提供男同志交友的「磨床交友」同樣會將用戶的性別、手機位置及手機序號,傳給三家廣告商。

不過,「超值簡訊4」、「潘朵拉音樂盒」與「磨床交友」的開發商辯解,他們所傳給廣告商的使用者資料,根本就沒有包括用戶的真實姓名,至於其他個人資料,也是使用者們「自願」填寫到帳戶裡的。「垃圾投籃」的開發商則不願針對自家程序洩密的行為作任何回應。其它幾款黑名單上的程序開發商回應,他們並不知情蘋果公司有規定,私下傳送使用者的任何資料,都需要經過用戶的同意。

這四家程序開發商承諾將馬上改進,包括開發「憤怒鳥」的芬蘭「羅維歐移動公司」(Rovio Mobile),皆已進行修改程序的工作。

用戶火大 告上法庭

華爾街日報爆料後,iPhone與iPad製造商蘋果公司隨後被手機用戶告上法庭,指控該公司及部分應用程序未經消費者的同意,允許這些裝置專用的應用程序將用戶個人資料傳送給網路廣告商。

2010 年12月23日,這項集體訴訟案件遞交位於加州聖荷西的聯邦法院,訴訟由洛杉磯郡居民拉羅(Jonathan Lalo)代表提出,被點出洩漏資料的應用程序包含「潘朵拉音樂盒」、「垃圾投籃」、氣象頻道與字典網站(Dictionary.com),這些程序和蘋果都被列為被告。訴狀中指出,「有些應用程序還會把額外資訊賣給網路廣告商,包括用戶的地點位置、年齡、性別、收入、種族、性傾向與政治觀點」。

這件控告案聲明,向外傳送個人資料有違聯邦「電腦詐欺與隱私法規」,並為所有在2008年12月1日至2010年12月中旬期間,曾下載任何應用程序到 iPhone或iPad的蘋果消費者要求集體訴訟地位。根據中央社報導,對於這件控案,蘋果發言人貝賽 (Amy Bessette)未立即回應電話或電郵的採訪要求。

以目前每家廠商各說各話的情況看來,華爾街日報這次踢爆的程序洩密新聞,已經儼然成了一場智慧型手機的「羅生門」,花時間辯解的程序開發商、廣告商與線上追蹤公司,比願意即刻修改洩密程序的廠商還要多,真正在乎使用者的手機序號、手機位置、衛星定位點或個人資料被外流的廠商卻很少。

提高警惕 以求自保

蘋果的首席執行官喬布斯(Steve Jobs),一向強調蘋果系列的電腦商品,在安全與隱私的防範上比微軟的同類型系統要嚴謹。假設iAd真的也涉及傳送與接收手機用戶的個人資料,顯然就與喬布斯最反對商品「侵入式追蹤」(Intrusive Tracking)的理念背道而馳了。

華爾街日報指出,目前智慧型手機尚屬新興的操作平台,在隱私安全與資料保密的規範與防範上,並不如個人電腦的操作平台那麼成熟。因此,手機用戶們只能提高警覺以求自保,避免囫圇吞棗下載一堆免費的程序小程序或小遊戲而上了賊船。許多開發商就是看準貪小便宜的心態,讓間諜程序成功入侵到智慧型手機,讓用戶們在毫無預警的情況下,成為手機被監視、個人隱私被追蹤的無辜受害者。

每一家程序開發商對個人隱私都有不同的界定。用戶們自願填寫的個人資料,並非為自家公司的數據財產,也不能分享或轉讓給第三方廠商的基本常識,但程序開發商對此認識模糊。因此,市場需要法律規範。

政府立法 規範市場

「紐約時報」報導指出,聯邦交易委員會認為,應該讓消費者自己決定是否允許他們的上網和購物習慣被記錄。由於網路公司沒有保護網絡使用者的隱私,聯邦交易委員會建議設立一個簡單和通用的「禁止追蹤 」機制,就像現存的「禁止電話」一樣。

報導稱,如果這個方法被廣泛應用,將直接影響網上廣告公司幾十億元的生意。例如,技術巨人谷歌收集消費者高度精確的資訊。有了這些資訊,谷歌就可以把針對個人的廣告發給真正需要的消費者。因此,聯邦交易委員會推動國會通過立法,以保護消費者個人的隱私。

在 2010年12月2日發布的新聞稿稱,聯邦交易委員會作證時表示,「禁止追蹤 」機制可以通過立法或者委員會制定規則來完成。如果國會選擇立法,交易委員會提請國會考慮以下幾點:不要影響廣告公司提供給消費者的好處;不要像「禁止電話」那樣要求登記手機的身分號碼;消費者可選擇完全退出或只接受一定類型的廣告;機制應該簡單、容易發現和使用;委員會有權處罰違規者,以要求公司服從法律等。

在法律簽署前,用戶應該採取措施自保。當發現某一程序毫無原由請求開放手機位置與衛星定位的權限時,或者要填寫過多的私人訊息時,用戶務必三思。當不需要手機在網路上時,亦該考慮是否暫時先關掉無線上網或3G、4G行動上網的功能,如此至少可避免某些間諜程序「內神通外鬼」,「在背後傳送你的手機序號、手機位置或使用的動向資料出賣給廣告商」。

世界新聞網 2011/05/01 提墨

相關連結
防線上個資外洩 美推反追蹤法

沒有留言:

張貼留言