數(shù)據(jù)隱私專題

973首席科學(xué)家、復(fù)旦大學(xué)教授楊珉：隱私消亡的移動(dòng)互聯(lián)時(shí)代

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，由于手機(jī)的出現(xiàn)，人們的生活變得非常有趣和便利。人們常常會(huì)認(rèn)為，自己是手機(jī)的主宰,可實(shí)際上，手機(jī)卻成為了我們的主宰，大家尤其容易忽視的是，手機(jī)上有很多與個(gè)人信息安全密切相關(guān)的敏感數(shù)據(jù)，我們通常將其歸納為隱私。所謂隱私，其實(shí)還缺乏嚴(yán)格界定，法律界人士也正為此爭(zhēng)論不休，但大致來講，隱私數(shù)據(jù)包括“我是誰？我在哪里？我做了什么？”這三個(gè)大的范疇。

為什么隱私保護(hù)在移動(dòng)互聯(lián)時(shí)代變得更為重要？這是因?yàn)橹悄苁謾C(jī)帶有大量的傳感器，它可以通過無處不在的移動(dòng)鏈路接入互聯(lián)網(wǎng)，這就使得原來的實(shí)體空間通過這兩個(gè)關(guān)鍵的要素，形成了更多的投射，進(jìn)而形成了與實(shí)體空間較為一致的平行空間，這就是人們常常談到的網(wǎng)絡(luò)空間。

在這樣的背景下，針對(duì)移動(dòng)終端的攻擊就變得非常嚴(yán)重，主要是通過惡意軟件進(jìn)行攻擊，攻擊者的目的從“好玩”演化為“逐利”。智能終端安全問題嚴(yán)重，成為社會(huì)熱點(diǎn)問題。人類從上世紀(jì)80年代進(jìn)入了PC時(shí)代，當(dāng)時(shí)大約有數(shù)千款惡意軟件；從90年代到2010年之間，進(jìn)入了互聯(lián)網(wǎng)時(shí)代，這時(shí)大約有數(shù)萬款惡意軟件；2010年以后，進(jìn)入移動(dòng)互聯(lián)網(wǎng)時(shí)代，短短幾年間，惡意軟件數(shù)量達(dá)到數(shù)百萬，這種增速遠(yuǎn)遠(yuǎn)大于過去多年的發(fā)展，造成很大損失。相關(guān)數(shù)據(jù)表明，2013年，美國(guó)直接經(jīng)濟(jì)損失 100 億美元，中國(guó)直接經(jīng)濟(jì)損失超過 1000 億元,地下產(chǎn)業(yè)鏈如圖1所示。

圖1　地下產(chǎn)業(yè)鏈

圖2　數(shù)據(jù)泄露情況

2015年Science出了一份?？蠹s有13篇論文，涵蓋法律、醫(yī)學(xué)、金融、計(jì)算機(jī)等各個(gè)領(lǐng)域的專家和學(xué)者，他們從不同角度探討隱私保護(hù)的問題。然而，專刊最后得出了一個(gè)結(jié)論，那就是在移動(dòng)互聯(lián)網(wǎng)時(shí)代，隱私是消亡的。這個(gè)悲觀的結(jié)論其實(shí)也意味著，我們還有很多工作要做：隱私是不是真的消亡了？有什么手段去保護(hù)或者對(duì)抗？在我看來，這是一個(gè)充滿著創(chuàng)新空間的領(lǐng)域。

眾所周知，隱私泄露有幾大主要原因：應(yīng)用程序的不安全實(shí)現(xiàn)、系統(tǒng)漏洞以及數(shù)以百萬計(jì)的惡意軟件等。從平臺(tái)角度看過來，目前隱私保護(hù)有兩大類工作：一是程序分析檢測(cè)方法，二是在操作系統(tǒng)層面上的訪問控制機(jī)制。

以谷歌公司的安卓系統(tǒng)和蘋果公司的iOS系統(tǒng)為代表的移動(dòng)操作系統(tǒng)正逐漸取代桌面操作系統(tǒng)，成為公眾接入互聯(lián)網(wǎng)的主要入口平臺(tái)?？陀^而言，可以說它們是汲取了這么多年安全設(shè)計(jì)的經(jīng)驗(yàn)教訓(xùn)，是考慮得非常周到的兩個(gè)操作系統(tǒng)平臺(tái)，但從實(shí)踐上來看，它們依然存在著嚴(yán)重的安全問題。

圖2是我們團(tuán)隊(duì)曾對(duì)國(guó)內(nèi)七個(gè)應(yīng)用商城中的330款熱門下載軟件進(jìn)行分析的數(shù)據(jù)泄露情況，這些軟件都不是惡意軟件，而是涉及用戶面最廣的330款的正常軟件。其中60%有不同程度的隱私泄露行為，這種隱私泄露是在用戶毫無覺察的情況下發(fā)生的，并且這還只是在針對(duì)7個(gè)隱私數(shù)據(jù)項(xiàng)，抽樣范圍非常窄的前提下的數(shù)據(jù)。

圖2里面講的隱私數(shù)據(jù)項(xiàng)在操作系統(tǒng)中對(duì)應(yīng)著預(yù)定義的訪問接口，由相應(yīng)的權(quán)限機(jī)制進(jìn)行訪問控制。但大家更沒注意到的是，在這些由系統(tǒng)權(quán)限保護(hù)的敏感數(shù)據(jù)之外，還有大量其他類型的高度敏感數(shù)據(jù)，在Usenix Security 2015上，我們發(fā)表一篇文章“UIPicker: User-Input Privacy Identification in Mobile Applications”，這項(xiàng)工作把隱私數(shù)據(jù)的范疇從與權(quán)限相關(guān)擴(kuò)展到與權(quán)限沒有直接關(guān)系、而是由用戶自己在App中輸入的敏感數(shù)據(jù)的范疇上。

我們注意到從2015年開始，有不少惡意軟件，尤其是釣魚軟件針對(duì)這類敏感數(shù)據(jù)進(jìn)行竊取。我們認(rèn)為單純檢測(cè)系統(tǒng)定義的API是不足以覆蓋所有的隱私泄露源的，其問題主要來源于由應(yīng)用程序管控的用戶輸入的隱私數(shù)據(jù)，其中包括但不限于用戶的個(gè)人資料信息如賬戶密碼，用戶輸入的地理位置信息，以及銀行卡等支付類信息。為此，我們希望能夠?qū)ふ乙环N自動(dòng)化的，在海量軟件背景下能夠識(shí)別此類敏感數(shù)據(jù)的辦法。

在移動(dòng)互聯(lián)網(wǎng)飛速發(fā)展的背景下，為增強(qiáng)對(duì)用戶隱私信息的保護(hù)能力，還可以從兩個(gè)角度開展研究工作：一是需要進(jìn)一步加強(qiáng)對(duì)用戶隱私泄露的分析檢測(cè)方法的研究；二是可以從操作系統(tǒng)的新型安全機(jī)制角度開展。當(dāng)然，技術(shù)不是唯一選項(xiàng)，更為重要的是能否引起政府監(jiān)管部門的重視，在大數(shù)據(jù)語境下，從國(guó)家安全和個(gè)人信息安全角度，完善立法和監(jiān)管，已經(jīng)刻不容緩。

（本文根據(jù)973首席科學(xué)家、復(fù)旦大學(xué)教授楊珉在2016年4月“網(wǎng)絡(luò)安全研究國(guó)際學(xué)術(shù)論壇”上的部分演講內(nèi)容整理）