973首席科学家、复旦大学教授杨珉：隐私消亡的移动互联时代

数据隐私专题

973首席科学家、复旦大学教授杨珉：隐私消亡的移动互联时代

在移动互联网时代，由于手机的出现，人们的生活变得非常有趣和便利。人们常常会认为，自己是手机的主宰,可实际上，手机却成为了我们的主宰，大家尤其容易忽视的是，手机上有很多与个人信息安全密切相关的敏感数据，我们通常将其归纳为隐私。所谓隐私，其实还缺乏严格界定，法律界人士也正为此争论不休，但大致来讲，隐私数据包括“我是谁？我在哪里？我做了什么？”这三个大的范畴。

为什么隐私保护在移动互联时代变得更为重要？这是因为智能手机带有大量的传感器，它可以通过无处不在的移动链路接入互联网，这就使得原来的实体空间通过这两个关键的要素，形成了更多的投射，进而形成了与实体空间较为一致的平行空间，这就是人们常常谈到的网络空间。

在这样的背景下，针对移动终端的攻击就变得非常严重，主要是通过恶意软件进行攻击，攻击者的目的从“好玩”演化为“逐利”。智能终端安全问题严重，成为社会热点问题。人类从上世纪80年代进入了PC时代，当时大约有数千款恶意软件；从90年代到2010年之间，进入了互联网时代，这时大约有数万款恶意软件；2010年以后，进入移动互联网时代，短短几年间，恶意软件数量达到数百万，这种增速远远大于过去多年的发展，造成很大损失。相关数据表明，2013年，美国直接经济损失 100 亿美元，中国直接经济损失超过 1000 亿元,地下产业链如图1所示。

图1　地下产业链

图2　数据泄露情况

2015年Science出了一份专刊，大约有13篇论文，涵盖法律、医学、金融、计算机等各个领域的专家和学者，他们从不同角度探讨隐私保护的问题。然而，专刊最后得出了一个结论，那就是在移动互联网时代，隐私是消亡的。这个悲观的结论其实也意味着，我们还有很多工作要做：隐私是不是真的消亡了？有什么手段去保护或者对抗？在我看来，这是一个充满着创新空间的领域。

众所周知，隐私泄露有几大主要原因：应用程序的不安全实现、系统漏洞以及数以百万计的恶意软件等。从平台角度看过来，目前隐私保护有两大类工作：一是程序分析检测方法，二是在操作系统层面上的访问控制机制。

以谷歌公司的安卓系统和苹果公司的iOS系统为代表的移动操作系统正逐渐取代桌面操作系统，成为公众接入互联网的主要入口平台。客观而言，可以说它们是汲取了这么多年安全设计的经验教训，是考虑得非常周到的两个操作系统平台，但从实践上来看，它们依然存在着严重的安全问题。

图2是我们团队曾对国内七个应用商城中的330款热门下载软件进行分析的数据泄露情况，这些软件都不是恶意软件，而是涉及用户面最广的330款的正常软件。其中60%有不同程度的隐私泄露行为，这种隐私泄露是在用户毫无觉察的情况下发生的，并且这还只是在针对7个隐私数据项，抽样范围非常窄的前提下的数据。

图2里面讲的隐私数据项在操作系统中对应着预定义的访问接口，由相应的权限机制进行访问控制。但大家更没注意到的是，在这些由系统权限保护的敏感数据之外，还有大量其他类型的高度敏感数据，在Usenix Security 2015上，我们发表一篇文章“UIPicker: User-Input Privacy Identification in Mobile Applications”，这项工作把隐私数据的范畴从与权限相关扩展到与权限没有直接关系、而是由用户自己在App中输入的敏感数据的范畴上。

我们注意到从2015年开始，有不少恶意软件，尤其是钓鱼软件针对这类敏感数据进行窃取。我们认为单纯检测系统定义的API是不足以覆盖所有的隐私泄露源的，其问题主要来源于由应用程序管控的用户输入的隐私数据，其中包括但不限于用户的个人资料信息如账户密码，用户输入的地理位置信息，以及银行卡等支付类信息。为此，我们希望能够寻找一种自动化的，在海量软件背景下能够识别此类敏感数据的办法。

在移动互联网飞速发展的背景下，为增强对用户隐私信息的保护能力，还可以从两个角度开展研究工作：一是需要进一步加强对用户隐私泄露的分析检测方法的研究；二是可以从操作系统的新型安全机制角度开展。当然，技术不是唯一选项，更为重要的是能否引起政府监管部门的重视，在大数据语境下，从国家安全和个人信息安全角度，完善立法和监管，已经刻不容缓。

（本文根据973首席科学家、复旦大学教授杨珉在2016年4月“网络安全研究国际学术论坛”上的部分演讲内容整理）