如果一天24小時觀察你，記錄你，在家或出門，睡覺，做飯，打掃衛(wèi)生，或者有“巨妖躺著”的監(jiān)視，請知道這些信息，并將其保存到3354。

要安裝這個監(jiān)控嗎？

答案是什么并不重要，但事實上，你完全不需要選擇。

最近，涉嫌“用戶數(shù)據(jù)私債”的維多利亞品牌電視被公開。根據(jù)曝光內(nèi)容，創(chuàng)意電視的背景基本上運行著“更正數(shù)據(jù)服務”。

根據(jù)對該服務的分析，每10分鐘掃描一次家中的所有網(wǎng)絡設備，記錄設備的hostname、MAC、IP等信息。最后，信息被包裝并傳遞到域名gz-da。

專業(yè)名詞聽起來有些費解，這在后文中留下了解釋。

我們首先要知道，那是上面“透明人類社會”的入口。

看電視上的我？

消息將在技術(shù)論壇v2ex上公開。4月23日，用戶“v64500”發(fā)表了“我家電視正在監(jiān)視所有網(wǎng)絡設備”的帖子。

一開始，這個用戶只是覺得自己的電視有點慢。

如今家用互聯(lián)網(wǎng)，帶寬動輒100萬億，大帶寬一臺電視的卡頓不正常。這個用戶想知道電視的背景是什么樣的運營項目。

通過這個發(fā)現(xiàn)了“數(shù)據(jù)服務確認”。

用戶“v64500”發(fā)布在技術(shù)論壇v2ex上

由于電視是Android系統(tǒng)，該用戶進行了“抓包”研究。這說明“數(shù)據(jù)服務確認”每隔10分鐘掃描所有網(wǎng)絡設備。這說明不僅可以檢測設備的hostname、MAC、IP，還可以檢測到周圍wifi的SSID和MAC地址。

也就是說，根據(jù)捕獲包的代碼，該服務不僅可以“監(jiān)控”自己家的所有網(wǎng)絡設備，還可以通過進一步掃描鄰居的網(wǎng)絡狀態(tài)來獲得。

該用戶表示，即使是“網(wǎng)絡延遲”數(shù)據(jù)，該服務也將被掃描和上傳。這個數(shù)據(jù)最終到達了gz-da域名。

經(jīng)過搜索，發(fā)現(xiàn)這個域名就是“更正數(shù)據(jù)”公司的官網(wǎng)。

這意味著，在一個普通家庭里，如果電視上有這個“更正數(shù)據(jù)”服務，那么他自己所有的智能終端數(shù)據(jù)，以及他接近的幾戶家庭的網(wǎng)絡狀態(tài)，總是被“更正數(shù)據(jù)”公司掌握著。(在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上，在電視上。

官網(wǎng)上更正數(shù)據(jù)提供的產(chǎn)品功能包括人群畫像、廣告監(jiān)控、個性化人群生成、斗轉(zhuǎn)人群檢查、家庭營銷數(shù)據(jù)沉淀等。

因此，用戶“v64500”懷疑隨時收集和上傳數(shù)據(jù)，確認不是間諜服務。

不管是數(shù)據(jù)服務還是“間諜服務”，可以肯定的是，其服務對象絕對不是普通人，也不是購買和看電視的人。

帖子中還公開了該服務的部分代碼。用Java語言編寫，代碼顯示了該服務的“掃描、打包、上傳”全過程。

總的來說，“掃描目的，第一是查找信息，獲取找人的數(shù)據(jù)，獲取周邊信息，主要是設備信息。最后，是封裝在集合中，包裝和上傳?！笨蹈杲榻B道。

本服務的部分代碼

那意味著什么？

今天家庭家庭進入“智能”。特別是在年輕人中，智能家居正成為清潔機器人、智能電視等潮流，目前已進入千家萬戶，其他的還有智能冰箱、智能洗衣機、智能電飯鍋、智能電燈、智能窗簾等。

家庭智能化的優(yōu)點是生活便利了。例如，起床后懶得關(guān)燈，現(xiàn)在可以在手機上關(guān)掉。

它們都是智能終端，共享你家的wifi，屬于“掃描、上傳”。

理論上，“更正數(shù)據(jù)”得到數(shù)據(jù)。如果數(shù)據(jù)充足，這家公司就能知道你的生活、工作和狀態(tài)、房子的大小、高度和戶型。

總之，它會比你更了解你自己。

更糟的是，在此之前，這一切都在悄然發(fā)生。

暴露漏洞的“爛事”

數(shù)據(jù)公司“抓走”的信息與我們的生活有什么關(guān)系？也許現(xiàn)在，表達仍然不夠清楚。

如果了解了專業(yè)名詞，我們就能更好地理解數(shù)據(jù)服務、利用服務的昌維電視、其行為是怎樣的惡劣。(約翰f肯尼迪)。

首先是Mac和IP。這些是地址，是位置信息。我們知道，由于互聯(lián)網(wǎng)的全球要求和設計要求，我們正在分為四層。從全球服務器到日常軟件，一層一層分包。

說到使用范圍，MAC地址主要在二層網(wǎng)絡上有用，IP在三層網(wǎng)絡上有用。

&index=3" width="620" height="854"/>

代碼中顯示hostname、mac、ip甚至網(wǎng)絡延遲時間都會上傳，還探測了周圍的wifi SSID名稱、mac地址

用個比喻說明，IP像一個郵編，指向的是一個區(qū)域，代表大方向。mac就像街道、尤其是街道拐角處，由它來判斷，數(shù)據(jù)是從哪個接口出發(fā)、進入到哪個接口。

要知道，IP和mac地址，普遍情況下都是全球唯一的。

另外，mac地址不僅是全球唯一，它還有個特殊標準：它的前半部分是組織機構(gòu)的名字。比如說一臺聯(lián)想電腦，它的Mac地址前6位就是“Lenovo”。

也就是說，了解到Mac地址，就可以獲悉設備品牌。

那么，在“掃描、上傳”了所有聯(lián)網(wǎng)設備后，一個創(chuàng)維電視用戶的家中，這位用戶的數(shù)據(jù)路徑、家居品牌，就毫無遺漏地被公司掌握。

圖源：新浪微博@創(chuàng)維電視

如果說，數(shù)據(jù)是信息時代的“石油”，是一種“寶藏”，那么“勾正數(shù)據(jù)”所做的，就是直接盜取了“藏寶圖”。

接著，被“抓去、上傳的”還有hostname（主機名）。主機名，就是每臺電腦擁有的名字，比如“某某的pc”，它和域名有一定關(guān)系，但是不能等同。

同樣地，沒有經(jīng)過特意偽裝的hostname，會暴露出很多信息，比如設備的大概類型，其中運行的何種系統(tǒng)，以及類似的種種信息。

前文還提到一個專業(yè)名詞，即，勾正數(shù)據(jù)服務可探測到周圍wifi的“ssid”，在目前常用協(xié)議層面，ssid與mac地址可以等同，也可視之為一個定位信息。

此前，勾正數(shù)據(jù)官網(wǎng)發(fā)布其用戶使用大致數(shù)據(jù)，聲稱其智能電視終端超過1.4億臺（圖源：勾正數(shù)據(jù)官網(wǎng)截圖）

我們知道，當手機靠近一個區(qū)域時，wifi列表會更新當前網(wǎng)絡。這就是說，wifi本身是在向外廣播（但區(qū)域不算大）。所以，它就被“有心人”探測、抓去、上傳公司。

這意味著，你或許不知道你的鄰居是誰，但數(shù)據(jù)公司卻可以通過大數(shù)據(jù)分析知道，而且比你更清楚。

豈可“自查”了事

事件的從前到后，細思極恐的是，它的曝光完全是一次意外。

如果說，用戶“v64500”習慣了卡頓，又或者，發(fā)現(xiàn)卡頓的人并不是一個技術(shù)人員，那么，勾正數(shù)據(jù)的“伎倆”還將繼續(xù)。千家萬戶的智能電視像個監(jiān)控，隱私悄悄流失。

在線索曝光了4天后，4月27日，創(chuàng)維電視在官網(wǎng)作出回應，“鍋”全甩給了勾正數(shù)據(jù)。

創(chuàng)維電視于4月27日在其官網(wǎng)發(fā)布聲明

據(jù)創(chuàng)維的回應，在了解到消息后，“公司第一時間全面禁用了所有創(chuàng)維電視上的勾正服務”，并且展開了相關(guān)調(diào)查。

創(chuàng)維強調(diào)說，其與勾正數(shù)據(jù)等的合作，“僅限于以抽樣調(diào)查國內(nèi)收視情況為目的的必要的數(shù)據(jù)采集。其他任何超出此范圍的行為，均未得到創(chuàng)維電視的許可及授權(quán)?！?/p>

此外，創(chuàng)維表示，此事件嚴重違背創(chuàng)維用戶至上的核心價值觀，因此，創(chuàng)維“已發(fā)函與勾正數(shù)據(jù)解除合作關(guān)系，并責令其刪除非法獲取的創(chuàng)維用戶相關(guān)數(shù)據(jù)。”

可以看出，創(chuàng)維的重點在于，“及時”和勾正數(shù)據(jù)作出切割。然而，事件真正的重點，如究竟采集了哪些數(shù)據(jù)、對數(shù)據(jù)是如何使用的，以及，一個技術(shù)員就能發(fā)現(xiàn)的代碼問題，作為合作方的創(chuàng)維為什么沒有發(fā)現(xiàn)？又或者是“視而不見”？

事實上，勾正數(shù)據(jù)的程序優(yōu)化并不高明。據(jù)了解，安卓系統(tǒng)中后臺運行的“程序開發(fā)包”并不少，但優(yōu)化差到影響了用戶體驗的，還是不多見。

這不是一個很難發(fā)現(xiàn)的BUG。

創(chuàng)維回應的當天，27日晚，勾正數(shù)據(jù)也作出回應，其中的“看點”頗多。

勾正數(shù)據(jù)于4月27日在其官網(wǎng)作出回應

勾正數(shù)據(jù)的回應中，首先，“第一時間禁用勾正數(shù)據(jù)服務APK（APK即程序開發(fā)包）”，經(jīng)過自查，勾正數(shù)據(jù)強調(diào)，此APK用戶可以自行禁用。

能夠自行禁用，不代表這就合理。

“在我們國家現(xiàn)行的法律體系當中，對于數(shù)據(jù)的收集應用的原則是opt-in（選擇進入），而不是opt-out（選擇退出）”，北京師范大學互聯(lián)網(wǎng)發(fā)展研究院院長助理、網(wǎng)絡法治國際中心執(zhí)行主任吳沈括表示。

勾正數(shù)據(jù)承認，“公司用戶隱私政策提示不夠清晰”，并對此致歉。

事實上，勾正數(shù)據(jù)的行為，已經(jīng)涉嫌違法。

毫無疑問，hostname、Mac、ip信息，屬于能夠直接或者間接識別特定自然人身份的信息，屬于個人信息的范疇。

“收集個人信息應當遵循正當合法必要原則，應當在收集前將收集信息的范圍收集的目的使用的方式等等告知用戶，并且經(jīng)過用戶的同意，那么這個是網(wǎng)絡安全法民法典等相關(guān)法律法規(guī)中所規(guī)定的收集個人信息最基本的規(guī)則?！北本┰萍温蓭熓聞账Y深律師趙占領表示。

從目前的情況來看的話，創(chuàng)維默認勾選這個數(shù)據(jù)服務，在未經(jīng)用戶同意的情況下收集用戶的這些個人信息，顯然是一種違法行為。

豈可一句“自查”了事？

(來源:南風窗微信公號)