2 月 16 日,微博网友 @瘦出的肋骨已经消失的大侠阿木 发布了两段视频,表示京东金融 Android 版 App 会 在后台获取用户敏感图片 并上传,迅速成为了整个中文互联网热议的话题。

在视频中,后台运行的京东金融 App 会将我们的最新截图和照片复制到 /Android/data/com.jd.jrapp/cache/uil-images 目录下,引发了一片口诛笔伐。

爆料微博

对此,微博 @京东金融客服 回应称,该行为初衷是为了方便用户截图后快速反馈,已下线相关功能并邀请权威机构进行全面安全性检测,声明全文如下:

京东金融公告全文

显然,上面带有些许官腔的承诺,很难平息网民心中对隐私安全的忧虑。在相关功能下线后,我们也无从验证「缓存图片仅存在用户手机本地」、「并未发现任何一张未经授权的图片被收集」是否真实。

让权限管理更好用

京东金融的这次低级「失误」,也提醒了我们,智能手机对于隐私权限的管理实在过于粗放。以 Android 为例,要获取你的隐私照片和视频,只需读写存储这一几乎所有 App 都会请求的基础权限。在你换头像的时候,底裤就已经被扒光了。

vivo NEX、OPPO Find X 等升降式摄像头手机上市后,还有网友发现,在使用 QQ 浏览器 等 App 的过程中,前置摄像头会自动弹出,被戏称为流氓应用鉴别器。

在我写这篇文章的时候,京东金融决定给我的联系人拜个晚年

即使是以安全著称的 iOS,开发者们也有许多方法绕过审查机制。例如,在 App 进入后台的 15 分钟内,都可以静默访问相册等敏感信息。此外,在 App 内拍照时,你也无法确认它是否顺便调用了前置摄像头。

在微博用户 @游戏打折情报 提供的下方截图中,就记录了微信、QQ 及盒马在后台运行时的一些不文明行为。

图源:微博 @游戏打折情报

要想规避这一风险,最简单的方式就是在 iOS 的设置找到相应 App,并关闭其「后台应用刷新」权限。这样,当你返回桌面或其它应用时,当前进程就会被暂时冻结,如果在此期间拍摄了敏感照片,记得提前删除或保存至其它位置。

在更加开放的 Android 上,许多 App 干脆采取了不给权限不让用的策略,简要概括,就是「用户你好,我是你爹」。为了规避新系统对权限的更严格控制,有些国产 App 甚至故意降低 targetSdkVersion,让你拒绝权限时心惊胆战。

如果你正在使用 MIUI 等深度定制的 ROM,可以选择调用权限时「始终询问」,但原生 Android 却尚未提供该功能。

MIUI 可以设置调用权限时询问

不过,原生党们也不用着急,App Ops 就是为你们准备的利器。既然阻止不了流氓登门拜访,我们不妨带他到一间空房间。App Ops 可以为选中的应用生成「假权限」,让它误以为已经获得权限,但只能返回空数据,绕过系统限制。

酷安上的 App Ops 截图

此外,使用小程序、PWA、快应用等代替原生 App 也是个不错的选择。这些应用在保留大部分核心功能的同时,请求的权限更少,也没有后台驻留等烦恼,适合不想折腾党。

理清第三方应用授权

第三方应用授权是一个时常被忽略的领域,当你选择用 QQ、微信或微博等登录某个应用时,点击确认后,它就会获准收集你的部分个人资料。因此,对于那些只使用一次的 App,我们要慎之又慎。

在这里,我也整理了部分常用服务的授权管理方式,供大家参考:

  • QQ:桌面端点击此链接访问 QQ 互联,登录账号即可
  • 微信:设置 → 隐私 → 授权管理
  • 微博:登录网页版,依次进入个人主页 → 管理中心 → 我的应用/我的游戏
  • 支付宝:设置 → 通用 → 功能管理 → 授权管理

QQ 授权管理

微信授权管理

更要注意的,是那些打着第三方客户端旗号的 App。它们往往会请求访问全部个人资料、读写数据等隐私权限。前几天,某国产 Markdown 编辑器就被曝出 静默关注 GitHub 账号并 star 项目 的问题,在圈内引发了不少关注。

印象笔记应用程序授权

大隐隐于社交网络

在社交网络完全「隐身」,实际上是一个伪命题,不过,我们可以尽可能地减少泄露个人信息。最简单的方式之一,就是设置动态的分享范围。在大部分社交 App 中,你都可以在账户隐私中找到浏览权限的相关设置,不妨屏蔽些点头之交吧。

微信朋友圈/QQ 空间/百度贴吧

此外,我们还要避免在网络上发布自己的个人信息,包括但不限于真实姓名、手机号、邮箱、QQ 号、照片等。毕竟人肉搜索最基础的手段之一,就是查询你在贴吧「求种」时留下的 QQ 邮箱了。

如果你不想泄露自己的地理位置,发微博或朋友圈时,事先清除照片的 Exif 信息是个好习惯。在 iOS 上,你可以使用由 @RJ 制作的 快捷指令,在 Android上,Metadata Remover 是个不错的选择。

清除 Exif 前后对比

做一个「双面人」

因为工作需要,我们可能会添加一些并不熟识的好友。为了避免隐私泄露,将工作账号和生活账号区分是个不错的方法。目前,微信、QQ、微博等主流社交 App 都提供了多账号切换选项。如果你使用的是国产 ROM,其很可能已经自带了应用双开功能,切换更加便捷。

MIUI 的应用双开功能

如果你是原生 Android 用户,可以试试由 绿色守护 作者开发的 Island,它提供了应用双开、隔离、冻结等诸多亮点功能。另一款开源应用 Shelter 也是个不错的选择。

酷安上的 Island 截图

给隐私信息加把锁

总有一些照片,我们不想被其他人看到。而 照片保险箱 这款 Android 应用就可以将各种照片、视频、文件等隐藏起来,并将自己从启动器消失或伪装成人畜无害的计算器,只有输入正确密码才能解锁。

照片保险箱

如果你是 iOS 用户,在 App Store 中搜索私密相册也能找到不少相关应用,不妨尝试一下。

为了防止修手机或电脑时被人看光光,启用全盘加密是个好办法。在 macOS 中,你可以在「系统偏好设置 → 安全性与隐私 → 文件保险箱」中加密本地磁盘,在 Windows 10 中,也有 BitLocker 这一选项。

macOS 的文件保险箱

许多国产手机 ROM 还提供了应用锁功能,开启后,只有输入密码才能打开指定应用,更加安全。如果你是原生 Android 用户,则可以试试小红伞推出的 Avira AppLock+

MIUI 的应用锁功能

你的密码真的安全吗?

少数派曾经介绍过不少密码管理工具,如 1 PasswordLastPassRememBear 等,只要善用它们,你的账号就很难被暴力破解。与其相比,服务商反而更容易下手一些。上个月,就有 报道 称 7.73 亿电子邮件地址及 2122 万独立密码被泄露,堪称史上规模最大的公共数据泄露事件。

如果你怀疑自己的账号不太安全,可以访问 Mozilla 出品的 Firefox Monitor 网站,查询电子邮件地址是否出现在以往的外泄事件中,并决定是否要更改自己的密码。

我可以暂时松一口气了

为了进一步增强你的账号安全性,两步验证是必不可少的。启用后,当你在新设备上登录时,必须首先输入由身份验证器生成的 6 位动态码。即使你的密码泄露,没有第二把钥匙的话,也无法敲开账号的大门。

目前,Google 等国外服务基本都提供了两步验证功能,一般可以在账号设置的隐私或安全性设置中找到。我目前使用 LastPass Authenticator 作为两步验证器,其支持在多设备间同步,较为方便。

Google 的两步验证

国内则一般采用手机号码作为额外安全措施,两者各有利弊,这里就不展开了。

用胶布贴上摄像头

少数派曾经发表过一篇广受争议的文章,题为《为什么我用胶布贴住了所有电子产品的摄像头和麦克风》。这一行为似乎有点极端。不过,Facebook 创始人马克·扎克伯格也是这样做的。

2016 年,扎克伯格为庆祝 Instagram 的月活用户数突破 5 亿大关,发布了一张他在办公室的照片。但网友们却发现其笔记本摄像头和麦克风都用胶带遮住,也引发了不少人的思考。

注意左边的 MacBook

所以,你会去买一卷胶带吗?

扩展阅读:



Android iOS 生活方式

虽然说了也没用,但本文采用 CC BY-NC-SA 4.0 协议,转载烦请注明出处~