本文节选自: https://www.antiy.cn/doc/market/201204.pdf
安天实验室 肖新光 互联网用户泛隐私安全 热点问题回顾与浅析 2012年发表
免费模式与传统安全价值的冲突
过去我们探讨隐私时,往往用微技术化观点或泛道德观点来考虑这个问题,缺少对这种隐私威胁 风起云涌的原因上的价值链的探讨。一种状态的迅速发展或者恶化,必然有其经济链条支持。过去, 安全研究者更关注以恶意代码为主要工具来进行活 动的地下经济产业链。但从前面的案例来看,聚合和挖掘用户隐私同样是合法产业的动力之源,因此我们需要思考其内在规律和崛起的原因。 作为互联网行业“必读本”的《免费——商业 的未来》一书介绍了这种新兴“免费”商业模式是 一种建立在电脑字节基础上的经济学。这种趋势正 在催生一个庞大的新经济。这本书列举了较多的商 业现象,但对价值链的规则挖掘并不深入。书里只 是介绍了一种“引导性促成销售模式”,如广告商 获得被免费内容吸引的消费者的姓名和电子邮件地 址或与这些消费者相关的信息等等,但并没有提到 安全工作者对这种模式产生安全隐忧,更不用说如 何打消这种隐忧了。 我们可以看一下这种免费模式的演进构成。一 般来看,不管是免费的应用还是免费的客户端,若 被用户采纳并非是由于价格因素,而是来自用户体 验。例如Gmail(谷歌提供的电子邮件服务),大家 的体验实际上比用任何其他收费的邮件服务感受都 好。互联网的开发方法就是以用户的体验为引导快 速开发改进的模式,而这种用户体验中的改进亦可 产生一些革命性的工程方法。例如,原来输入法的人工智能问题很难解决,但搜狐输入法基于互联模 式和用户输入频度统计,就形成了高质量的输入建 议。因此用户体验的聚合与联合改进,推动了产品 形成巨大的用户群。在用户群的基础上,挖掘它的 产品价值,产品价值形成之后,免费将去何方呢? 它最终要把自身做成一个开放的平台,当平台的效 应形成时,仿佛就是免费模式最为开放的时候。但 当你完全接受这个架构之后,你会发现,它基本上 成为了你在这个领域上的唯一入口。因此我们回顾 一下,当免费模式到来的时候,我们下意识地从情 感上以为它与开源是同类,代表一种驱动自由竞争 和繁荣的倾向。但后来可以发现,在几乎有主流免 费的领域,其产品的竞争性比原有以收费为主导的 情况少了很多,最终会推动垄断和寡头的形成。 我们需要探讨一下免费价值在这个过程中是否 侵害和干扰了用户权益。互联网用户的基本权益可 以概括为以下三点:(1)身份的自我保护;(2) 操作的自主选择;(3)信息的自由获取。 从各国官方的角度看,这些用户的基本权益是 在某些公共权益的约束之内的。例如,这些权益的 实行要基于相应的道德、契约和法律,特别是知识产权等要以社会基本准则为基础,也要以尊重政府 的合法监听和管理权为边界。
传统的安全产品模式和价值观,甚至包括一 些传统应用软件的价值观,是对这种基本权益的体 现。比如,个人防火墙就是一种典型的具有身份自 主保护的产品,其功能“block all package coming in”,降低了诸如操作系统指纹等节点信息被探测 到的可能;传统的反病毒软件能拦截一些恶意代码 的非授权的操作,并在发生一些有害数据的传递比 如恶意代码的复制时,和用户产生询问交互,或者 按照用户的定义去处理,实际上是保障了用户的自 主选择权。 传统的浏览器默认首页是空白的(当然,发布者 也可以定制)。但是,大多数手机上的商业浏览器给 用户订制好了内容,用户就会下意识地去阅读这些内 容。传统的网络信息获取是用户基于大的门户站点, 或者自己去用搜索引擎选择自己去看什么,这就是信 息的自由获取,而且是平衡的获取。而现在的信息, 不仅是定制好的,而且是用弹窗推送给用户。对传统 的用户体验模式的颠覆,导致了用户逐渐对自我权益 的放弃。所以,站在安全的角度,我们对免费的思索 是它的价值链基础是聚合海量的弱隐私信息。但它们 的价值交换方式是用户放弃部分权益换取免费。在这 种换取过程中用户得到了更舒适的体验,互联网厂商 和用户之间是各得其所的。这个价值链达成了对用户 的信息和行为的控制。 互联网以广告投放、流量重定向和信息封装为 主导的免费模式,一定程度上依赖于获取用户的个 人信息来实现广告的精确投放;通过让用户感受更 加方便的方法来削减用户的选择范围;通过信息推 送的方式,影响用户对信息的平衡获取。但是免费 模式确实和用户的基本权益存在着某些冲突。我认 为免费模式的三个行为支撑点分别是采集、投放和 接管。采集是对用户身份、用户习惯、用户存在的 位置和相关的社会关系的采集;投放就是向用户投 放聚类和再加工的信息,投放自己推荐的软件以及 评级和建议,包括投放软硬件方面的广告等;接管 是代替用户的所有操作,从而形成一个替用户管理 的局面。采集行为伤害的是自我保护的权利;投放 行为伤害的是自由获取的权利;接管行为伤害的是自主选择的权利。所以,这种免费模式造就的隐私 隐患,依赖于隐私聚合并具备滥用隐私的可能性。 这里,我要对在大规模互联网场景下进行生物 识别提出疑议。很多大的厂商如Facebook都提到人 脸识别。人脸识别能提升安全性吗?当然不能。比 如拖库事件,过去是丢失了用户名和可以废止的密 码,现在连不可改变的脸部签名信息都丢了。但为 什么这些厂商要这么积极地推进人脸识别呢?实际 上就是为了实现更为精确和更有消费价值信息的获 取。例如,对圆脸用户,可以推送减肥广告;对有 雀斑的用户,可以推送祛斑广告。我们并非敌视这个商业模式,而是反对那种假以安全语汇,通过制 造用户恐慌,来推广并掩盖商业图谋的行为。
不乐观的未来
当用户对免费模式的依赖已经达到一定程度 时,我们看到一幅名为“免费(Free)”的巨大、 诱人的画卷在缓缓展开,在展开的最后,会不会是 一把匕首呢? 套用国外一些学者比较常用的判断逻辑: “Threat can be seen as a combination of capability and intention(威胁是能力和意图的结合)”,即在界定 是否存在某些威胁时,需要对对象的capability和intention进行考核。当前互联网寡头们的相关能力是毋 庸置疑的。那么意图就变成更重要的判断对象了。 我们可以理解为,分析寡头们是否有主动对抗 用户信息自我保护意愿的行为,是判断啊它是否有 采集扩大化或者滥用意图的一个重要风向标。 我们先来看谷歌的动向,谷歌通过一系列自身 的研发和创新,包括一系列的兼并和整合后,形成 了一个庞大的应用体系。谷歌原来的各种应用,只 能分析自身所采集的数据,而不能交叉使用,而在 其调整隐私信息后,就可以交叉使用了。隐私保护 维权人士抨击了谷歌的最新举措。华盛顿独立隐私 保护和安全研究员索霍安(Christopher Soghoian) 说[19]:“现在用户只要上网就处在谷歌的监视之 中。没有哪一个独立的实体应该被委以如此多的敏感数据。” 苹果的产品定期回传用户的GPS坐标、wi-fi接 入点、基站信息等[20],每12小时向苹果的服务器发 送一次,这些产品包括 iPhone、iPad、iPod Touch、 Snow Leopard系统以及Safari浏览器(甚至包括windows版的Safari )。当被发现之后,它采用的做法 不是道歉,不是解释说明,而是强制性地修改用户 条款,要求用户必须接受[21]。 当用户对品牌的认知一旦形成,那么巨大的用户 群体惯性将使寡头在一段时间内可以为所欲为。而这 种群体惯性成为事实之后,就可以藐视传统的法制和 安全惯例。这种惯性将成为一种阻挡的力量。 最能说明问题的是近期微软和谷歌关于隐私 浏览问题的冲突,微软指责谷歌用相关JS脚本绕过 IE隐私浏览模式,来获取用户信息[7],而谷歌回应 IE隐私保护功能不符实际 [8]。首先,隐私浏览的模 式,是有行业标准的;其次,隐私浏览模式并不是 浏览器的默认模式,而是用户强制启动模式。也就 是说,这是一个非常明显的用户主观意愿。因此这 种获取是一种明显与用户的意愿对抗的行为。 但是我们能用传统的道德观点或者行业标准去 要求谷歌吗?不能。因为它提供了免费的应用,并 把这点写入使用免费应用的用户义务,使其具有了 无可争议的话语权。所以,在加入移动背景场景的 情况下,隐私威胁从源头、目的和方式上呈现分散化的趋势。更大的威胁是从主观的直接威胁过渡到 各种间接风险。在免费的模式下,隐私价值已经能 够支撑巨大的产业链条,用户的权益被逐渐侵蚀。 值得反思的是,我们一直在探讨恶意代码、漏 洞挖掘、各种攻击防御技术以及各种加密算法的合 理应用等等。但实际上,我们始终在关注这种具体 的威胁,猜测一些并不具备实证性的故意行为,但 对产业模式变革带来的安全风险缺少足够的警惕。 这不是一篇反智能终端的战术,我始终认为作 为一个信息安全工作者,需要做的是保障用户利益 ,但不是限制用户的价值;这不是反互联网模式的 宣言,我认为需要警醒的不是互联网模式本身,而 是互联网模式无节制地膨胀反噬用户的利益。