各个应用都想要你的联系人列表 苹果开始说不
6月13日消息,据彭博社报道,苹果公司上周修改了其应用店(App Store)的规则,限制开发者使用iPhone用户朋友和其他联系人信息的方式,悄悄堵住了一个漏洞。这个漏洞允许应用程序开发人员在没有获得用户同意的情况下,存储和共享数据。
此举对一种已经存在多年的做法造成重创。此前,开发人员要求用户开放他们的电话联系人,然后将其用于营销,有时还会分享或出售这些信息,而这些行为没有得到那些数字地址簿上其他用户的许可。在苹果iOS和谷歌Android这两个世界最大操作系统上,这种策略有时被用来刺激增长和赚钱。
社交网络巨头Facebook的一名外部开发人员向政治咨询机构剑桥分析公司(Cambridge Analytica)提供了数千万用户的信息,并分享了他们朋友的数据,这让该公司陷入了巨大的麻烦之中。苹果谴责Facebook的失误和其他不当行为,同时宣布了新的隐私更新,以提升其保护用户数据的声誉。不过,苹果最近对其应用店规则的改变并没有引起太多关注。
6月4日召开年度开发者大会期间,苹果公司发表了许多新的声明,包括限制追踪网络浏览的新控制功能。但这家手机制造商并未公开提及更新后的《应用店审查指南》(App Store Review Guidelines),该指南现在禁止开发者利用从iPhone用户那里收集的地址簿信息建立数据库,与第三方共享和销售该数据库也被禁止。此外,任何应用不能获取用户的联系人列表,除非开发者再次获得用户同意。任何违反规定的应用都可能被禁止。
iPhone联系人列表包含电话号码、电子邮件地址和家人、朋友、同事以及其他熟人的个人资料照片。当用户安装应用程序并点击同意后,开发人员就会获得人们朋友的数十个潜在数据点。这是一个开发者可以使用的信息宝库,超出了苹果的控制范围。
在2008年应用店上线后的几年里,联系人列表信息被滥用事件不时浮出水面。2012年,苹果给用户增加了控制功能,让他们自己决定是否批准开发人员上传联系人、照片、位置信息和其他数据。包括Uber和Facebook在内的许多应用允许用户删除已上传的联系人信息。即便如此,对于安装在iPhone上的所有应用程序,目前还没有任何有效机制可以做到这一点。
除此之外,苹果在联系人列表上的规定在过去10年里始终保持一致。平衡用户隐私和开发人员需求帮助该公司建立起盈利的应用生态系统。苹果上周表示,自苹果应用店推出以来,开发者已经创造了1000亿美元的收入。该公司通常从应用收入中抽取30%佣金,并在其应用店中播放搜索广告。
为政府和公司提供手机安全方面建议的Appthority公司总裁多明戈·圭拉(Domingo Guerra)说:“苹果拥有巨大的生态系统,通过开发者渠道和这些应用程序赚钱。不过苹果始终坚持推动开发者在隐私问题上变得更好。当有人分享你的信息作为他们的通讯录的一部分时,你没有发言权,你也不知道。”
尽管苹果现在采取了行动,但该公司无法追溯并检索到迄今为止可能被共享的数据。在给开发人员许可之后,iPhone用户可以进入他们的设置界面,并关闭应用程序的联系人权限。这可以关闭“数据水龙头”,但无法召回已经被收集的信息。
谷歌应用店也采取了类似措施。在该公司关于应用程序权限的帮助页面,在“重要性”一栏下写道:“如果你删除了应用权限,这个操作不会删除应用程序已经拥有的信息。然而,该应用程序不能使用新信息或从该点采取行动。”不同的是,谷歌对如何使用人们的数据做广告保持沉默,而苹果经常宣称自己不收集用户信息或建立用户资料。
苹果今年早些时候还推出了额外的隐私控制措施,以遵守欧洲最新生效的严格法律,并阻止美国政府在其设备上获取用户数据。在Facebook的剑桥分析公司滥用数据丑闻曝光之后,一名开发人员联系了彭博社,对苹果用户可能无法理解开发者在访问他们联系人时所能看到的内容感到担忧。由于担心苹果或开发者的雇主会报复,他要求匿名。
一旦用户单击确认,开发人员就可以下载用户在地址簿中保存的关于每个人的信息。这可能不仅包括姓名和电话号码,还包括其他数据,如出生日期、家庭和工作地址。如果人们在朋友的个人资料中附上照片,开发者也会收到。此外,应用开发者还可以了解何时创建和编辑联系人条目,从而获得关于电话号码准确性的线索,以及这个人是新朋友还是老朋友。
这位iOS开发人员说:“我可以立即将所有的联系人信息传输到某个随机的服务器上。如果我想的话,还可以将其上传到Dropbox上,就在那一刻,用户同意授予联系人权限。苹果对此没有追踪,也不知道信息到底去了哪里。”
另一位开发人员说,他们只看到应用程序以不诚实的目的收集用户联系人列表信息。许多联系信息的用途都很好理解。下载游戏时,游戏开发商可能要求联系人许可,以便向你的朋友展示你在玩的游戏,他们也可以构建一个简单的方法,让你向朋友发送文本信息,邀请他们加入你在使用的应用。像Instagram和Snapchat这样的应用都要求联系人信息,以便帮助用户建立社交网络。彭博社的新闻应用也要求访问用户的联系人列表,其他网络服务需要访问电子邮件地址本,因此这不仅仅是苹果或谷歌需要面对的问题。
在彭博社报道苹果修改应用店规则后,美国弗吉尼亚州民主党参议员马克·华纳(Mark Warner)表示,苹果“应该为此而受到赞誉”,它还应该采取其他用户授权措施,让消费者更好地控制自己的数据使用方式。而且,更多的公司应该效仿苹果的做法。华纳是Facebook最尖锐的批评者之一。
美国联邦贸易委员会(FTC)警告消费者,当应用程序要求获取与其目的无关的信息时,要保持警惕。FTC在其网站上表示,开发人员收集的任何信息都可以与第三方共享,或用于建立数据库。联系人列表信息可能并不总是对开发人员的应用程序直接有用,除非它有社交或聊天组件。但它可能被卖给数据经纪人,后者将其与其他信息结合起来,帮助公司在网上销售商品和服务。在某些情况下,它是一种营销工具,通过下载者的认可向其他人推广应用程序。
上周,苹果禁止应用程序使用通过用户的联系人或照片收集的信息与其他人联系,除非该用户明确主动地采取个性化的方式。开发人员还必须向用户提供清晰的描述,包括消息在发送前如何向收件人显示。这种类型的大容量短信已经成为某些应用程序病毒式增长的基础,比如2016年轰动一时的Down To Lunch,这种应用让人们可以同时邀请所有朋友共进午餐。它也是政治活动中常见的工具,受到CallHub等公司的支持。
在2017年初,有些iPhone用户开始从他们从未听说过的应用上收到短信,留言中写道:“一个朋友邀请你加入ChitChat,点击这里进入。”ChitChat是由社交产品设计工作室Swipe Labs开发的,该公司利用联系人列表访问功能向用户的朋友推广其新的通讯服务。事实上,这类陌生电话或短信已经泛滥。人们在Twitter上抱怨,风险投资家克里斯·萨卡(Chris Sacca)把它称为“联系人列表中的疱疹”。
Swipe Labs首席执行官马文·鲁希迪(Marwan Roushdy)对此表示道歉,称这一策略是“不成熟的增长特征”。他说:“我们有些问题,太多的通知被发出。新版本应用的‘节流通知’功能被送到苹果公司进行审查。”几个月后,Swipe Labs被Uber收购了。
2013年,美国联邦贸易委员会(FTC)起诉了社交网络应用程序Path,称该公司在未经用户同意的情况下,从iPhone和Android手机上收集地址簿信息。Path已经与FTC达成和解,并承诺未来不会再误导用户。据说苹果公司首席执行官蒂姆·库克(Tim Cook)曾与鲁希迪会面,对他的这一行为进行斥责。
虽然苹果和谷歌已经采取措施改善应用程序授权许可,但当事情出错时,监管机构往往会把责任推给应用程序,而不是操作系统。2013年,美国联邦贸易委员会(FTC)起诉Android手机上安装的手电筒应用,它可收集位置信息,并将其出售给广告网络,而消费者并不知情。
Facebook强调,开发者分享用户好友数据的做法违反了其规则。这家社交媒体巨头禁止了与剑桥分析公司分享这些信息的开发商。它还让这家政治咨询公司签署了一份协议,确认它在2015年删除了这些数据。然而在今年3月份,《纽约时报》和其他媒体报道称,这些信息尚未被删除。这一事件引发了一场新的全球隐私讨论。欧洲和美国许多议员认为,消费者应该决定自己的数据流向,而不是大型科技公司。
在社交网络上,用户自己制作个人资料,而智能手机地址簿则包含用户制作的他人数字化档案。人们的联系信息可能有数百个版本,他们无法完全控制。同样的人可能是一部电话上被标注为“爸爸”,而在另一部电话上则被称为“Craigslist沙发男”。几年前买了他的沙发的那个女人,可能仍然在不经意间把他的地址在每天早上玩的iPhone游戏中分享出去。