撰稿 | 賈賈
上回老賈測評了帶來工作又帶來無窮傷心的招聘App→(跳槽旺季,招聘APP又出么蛾子...)本以為不讓刪簡歷已經是非常無恥的一種行為了,沒有想到它們還能更沒有下限,實在是讓老賈三觀盡毀...
事情還要從上回測評發出後講起。
文章一出,寨迷們紛紛響應,都開始大倒被招聘App坑過的苦水。其中有一位讀者告訴老賈,之前他在使用招聘App時不僅遇到了跟我一樣的情況,還在空閒時無意發現它們有在後臺偷跑流量。
偷跑流量是什麼概念?
是用戶未曾操作該App,同時開著網絡的情況下,App的後臺服務自己連接到網絡,進行相關數據的更新上傳下載的行為。這些操作會耗費流量,如果App沒有提醒,恭喜你,那就是在偷跑了。
老賈深以為然,畢竟上一回的事情在先,現在看到什麼都要保持懷疑態度。事不宜遲,老賈立刻開始了新一輪的測評。
測評對象仍然是五款招聘App:智聯招聘、BOSS直聘、拉鉤招聘、前程無憂51job以及獵聘。
一個“笨”辦法
偷跑流量這個事,一直是很多人都擔心的問題,但是真要證明其實很困難,這次老賈用了一個最笨的辦法,找了臺閒置的手機,清理乾淨後,將五款App設置了相同的授權,僅開了存儲和GPS定位的授權,然後閒置在後臺,在無人為干擾的情況下連著4G網絡放了7天。
注:存儲權限是提供App將數據存儲在本地的權利,打開它是因為關閉該權限,App就會提示無法正常運行。而開GPS定位權限是因為用戶的GPS信息屬於高敏感信息,老賈認為一款招聘App不同於地圖類App,似乎沒有全天候調用這個權限的必要,所以特地檢測一下,這一權限在用戶不用的時候會不會被偷跑數據。
結果嚇一跳
7天后,當老賈打開手機自帶的流量統計工具時,可以說是大吃一驚!
為啥同樣功能同樣授權的App,跑的流量會差別那麼大呢?
智聯招聘你到底這7天裡跑了些啥?能跑掉23MB的數據?為啥你比獵聘能多跑出20MB的數據?
要知道1MB=1024KB=1048576B,而一條GPS定位數據的大小大概不到100B,假如那23MB都是GPS數據的話,就相當於傳輸了24萬多條的位置數據,平均每天就是近25000條,這也太恐怖了吧!
難道是O2O精準挖人?
老賈的這臺測試手機還自帶有個顯示24小時內App流量波動的功能,幾天的數據觀察下來,老賈還發現個奇怪的現象,這幾款App跑的流量不是全天勻速的,而是間歇性的,主要是每天早上5-7點,午後13-15點以及半夜22-0點,這是啥情況?你們為什麼要在這個時間點跑流量?
考慮到這次只開了GPS權限,老賈猜測,難道這是在採集用戶的家庭位置和辦公室位置?你們不是已經有了我們的詳細簡歷了麼!上次測試發現不讓人刪,現在又定時收集實時位置,是幾個意思?難道在監控用戶的生活半徑嗎?怎麼,是準備派獵頭到咱單位來精準挖人嗎?OMG!
“神”一般的反饋
當然,以上都屬於老賈的猜測。本著嚴謹對事的態度,為了尋找真實的答案,老賈致電了每一家App廠商,希望他們能告訴我們到底跑的是哪些數據。
獵聘反饋說最有可能造成這種情況的是運營商的流量延遲。(流量延遲是啥?這是甩鍋運營商麼?不過獵聘跑的流量是不算多,還相對比較良心。)
拉勾反饋說是App推送消息會喚醒App,從而產生一定流量。(老賈只給App開了2個權限呀,怎麼你們App還能推消息?這個推消息不用獲得用戶授權?咋不直接推個木馬來呢?)
其餘幾家或是大打太極或是不理不睬,老賈沒有得到任何有用回覆。
老賈今天的檢測,目的並不是為了抹黑App。客觀來說,有很多複雜的情況會導致手機流量的跑掉,可能有些是不可名狀的,但是大部分應當是有據可循的。老賈希望從用戶的角度出發,幫助大家弄清一些我們擔憂的問題,同時也希望App廠商自己能給出一個對此情況的合理解釋,畢竟假如廠商都不清楚或不告知情況的話,用戶就更難弄清了。
專家觀點
老賈就以上問題也採訪了專業人士,這次老賈請到的專家是甜橙金融的安全總監王佳偉。
Q:對於自家App偷跑流量的事,招聘平臺方集中有兩種解釋:一是認為這是由運營商流量延遲導致的,二是認為這與微簡歷的刷新或簡歷被瀏覽有關。您認為這兩種解釋合理嗎?
A:個人認為這是其中一部分原因。我們都知道在手機後臺運行App會自動加載同步一些數據,這些數據可能是App更新的服務數據,當然也可能是App採集用戶信息行為的數據。這種情況要取決於App安裝時有沒有向用戶過度索取權限,運行時有沒有違規的數據採集行為。
Q:對於通過GPS偷跑的流量集中在,早晨、中午和午夜,您認為最有可能的原因是?
A:有的平臺方為了不影響業務連續性會選擇一些特定時段進行服務數據或者程序的更新。但也有不法之徒是為了避開用戶選擇夜深人靜的時候,利用App去窺探用戶的手機做一些不可告人的事情,這需要我們通過技術手段去發現App在我們的手機裡究竟做了什麼,傳了什麼。
同時有神秘大神向老賈建議,可以利用抓包與逆向分析的方式來尋查數據去向,老賈不是不知道這個手段,只是怕被App廠商告上法庭,說咱攻擊他們,那就百口莫辯了。因此,所有測試都是基於一個普通用戶可以正常獲取的工具和能力進行的。只是這一役下來,老賈有著深深的無力感,因為一個普通用戶在這些廠商面前真是弱勢到了極點......
小結
現在的移動互聯網用戶長期處在信任焦慮的狀態,我們不得不被App所綁架,在毫無概念的情況下,反反覆覆支付自己的隱私,無奈或無意識地等待著不知何時的反噬。雖然在政府監管下,一些法律法規應運而生,旨在監督企業保護用戶個人隱私權利,但仍有眾多App利用算法的黑箱完美迴避。
寫完這篇文章,老賈心裡仍是沉甸甸的。用戶出於信任和自身需要,簽署了那一紙註冊協議,將很多個人信息讓渡出去,好讓App為我們“提供更好的服務”。相對的,App方面是否也應當坦誠一點?只有明白說清每一比特流量的去處,才真正符合了法律協議中的對等精神。畢竟透明算法,才是治癒用戶隱私焦慮的王道。
閱讀更多 安在信息安全新媒體 的文章
