手机在我睡觉时向境外发送数据

Naprys表示，在实验的三天里，他的手机联系了各种服务器6296次，可见其DNS查询的量有多大。他指出，虽然DNS查询可以揭示IP地址及其大致位置，但它们并不能指示出发送了哪些数据或用于哪些应用程序。“手机至少连接了39次俄罗斯的IP地址。我甚至没有安装任何Yandex的应用程序，但手机仍在不断尝试连接到Yandex服务器。”

Naprys表示，手机自动访问的服务器包括：report.appmetrica.yandex.net；mobile.yandexchange.net；ae01.alicdn.com；startup.mobile.yandex.net；yandex.ru。其中，根据日志显示，yandex.net会在不同的时间被访问：早上4点42分、上午7点58分、上午9点54分、下午5点17分、晚上9点15分两次，等等。

Naprys指出，平均每37秒，手机就会连接到境外服务器。他表示，在实验期间，当电话根本没有使用时，手机自动接收到了2323个查询。其中，谷歌、脸书和微软这三家公司占据了总查询流量的50%，仅谷歌一家就在24小时内对Naprys的手机进行了595次查询（25.6%），而脸书和微软则各自贡献了12%的查询流量。

Naprys说，他只能希望欧盟委员会的这一声明能够奏效，即《通用数据保护条例》（GDPR）所提供的保护能与数据一起传播。这意味着无论数据落在哪里，保护个人数据的规则都将继续适用。

此外，Naprys也指出了，尽管没有打开和使用这些应用程序，但其中许多应用程序仍会自动收集一些数据，这些数据每天从几千字节到几兆字节不等。实验显示，虽然数据使用率似乎没有那么高，但不要忘记，手机是空的（被重置为出厂设置），其上没有值得利用的地方。

许多应用程序，如AR Draw、Emoji Merge Kitchen或Filter for Good，它们使用的数据在100千字节到1兆字节之间。Proxy浏览器使用了1.11 MB，而Meta的Messenger使用了941 KB的数据。

Naprys表示，即使是少量的数据也足以收集和发送用户的敏感信息，比如位置信息、网络信息、个人标识符、文本通信和联系人等。而一般来说，高使用率的数据可能是音频和视频的数据传输信号。

最终，整个实验结果显示，某应用程序在后台运行时成功使用了317MB的数据；Facebook使用了73MB；Meta App Manager使用了41MB；Temu发送了22.16MB；“AR Drawing”使用了8.26MB。而对于实验手机来说，连同所有应用程序的下载和更新，总共只使用了8GB的数据。

Naprys说，虽然应用程序与服务器通信并不罕见，但这种情况还是引发了一些潜在的担忧。“我认为与莫斯科服务器进行通信是一种潜在的隐私安全问题，尤其是在未经所有者知情的情况下。如果没有更深入的技术知识、网络监控和应用程序的分析，我们根本无法得知通信过程中会传输怎样的内容。”

对此，美国网络新闻研究小组也发表了他们的看法：“这本身并不是什么新闻，没什么好奇怪的。一直以来，这些端点经常在应用程序中，被用来跟踪用户所观看的广告、应用程序使用情况和搜索模式等。而就是这种常见的做法，却会引发严重的隐私安全问题。”

根据新闻研究小组的说法，部分国家的政府可以在用户不知情或不同意的情况下访问相关数据。研究人员指出，虽然这些服务收集的数据通常没有那么敏感，但记者、活动人士、反对派或其他可能对政府感兴趣的人员应该对此提高警惕，大家应该避免使用此类应用程序，或者至少阻止相关的跟踪服务。

美国网络新闻报道了许多应用程序在要求过多的手机权限，而其中有些权限是无法撤销的，唯一的方法是禁用或卸载应用程序。

Cybernews研究人员表示：“大多数应用程序会默认被授予网络权限。因此这就会导致一个结果，即应用程序会将使用数据发送到这些跟踪器，或允许‘需要互联网连接’的应用程序自动运行。比如谷歌就将互联网权限归类为‘正常’，因为只要是‘正常’权限，应用程序在安装后就会自动获得此权限，只有所谓的‘危险’权限才需要用户手动确认。”

研究人员补充道，默认情况下，应用程序一旦获得许可，就能连接到各种类型的服务器，这就相当于没了限制，其可为所欲为。“这样简化应用程序开发的实施其实是很不负责任的，这就相当于简化了用户体验，并将大部分人的隐私安全陷于了危险境地。”

Naprys表示，对于用户位置跟踪，如果应用程序需要获取位置权限，就必须得询问用户是否能够得到该权限，而不是自动就能获取，这对比到网络权限也是一样的道理。不然，应用程序就能获取有关网络的信息（WIFI SSID、MAC地址），并将其用作唯一标识符。

同样的情况在国内也有例证。奇安信发布的《2023上半年APP侵害用户权益检测报告》显示，在对2023年上半年应用市场新收录的APP抽查发现，存在相当部分 APP在未经用户同意就开始收集用户个人信息，个别应用还频繁收集用户个人信息。

同时，APP违规索取权限问题也相当突出，相当部分APP存在频繁索取权限行为，个别应用还存在过度索取权限行为，这些违规行为不仅影响了用户的使用体验，并且严重侵害了用户个人隐私。

《报告》显示，违规收集个人信息问题的APP中，生活休闲和网上购物类型的APP违规占比最高，分别占比29.1%和14.6%。在本次检测抽检的头部主流APP中，有5.9%的APP存在无提示收集个人信息问题，类型排名前四的依次为：Android ID、IMEI、MAC地址以及Serial Number。

综合以上数据可以得出，在国家相关的法律法规下，此次侵害用户权益APP的检出率较低，但从侵害用户权益APP的下载量来看，影响面仍较广，至少影响到上亿用户，该问题仍需要继续保持治理。并且，此次检测中发现，虽有一部分APP是自身产生违规收集个人信息情况，但更多的是由于集成了第三方SDK所致。

而早在2022年，Google的Project Zero就发布过一个在野漏洞利用的分析，其警告说，攻击者已经开始瞄准各手机厂商的 OEM 代码部分了，攻击者能挖掘出其中的脆弱点和漏洞，并组合出一套完整的提权攻击 Exploit。也就在同年，国内知名互联网厂商竟也持续挖掘了新的安卓OEM 相关漏洞，并在其公开发布的 App 中，实现了对目前市场主流手机系统的漏洞攻击。

当初曾有网友就此事发布过声明，此人表示，自己的安卓手机几次卸载过某厂APP，桌面上虽然啥也没了，但却总是能收到相关内容的推送，之后竟神奇地发现，那APP仍在其下载软件的列表里。显然，此APP又“死灰复燃”了，是怎么也删不干净啊，让人有种“野火烧不尽，春风吹又生”的错觉。

在大数据时代，“数据化”已经成为普罗大众日常生活中不可分割的一部分。人们当前的生产劳动和数据拥有着非常紧密的联系，每一个动作的背后都会产生大量的数据信息。因此，个人隐私、个人敏感数据应该是各行各业都该重视的数据安全问题，特别是在移动网络端越发发达的当下，人人都会使用手机，如若手机端的应用程序不注重隐私问题，这将会造成巨大的社会安全隐患。

而对于企业来说，无论从监管层面上还是从道德层面上，收集和使用个人信息的企业都有责任将数据保护完善，而企业层面只需要完善管理流程，增加安全预算就可以在很大程度上规避大量的数据泄露风险。换言之，从企业层面上规避风险的成本要远远低于个人规避危险的成本，因此，企业才是承担和避免个人数据泄露的主体。

总而言之，对于个人隐私、数据安全而言，个体、组织缺一不可，只有大家对安全实施的信念保持一致，隐私问题才能在根本上得以解决。