8455澳门新


图书的未来:数字革命才刚刚开始
图片 3
爆款打造──如何做好基础销量

美国匿名消息服务Whisper被指收集用户数据

美国匿名消息服务Whisper被指收集用户数据

• 作者 张帆 •
2014年10月18日09:56 • 新浪科技

  图片 1

       
导语:英国《卫报》周五刊文称,《卫报》周四报道,匿名社交应用Whisper会对用户位置进行跟踪。Whisper高管随后对此表示强烈否认,称这些报道是“一堆谎言”。然而《卫报》指出,一些证据明确表明,Whisper会跟踪“秘密的”用户。

  以下为文章主要内容:

  本周四,《卫报》发布了3篇报道,详细介绍了匿名社交应用Whisper如何跟踪用户,甚至某些明确表示请勿跟踪的用户的位置。Whisper自称为“互联网上最安全的场所”。

  过去24小时,Whisper高管对这些报道表示了否认,称这些报道是“恶心的”、“一堆恶毒的谎言”,以及“极为愚蠢”。他们表示,这些报道中的内容是“100%错误的”,“非常不准确,因此很可笑”。Whisper总编辑尼特赞·齐默曼(Neetzan
Zimmerman)表示:“《卫报》发布这篇报道是错误的,他们将为此道歉。《卫报》正在说谎。”

  然而,事实情况如下:

  Whisper如何追踪用户位置?

  《卫报》报道称,Whisper开发了内部的位置匹配工具,以确定80%启用定位服务的用户的位置。该公司使用的GPS数据能精确至半径500米的范围。我们还报道称,针对禁用定位服务的用户,Whisper还会根据IP地址信息创建了大致的位置数据。

  这两点事实都无可辩驳。那么Whisper究竟认为是什么错了?

  实际上,Whisper否认的并不是我们指出的问题,齐默曼在Twitter上表示,Whisper从未保存过“准确的位置数据”,因此《卫报》的报道是错的。但实际上《卫报》从未说过,Whisper收集用户的准确位置数据。

  齐默曼进一步指出,对于禁用定位服务的用户,位置数据“从未被收集或保存”,而确定这些用户的位置从技术上来说是完全不可能的。

  不过,Whisper服务条款中关于隐私保护的部分有着不同的说法,实际上这些条款更重要,因为这是Whisper与用户达成的协议。几天前,在获悉《卫报》即将发布这篇报道后,Whisper曾更改过这些条款。

  条款中并未说过,IP位置数据“从未被保存”,也从未表示,在用户禁用定位服务之后,Whisper“从技术上”无法确定用户的位置。实际上,Whisper做出了相反的说法。他们警告用户:“请记住,即使你已经禁用位置服务,我们仍可能根据IP地址确定你所在的城市、州和国家。”

  Whisper何时(以及为何)要调整服务条款?

  Whisper并未直接回应这一问题。关于计划于10月9日发布的内容,《卫报》联系了Whisper要求更多信息。4天后,Whisper悄悄地对服务条款进行了大幅更改,调整了整个章节,并加入了关于隐私保护的全新一页。

  Whisper表示,更改服务条款的时机完全是巧合。该公司首席技术官查德·德普(Chad
DePue)在Hacker
News上发布内容称:“《卫报》报道称,我们为了回应这篇文章而调整服务条款,这是极为愚蠢的。”

  德普表示,将展示7月份时他和律师沟通以调整服务条款的屏幕截图。他表示,调整服务条款是为了使该公司的法律条文对用户更友好,“而不是为了保护我们自己,或是使我们对用户数据获得更大的权利”。不过到目前为止,德普尚未公布这一截图。

  无论如何,Whisper本周对服务条款做出的调整都不仅仅是为了进行修饰。Whisper做出了很大的改动,其中的每条都可以明确回溯至该公司此前收到的来自《卫报》的指控。

  关于追踪用户的行为,Whisper对《卫报》说过什么?

  《卫报》的报道基于上个月为期3天对Whisper洛杉矶总部的拜访。此次拜访部分是为了研究《卫报》与Whisper进行新闻合作的可能性。《卫报》的两名记者因此获得了Whisper后端工具的访问权,并与Whisper高管进行了全面的交谈。在此次拜访过程中,《卫报》记者并未被告知,获得的信息不得公开分享。

  根据记者记录的原始资料,Whisper高管公开而全面地谈论了对用户进行位置跟踪的方法。他们使用内部的位置匹配工具,试图了解用户是否处于他们所声称的地点,同时找出来自有趣地点(例如军事基地或政府大楼)的Whisper消息。Whisper一名高管介绍了,Whisper如何跟踪华盛顿特区一名口无遮拦的说客。“我们一直跟踪他,而他并不知道我们正在这样做。”

  在这名高管做出这番言论时,齐默曼并不在场。齐默曼随后表示,这样的说法“可能是最惊人的谎言”,是“100%罗织出的”。然而,两名记者都听到了这样的说法,而他们记录的原始资料也证明了这一点。

  那么,IP数据的情况又是如何?Whisper是否否认,该服务使用IP位置数据去找出有趣的用户?

  这取决于你去问Whisper的什么人,以及何时去问。在3天时间里,齐默曼和另一名Whisper高管全面介绍了,对于禁用定位服务的用户,Whisper如何获得这些用户的大致位置信息。他们都很清楚,齐默曼领导的编辑团队负责了此事。

  他们解释称,Whisper视不同情况而采取不同做法。只有对存在新闻价值的用户,Whisper才会尝试了解其大致的位置信息。这被描述成一种特殊的工具,可以按需使用。《卫报》记者问到了这种做法的道德问题,随后双方进行了很长的探讨。

  不过随后,齐默曼直接对此表示否认。“这是错误的,100%错误。从没有人说过这样的话。我不知道这样的说法来自何处。”他在接受《华盛顿时报》采访时表示,“我不知道他们在讨论什么。在我一生中,我从未要求任何人提供已禁用定位服务的用户的位置信息。这一点怎么强调都不过分。这是100%的谎言。”

  此外,齐默曼在几条Twitter消息中表示,只会在一些极端情况下获取IP位置数据,例如有消息表明某人的生命受到威胁。

  不过,齐默曼的否认与Whisper高级副总裁埃里克·耶林(Eric
Yellin)的说法又有矛盾之处。《卫报》对耶林表示,Whisper编辑使用IP位置数据去了解已禁用定位服务的用户的位置信息。在10月10日的一封电子邮件中,耶林对此表示确认:“我们有时会在内部查看用户的IP地址,从而确定他们的大概位置。”

  关于Whisper与美国国防部分享信息,以及Whisper即将针对中国市场开发特殊版本的报道,情况又是怎样?

  这两点说法都是准确的,Whisper并未试图做出否认。

  不过Whisper是否否认,该服务会收集用户的个人识别信息?

  并非如此。齐默曼在这一方面做出了大胆的说法。他在Twitter上表示,Whisper“从未,也没有意愿,去收集或保存用户的任何个人识别信息”。

  当然,Whisper不会收集明显的个人信息,例如姓名、电话号码和电子邮件地址,而《卫报》的报道中也并没有这样说。Whisper只是收集了用户的智能手机唯一身份码、IP地址数据,以及当用户启用定位服务后,用户的位置数据。对司法部门来说,这些数据足以定位至某一用户。

  Whisper在何处保存数据,以及保存多长时间?

  在Whisper发现《卫报》计划发布相关报道之前,该公司在菲律宾的一处场所雇佣了100多人。但此前的服务条款显示,该公司在美国处理及保存所有信息。

  新服务条款承认,用户信息可能会在美国国外进行保存及处理。此外,Whisper的条款显示,用户数据和内容只会保存“很短的一段时间”。但《卫报》报道称,这些数据,包括用户认为的已经删除的数据,将被永久存档在一个可搜索的数据库中。

  齐默曼则表示,Whisper没有存储任何用户数据。他指出,“我们不知道我们用户的身份。他们是匿名的。”这里的问题在于数据的定义。Whisper会保存用户的所有历史消息(包括用户认为已经删除的历史消息),以及准确的时间和用户所在位置。

  现在发生了什么?

  《纽约时报》报道称,Buzzfeed已暂停了与Whisper的新闻合作,直到该应用明确其隐私保护政策。《华盛顿邮报》则提出,Whisper近期对服务条款的更新是否足以使该公司免受美国联邦贸易委员会(FTC)关于不当行为的调查。《华尔街日报》则指出,另一款应用Snapchat今年早些时候与FTC达成了和解。Snapchat此前被指控称,关于用户的消息是否真的被删除,该服务欺骗了用户。

  FTC并未宣布将于何时启动调查。与此同时,记者和用户可以对Whisper施压,要求该公司进一步明确其行为。

  作为Whisper首席技术官,德普表示,将在Hacker
News上与用户展开公开的对话。他目前已经收到了一些尖锐的问题。

据外媒报道称,当用户禁用所有应用定位服务时,苹果的iPhone
11系列机型依然会持续收集和传输位置数据,这种行为可能构成潜在的安全风险。

9月10日报道

iPhone 11系列机型似乎会定期ping其GPS模块,以收集用户位置数据。

近日,多位安全研究人员爆料称,数十款时下流行的iPhone应用程序正在悄悄地与第三方数据货币公司共享“数万台移动设备”的位置数据。

据外媒报道称,当用户禁用所有应用定位服务时,苹果的iPhone
11系列机型依然会持续收集和传输位置数据,这种行为可能构成潜在的安全风险。

目前,几乎所有的应用程序都需要用户提供位置数据的访问权限才能正常工作,如天气和健身应用程序,但共享这些数据通常是免费下载应用创造收入的一种方式。

上述报道基于安全研究人员Brian Krebs的报告称,iPhone
11系列机型似乎会定期ping其GPS模块,以收集用户位置数据,而他从实际测试中也确实发现了这个情况。

参与GuardianApp项目的安全研究人员表示,在很多情况下,应用程序不论何时何地都在发送精确的位置和其他敏感、可识别的数据,但几乎从未提及位置数据将与第三方共享的事。

Krebs在运行最新的iOS 13.2.3系统的iPhone 11
Pro上进行了演示,尽管他手动禁用了
iPhone设置中的单个定位服务,系统仍继续为某些应用和系统服务收集GPS数据。有趣的是,即使将应用程序的位置服务开关设置为从不请求上述信息,iPhone
11 Pro仍会搜索GPS数据。

研究人员威尔·斯特拉法赫称:“我相信大多数人都希望能够安心地使用应用程序,不必担心授予敏感数据的访问权限后个人信息会被悄悄发给第三方,这些三方公司用户往往对其并不了解,甚至没有与其合作的意愿。

苹果的隐私权政策详情可在iPhone的定位服务设置中获取,该手机制造商表示,如果定位服务已打开,iPhone会将无线局域网热点及信号塔附近的地理位置信息,以匿名及加密的方式定期发送给苹果,以便扩大这个无线局域网热点和信号塔位置的众包数据库。

借助工具监控网络流量,研究人员发现,24个流行的iPhone应用正在收集位置数据——比如蓝牙信标到Wi-Fi网络名称——以了解某人所在的位置以及他们去了哪里。这些数据货币化公司还从加速器、电池充电状态以及蜂窝网络名称中收集其他设备的数据。

苹果公司还特意表示,用户可以在设置中分别禁用基于位置的系统服务,但Krebs发现iPhone或iOS会排除某些服务的例外情况。

作为交换,数据公司通常会付钱给程序开发人员,让其收取数据并扩充数据库,还经常根据用户个人的位置历史记录来投放广告。

Krebs解释说,但是显然,iPhone
11系列上有一些系统服务需要位置数据,并且如果不完全关闭位置服务,用户就无法禁用它,因为即使单独禁用了所有使用位置信息的系统服务后,箭头图标仍会定期出现。

Strafach表示,虽然很多应用制造商声称不会收集用户的身份信息,但经纬度坐标足以明确标示出某人的住宅或工作地点。

在iOS中,用户可以通过设置应用的隐私定位服务部分中提供的用户界面启用和禁用系统位置服务。该管理设备非常精细,可以控制第一方和第三方应用程序,基本的iOS服务以及其他Apple功能。

举几个例子:

这些工具在iOS
13中得到了加强,从而大大增强了用户对数据共享功能的控制,并减少了意外的位置跟踪功能的可能性。但苹果不会对自己的应用程序施加相同的限制,会在软件用户协议中告知iPhone所有者其定位服务惯例。

ASKfm是一款针对青少年设计的匿名问答应用,在苹果的App
Store上拥有1400条评论,用户数量达千万。它要求访问用户的位置并表示不会与任何人共享,但私下却将位置信息发送给两家数据公司AreaMetrics和Huq。这件事情被爆出后,该应用程序制造商却对外称收集用户的位置数据“符合行业标准,所以用户是可以接受的。”

值得一提的是,Brian Krebs并没有在iPhone
8上发现潜在的安全问题。目前不清楚苹果的iPhone
11是否以相同的方式运行。对于上述问题,苹果工程师表示:我们看不到任何实际的安全隐患。启用定位服务后,状态服务图标将出现在状态栏中。这是预期的行为。对于在设置中未进行切换的系统服务,该图标将出现。

NOAA Weather
Radar的评论超过26.6万条,下载量达百万。该应用向用户要求位置的访问权限,称是“用于提供天气信息”。但今年3月份,该应用的旧版本被发现将位置数据发送给三家公司Factual、Sense360和Teemo。目前该代码已被删除。NOAA
Weather
Radar程序开发团队Apalon发言人表示,今年初,公司“与其中一些供应商合作进行了有限、简短的测试”。

接下来Krebs将继续进行更深入的研究,已证实上述奇怪的活动可能与为支持Wi-Fi
6的新iPhone硬件有关。

Homes.com是一款十分受欢迎的应用,它要求用户打开位置共享以帮助“查找附近的房子。”但这段被认为是旧代码的代码仍然在向AreaMetrics发送精确的坐标。此应用制造商表示去年与AreaMetrics进行了“非常短期”的合作,并称该代码已停用。

责任编辑:焦旭

Perfect365是一款基于云服务的AR美容应用,在全球拥有超1亿客户,其访问位置数据的理由是“根据您的位置和更多内容可以提供更具针对性的定制化体验”,并向用户推送更多隐私条款——其中确实有提到用户位置数据将用于广告。今年初,外媒BuzzFeed
News就对此有过相关报道,随后该应用被强制下架,但持续时间并不长,没过多久,Perfect365又重新在应用商店上架了。该应用当前版本涵盖8家独立数据货币化公司的代码。到目前为止,该应用开发团队还未对此作出任何回应。

涉及共享位置数据的应用名单还在不断更新中——其中包括了一百多个Sinclair拥有的本地新闻和天气应用,这些应用将位置信息共享给数据跟踪和货币化公司Reveal,这家数据公司称,通过给广告商提供目标受众信息,可以很好地帮助媒体巨头提高销售额。

对于时下流行应用的开发商和货币化公司来说,这可是巨大的商机,利润绝对丰厚,其中有一些公司一天下来能收集到数十亿个位置数据。

当然,没有人会轻易承认自己的问题,大多数数据货币化公司否认自己有不当行为,并宣称用户随时可以选择关闭位置访问权限。大部分公司表示,他们事前就与应用程序开发商明确声明必须在程序界面上清楚明了地告知用户其个人数据正在被收集并将共享给第三方公司。

GuardianApp的研究表明,这些要求几乎从未得到证实。

Reveal表示,它要求用户“查看其隐私条款中说明位置数据的使用案例”,且用户可以随时选择退出。跟Reveal一样,Huq表示会对合作的应用程序进行定期检查,以确保应用开发团队向用户明确解释公司的服务。AreaMetrics主要从咖啡店和零售商店等公共区域收集蓝牙信标数据,声称对用户的个人数据“没兴趣”。

Sense360表示,收集的数据都是匿名的,且需要应用程序获得用户的明确授权,但Strafach称,他所见过的app中,很少包含寻求用户保证的文本。对于为什么某些应用程序中没有这类文本,该公司并没有作出具体回应。Wireless
Registry表示,公司还要求应用程序征得用户的同意,但不愿就其用于确保用户隐私的安全措施置评。inMarket回应称,公司遵循广告标准和指南。

Cuebiq声称使用“先进的加密方法”来存储和传输数据,但Strafach说,他没有发现任何数据被加密的证据。Cuebiq还表示其并不是一个“数据追踪器”,虽然市场上也会有某些应用开发团队希望通过用户数据获利,但据说大多数公司还只是借助数据更好地为用户提供服务。Factual还表示,它会使用位置数据进行广告和分析,但必须在应用内获得用户的授权。

Teemo、SafeGraph、Mobiquity和Fysical均未回复置评请求。

Strafach表示:“这些公司似乎都不打算对其所作所为负法律责任,相反,它们声称要执行某种自我监管。”

Strafach说到,就现在的情况来看,用户能做的并不多,不过可以在iPhone的隐私设置中限制广告跟踪,这样一来,定位跟踪器想要识别用户就没那么容易了。

苹果下个月开始将大力打击那些没有隐私条款的应用程序。但考虑到一开始很少有人会关注、阅读这些条款,不能指望应用程序在短时间内就会作出改变。

相关文章

No Comments, Be The First!
近期评论
    功能
    网站地图xml地图