一、小白剧场

大东:小白,你在看什么呢,笑得这么乐呵?

小白:我在看网站上对程序员刻板印象的视频,笑死我了,最近给我推荐的都是这种视频。

大东:哈哈,那可能大数据发现你是一个程序员,或者对计算机专业感兴趣,就给你推荐这种视频。

小白:这个我之前了解过,一些厂商或多或少都会收集用户信息,以此提供更加精准的数字化服务。

大东:是的,智能手机是当下人们最“离不开”的核心物品之一,也是一个承载着用户几乎所有秘密的设备,也是个我们会随身携带的电子设备。

小白:我基本上全天都要带着手机,用手机付款,导航。没有手机我感觉自己都没办法在现代社会生活下去,而且许多信息也存储在手机上面,包括电子身份证等重要信息。即使知道自己的信息会被收集也没有什么办法。

大东:在某些人看来,实际上这是一种监控行为。为了逃避这种监控,一些对技术了解较多的用户会在他们的智能手机上安装非官方版本的Android系统。

小白:非官方版本的Android系统?

大东:比如,他们会选择一台经过改装的Android手机,其中不包含任何官方的专有(闭源)应用程序或服务。这通常包括安装一个自定义的ROM,用一个不带任何官方应用程序的开源Android系统替代标准的Android软件。

小白:这种系统就完全不会被监视吗?

大东:从理论上来说是这样的,使用开源Android系统不会被搜集到位置等信息。但是,最近德国某安全公司发布的报告指出,在不需要Android操作系统参与的情况下,带有某芯片的智能手机会秘密向企业发送个人数据,并且这些数据将会上传至其在国外部署的服务器上。

小白:直接从硬件层面搜集用户信息?具体是怎么回事大东能详细说说吗?

二、话说事件

大东:具体来说,德国某安全公司发布了一份报告,称带有某品牌芯片的智能手机会向企业发送个人数据,即使在使用无官方的 Android 发行版时也是如此,而且这些数据是在未经用户同意、未加密的情况下发送的。

小白:真的吗?这听起来很不可思议,企业私自收集用户信息还是用明文传输。那这些数据会被上传到哪里?

大东:报告说,这些数据会被上传到企业部署在境外的服务器上。而且受影响的智能手机包括绝大部分使用该品牌芯片的 Android 手机以及部分iOS系统手机。

小白:太可怕了。企业有什么回应吗?

大东:企业承认存在数据传输行为,但否认私自收集用户隐私信息,强调该行为符合XTRA服务隐私政策。至于上传的用户数据是否涉及国家安全,企业的解释让人难以信服。

小白:是啊,这涉及国家安全就不是小事了。如果我们这些数据落入某些境外政府机构或间谍组织的手里,后果不堪设想。智能手机可是我们随身携带的设备,几乎包含了所有的个人秘密。他们是如何调查的?

大东:安全研究人员在一款去掉官方安卓系统的手机上进行了实验,实验过程中,他们使用了一个隐私保护严格的开源系统/e/OS,并关闭了GPS定位服务以避免干扰实验。

小白:他们发现了什么?

大东:他们发现在手机连接到网络后,首先向服务器发送了DNS请求。接着发现手机与某品牌的服务器建立了连接,这表明它正在悄悄收集用户的信息并上传到他们的服务器上。

小白:都包括哪些信息呢?

大东:研究人员列出了可能收集到的信息,包括设备的唯一ID、国家代码、手机运营商代码(允许识别国家和移动运营商)、操作系统和版本、设备上的软件列表和IP地址等等。

小白:这么多的信息啊,甚至包括国家和IP地址。

大东:企业否认他们收集IP地址,实际情况是他们很可能也收集了IP地址。在安全研究完成公布后,企业更新了隐私政策,并补充也会收集设备的IP地址。另外他们还添加了他们将此数据存储90天以用于“质量目的”的信息。

小白:这被人发现直接明目张胆地收集用户信息了吗?

大东:按照企业的回复看来是这样的了。

小白:这岂不是说任何使用他们芯片的手机都可能被企业收集信息。

三、大话始末

大东:某品牌这样的处理方法严重威胁用户的个人信息安全。

小白:是啊,如果报告中提到的情况属实,用户的个人数据将在未经同意和未加密的情况下发送给企业并上传至境外的服务器。这将对用户的隐私造成严重威胁,个人信息可能会落入不当的手中,导致身份盗窃、信息泄露和其他潜在的安全风险。

大东:不仅如此,私自收集用户信息一直都是违法的行为,某品牌此举违反了相关的隐私法律和监管要求,可能会面临法律诉讼和调查。此事件可能引发对数据隐私保护的更严格监管措施,以确保用户数据的安全和隐私权的保护。

数据隐私保护(图片来自网络)

小白:这样来看的话,使用某品牌芯片手机的品牌,都可能受到影响。

大东:某品牌芯片广泛应用于许多智能手机品牌,包括知名品牌和一些开源手机。任何使用该芯片的手机厂商都可能在不知情的情况下帮助其违法搜集用户数据。

小白:供应链安全也会受到威胁。

供应链安全(图片来自网络)

大东:是的,该事件可能会对整个智能手机供应链的安全性产生影响。这暴露了供应链中某些环节的安全漏洞,可能导致用户数据被泄露或滥用。供应链中的其他参与方,如手机制造商和运营商,可能需要加强对供应链环节的审查和监控,以确保供应链中的各个环节都符合数据隐私和安全的要求。

小白:国家是要加强供应链环节的审查和监控了。

大东:该事件已经威胁到国家安全了。

小白:芯片私自收集用户信息,数据被上传到境外的服务器上,可能引起其他国家情报机构的关注。这些国家可能会试图获取这些数据,以获得有关特定个人、组织或国家的情报信息。这可能涉及间谍活动和信息战。

大东:所以国家要加强对技术供应商的监管,以确保其产品和服务不会对国家安全造成威胁。需要更严格的安全审查的同时要求供应商提供更多的透明度。

四、小白内心说

小白:该热点事件揭示了一些与网络安全相关的问题,主要涉及数据隐私和供应链安全。如何保护数据隐私安全和供应链安全是一个值得思考的问题,以下是一些解决办法和预防措施:

数据隐私保护方面,企业和组织应该遵守适用的数据隐私法规和最佳实践,确保收集、存储和处理用户数据时遵循合适的权限和安全措施;用户应该保持警惕,仔细阅读并理解隐私政策和条款,以便知道个人数据的使用方式和范围,并对分享个人信息保持谨慎。

安全供应链加固方面,企业和组织应该对供应链中的各个环节进行审查和监控,确保所有合作伙伴和供应商都符合安全标准,并与他们建立可信任的关系;引入供应链安全评估和审核机制,包括对硬件、软件和数据传输过程的安全性进行全面检查;采用安全认证和加密技术,确保数据在传输和存储过程中得到充分的保护。

当然国家也要加强监管,政府和监管机构应该关注和监测技术公司和供应链中的安全问题,并制定适用的法律法规来保护用户数据和网络安全;加大对企业和组织的监管力度,确保其遵守相关的安全标准和规定,同时对违规行为进行调查和处罚。

个人也要加强隐私保护意识,用户应该加强对网络安全的意识,了解个人数据的价值和风险,并采取相应的措施来保护自己的隐私;学习如何识别和应对网络威胁,包括钓鱼邮件、恶意软件等,以免受到个人信息泄露或其他安全问题的影响。

来源: 中科院之声