近日来,互联网业最沸反盈天的话题莫过于Path侵犯用户隐私事件:个人移动社交网络3P(Pinterest,Path,Privacy)之一的Path被爆其iPhone版应用会未经用户许可自动上传用户通信录信息。一时间各大科技媒体、专家、用户、科技博客纷纷拍案惊奇、口诛笔伐,持续数日而怒气不消。
Path事件之所有这么大的影响力,是因为这次事件触及了互联网的原罪——“隐私”。从Facebook到Google,再到去年微软、苹果公司未经用户许可收集其地理位置信息事件,我们看到那些最“正大光明”的“do no evil”的领袖级IT企业也无法拒绝新鲜用户数据血液的诱惑。
而Path,只是一个在隐私沦陷的废墟中趁火打劫的小强盗而已。
Path事件到目前为止折射出的,值得深入探讨的问题我们大致抛砖引玉找出几点:
1.苹果应用程序商店的审核机制已经不再值得信赖!选择iPhone的用户通常会对苹果应用程序商店的审核制度津津乐道,并将其视为苹果公司“追求完美”的品牌精神体现。但严酷的事实告诉我们,今天苹果应用程序商店的程序实在太多了,维持高水平的程序审核水平根本就是消费者一厢情愿。不但Path这种私自采集用户通讯录数据的程序可以通过审核,甚至有安全专家成功上传恶意软件。由于苹果生态系统的封闭,具体的用户应用安全风险目前还没有具体的报告。
2.开发者的良心?苹果在其应用商店条款中非常明确地指出:“17.1:在没有事先征得用户许可并告知用户数据用途的情况下,应用不得传输与用户相关的数据。”显然,苹果在用户最隐私的数据盒子上用大黑笔标识:“此处有社交创业企业发迹之最宝贵数据财富,未经许可严禁打开。”然后连盒子带钥匙(“强大的”开发库和通用的Sandbox许可)一块交给所有移动应用开发者,苹果公司的做法是把用户数据资产和隐私安全托付给了开发者的“良心”。而“一夜无语”的良心,显然无法对抗“一夜成名”的诱惑,无论是愤怒的小鸟还是Path都不可能守着唾手可得的隐私数据而坐怀不乱。
3.iOS并不一定比Android安全。 为什么不加密?过去几个月这个问题已经被中国网民无数次哭喊无果,如今再问这个问题就好比问某人为什么新浪微博不加V一样显得很农民。有人认为Path至少可以通过哈希加密用户数据的方式采集电子邮件地址和通讯录信息,这样受到的谴责会少一些。但这种加密服务必须由第三方来提供才靠谱,如果由苹果公司来做的话,就不会在通讯录API中向开发者提供这么多功能了。用户体验设计师Dustin Curtis在博文《Stealing Your Address Book》中,对该事件提出了两点质疑:Apple为什么允许iOS应用在不经允许的条件下随时访问用户的通讯录信息?甚至Android都有明确规定,只有在用户的允许下,应用才能访问用户本地联系方式。在这一点上苹果确有推卸不掉的责任。安全专家Charlie Miller认为:“与Android相比,iOS的通讯录更容易被访问或窃取,iOS让未经授权的数据访问变得更加容易。”
4.Path事件不是个案。Path CEO Dave Morin第一时间在博客中承认了错误,并向用户许诺和道歉。他表示:“通过大家提供的反馈,我们现在明白‘添加好友’功能的设计方式有误,我们对由此给你们带来的不便深表歉意。”Dave Morin的道歉有一处致命的谎言,因为作为苹果的移动应用开发者他不可能“现在明白”错误,从写下Path第一行代码的那一刻,Path的开发团队就很清楚,他们想干什么,能干什么,以及什么可以“先干了再说”。Morin的谎言表明:Path并没有或者也不能彻底“交代”,而且Path的未授权访问用户隐私数据的行为绝对不可能是个案。
总之,Path事件告诉我们,如果你是iOS设备用户,那么你现在有足够的理由开始担心你的数据隐私。因为苹果已经把是否窃取隐私的选择权交给了开发者的良心。经历了这么多事情后,至于良心这种东西是否还存在,您自己判断。