廣場 端 x 華爾街日報

在發展中國家,廉價智能手機這樣收集用戶數據

安全研究人員發現,在隱私保護通常較弱的發展中國家,亞洲手機廠商生產的廉價智能手機會通過預裝應用在用戶不知情的情況下收集數據,總部位於台灣的移動廣告公司GMobi就開發了這樣一款應用。


在隱私保護通常較弱的發展中國家,對於購買廉價智能手機的大量消費者來說,時刻用手機上網的便利性可能附帶一個隱藏的代價:手機上的預裝應用在人們不知情的情況下收集數據。 攝:Greg Baker/AFP/Getty Images
在隱私保護通常較弱的發展中國家,對於購買廉價智能手機的大量消費者來說,時刻用手機上網的便利性可能附帶一個隱藏的代價:手機上的預裝應用在人們不知情的情況下收集數據。 攝:Greg Baker/AFP/Getty Images

本文原刊於《華爾街日報》,端傳媒獲授權轉載。目前,《華爾街日報》中文版全部內容僅向付費會員開放,我們推薦您購買/升級成為「端傳媒尊享會員」,以低於原價 70% 的價格,暢讀端傳媒和《華爾街日報》全部內容。

在隱私保護通常較弱的發展中國家,對於購買廉價智能手機的大量消費者來說,時刻用手機上網的便利性可能附帶一個隱藏的代價:手機上的預裝應用在人們不知情的情況下收集數據。

在中國生產、在緬甸和柬埔寨賣出的數以千計的Singtech P10手機就預裝了這樣一款應用,該應用會把手機用戶的位置和設備資訊發送給台灣一家名為通用移動科技(General Mobile Corp., 簡稱GMobi)的移動廣告公司。安全研究人員稱,該應用還出現於在巴西銷售的智能手機上,以及那些由中國和印度廠商生產的智能手機上。

總部位於台北的GMobi稱,該公司利用這類數據在智能手機上投放針對性廣告。該公司有時還與智能手機廠商共享數據,幫助後者更好地了解客戶。GMobi在上海設有一家子公司。

GMobi首席執行長Paul Wu表示,智能手機廠商可獲得一個額外好處:在手機上預裝GMobi的應用後,手機廠商可以向設備發送“固件”更新,GMobi不向手機廠商收取費用。對於正在新興市場推廣低價手機的智能手機廠商來說,這是一個重要考量因素。

GMobi的一名發言人稱,如果終端用戶希望享受免費互聯網服務,他們需要為更好地投放定向廣告做點犧牲。

在保護隱私與分享用戶數據之間如何取捨在西方引發了一場論戰。用戶數據推動了很多互聯網服務業務的發展。Facebook Inc.(FB)因未採取足夠措施保護用戶數據而受到猛烈抨擊。加州的新法律賦予該州居民禁止其個人數據被出售的權利,歐盟的通用數據保護條例(General Data Protection Regulation,簡稱GDPR)則提供了嚴格程度位居世界前列的數據隱私保護措施。

歐盟出台的《通用數據保護條例》(簡稱GDPR)於今年5月25日生效,旨在規範並約束企業對用戶個人數據的收集和使用。GDPR作為一項歐盟法規,為何對中國、美國等歐盟以外地區的企業和個人也有很大影響?你的哪些個人數據將受到保護?

不過,在新興經濟體中,幾乎沒有針對隱私的保護措施,很多渴望上網的人可能沒有意識到他們使用的設備正在將大量個人數據傳輸出去,而這經常是通過模糊的合作關係進行的。

緬甸曼德勒的一位銷售員Thi Thi Moe表示,在《華爾街日報》(The Wall Street Journal)告知她GMobi正從她的Singtech P10手機中收集數據之前,她對此毫不知情。Thi Thi Moe表示,她對近幾個月自己手機屏幕上經常出現移動遊戲廣告很是惱火。

現年28歲的Thi Thi Moe說:“我不希望我的手機上出現此類應用。我不熟悉這項技術,但它似乎不該竊取我的個人資訊。”她去年以77美元的價格購買了自己的手機。

GMobi是數家利用低成本智能手機和監管不力的缺口竊取大量用戶數據的公司之一。上海廣升資訊技術股份有限公司(Shanghai Adups Technology)和印度数字廣告公司MoMagic與智能手機製造商合作,提供類似的固件升級服務。

現在華盛頓特區擔任獨立顧問的Marc Groman表示,這些企業正從發展中經濟體和買不起更好設備的個人身上挖掘市場,並且明顯在對其進行追蹤。Groman在去年之前一直還在白宮管理及預算辦公室(OMB)擔任高級隱私顧問。

Groman基於GMobi對自身行為的描述和研究人員的發現指出,這些行為在歐盟和美國是不合法的。

總部位於倫敦的移動商務和安全公司Upstream Systems發現了GMobi應用程式的活動,並與《華爾街日報》獨家分享了這一資訊。Upstream表示,該公司購買了四台新設備,一旦激活,這些設備就開始通過固件更新應用程式向GMobi發送數據,其中包括15位國際移動設備識別碼(International Mobile Equipment Identification, 簡稱IMEI)以及分配給每部聯網硬件的名為MAC地址的獨特代碼。據Upstream稱,這些應用還會向位於新加坡的GMobi服務器發送一些位置數據。

Upstream還透露,該公司在近幾個月阻止了GMobi應用程式企圖為用戶注冊手游等付費服務的可疑活動。Upstream表示,如果該應用的企圖得逞,那麼八個國家的用戶將面臨總計超過700萬美元的賬單。GMobi的Wu表示,該公司不對源自於其應用程式的任何惡意活動負責。

許多熱門智能手機應用程式都會收集用戶數據,如聯繫人資訊,甚至地理位置,但用戶通常會在主動同意這些數據被收集的前提下安裝此類應用程式,也可以隨時卸載這些程式。然而,GMobi的軟體出廠時就預先安裝在新的智能手機上,只能通過複雜的專業技術步驟才能卸載。

GMobi向100多個智能手機生產商提供固件升級等服務,這些廠商生產的不同型號的手機約2,000款,在全球擁有逾1.5億用戶。

該公司以協議內容保密為由,未透露目前有哪些智能手機廠商正與其合作。華為技術有限公司(Huawei Technologies Co.)、小米(Xiaomi Corp.)和總部位於邁阿密的BLU Products等數十家設備生產商都出現在GMobi網站列出的公司名單中。

華為發言人稱,該公司從未與GMobi合作過。小米發言人稱,該公司未與GMobi合作,而且也沒有過合作經歷。BLU發言人稱,該公司幾年前與GMobi進行過“探索性磋商”,但未與後者合作。小米已進行了今年以來最大規模IPO之一,即將於7月9日在香港上市。

不過,以美國和拉美為目標市場的BLU曾於2016年被發現在美國市場銷售的智能手機上使用了GMobi競爭對手上海廣升的固件服務。安全公司Kryptowire當時報告稱,這些設備將用戶的詳細資訊發送至中國。BLU稱這是失誤之舉。

BLU的這位發言人表示,該公司不再與廣升合作。總部位於上海的廣升未回應有關其合作公司的問詢。

總部位於新加坡的Singtech公司產品總監Andy Ng表示,他的公司已在去年停止使用GMobi的服務,但他表示,該公司約100萬部安裝有該應用的設備可能仍在緬甸和柬埔寨的市場上銷售。

他表示,如果Singtech知道用戶數據被收集,他是不會跟GMobi合作的。他說:“這是惡意軟體。”

但深圳市圖高智能有限公司(Shenzhen Hotwav Science and Technology Co., Ltd.)表示,所有應用都是應智能手機生產商的要求安裝的。該公司總部位於中國,為Singtech生產設備。

GMobi的應用被幾家網上殺毒掃描服務公司稱為惡意軟體。惡意軟體是一個術語,指的是偷偷收集用戶數據的軟體,但往往也指僅令人討厭的軟體。GMobi首席執行長Wu表示,該應用並不構成惡意軟體。

GMobi稱,用戶在首次激活手機時被要求通過點擊一項終端用戶許可協議來表示對數據收集行為的認可。不過,Upstream發現,在有些情況下,數據未經用戶同意就被傳輸至了GMobi在新加坡的服務器上。Wu表示,多數情況下,通過該應用進行的手機軟體升級都需要用戶接受協議才能進行,但他也稱,如果設備無法運行,用戶不能點擊協議,該軟體也能夠正常工作。他表示,GMobi沒有違反數據收集法律。

印度数字廣告公司MoMagic提供一種與GMobi的服務類似的固件更新服務。MoMagic稱該公司的手機合作夥伴包括小米(Xiaomi)、Micromax、Intex、日本的松下電器產業公司(Panasonic Co., 6752.TO)和索尼公司(Sony co., J.SNY, 又名:新力公司)等。小米的一名發言人稱該公司現在已經不與MoMagic合作。Micromax則不予置評。

Intex一名發言人說,MoMagic向該公司提供了固件升級服務,但沒有為廣告目的收集用戶詳細資訊。索尼和松下沒有就與MoMagic合作的問題立即回應置評請求。

MoMagic首席執行長Arun Gupta沒有說明該公司向具體製造商提供了何種服務,但表示他的公司的業務主要集中在印度和孟加拉國。

他在提到私人數據收集監管規定時說:“我們都知道,目前印度和孟加拉的此類法律很薄弱。我們不管收集什麼,都是遵守當地法律的。”

端 x 華爾街日報
如果你喜歡,就分享給更多人吧