“WiFi探針”正在竊取你的資訊
當手機莫名其妙遇到廣告彈窗,或者連線到了一個毫無用處的“WiFi”時,你可能走進了“WiFi探針”裝置的覆蓋範圍裡。
作者 | 羅亦丹 馬婧 白金蕾 實習生 趙昕
編輯 |陳維城 陳詩怡
“前些日子,我在逛商場時,手機莫名其妙連線上了一個類似於推廣的WiFi,無論怎麼都去不掉。”10月21日,在天津工作的徐小姐對新京報獨角鯨科技表示。
新京報獨角鯨科技近日調查發現,一種以WiFi探針為主要技術手段的廣告營銷裝置悄然興起,該類裝置通過獲取使用者手機Mac地址收集使用者資訊。有些裝置可以強制使用者手機彈窗,並冒充已連線WiFi在微信置頂介面投放無法消除的“狗皮膏藥式”廣告。微信方面對此表示,目前已監控到此類惡意欺騙行為,並對監控到的情況進行技術應對。
此外,一些生產WiFi探針裝置的公司通過與電信運營商合作,獲取了使用者手機Mac地址與手機號的關係,使得廣告主可以通過打電話、發簡訊以及彈窗廣告的方式進行營銷;另一些公司則接入了 百度 、 騰訊 等公司的大資料庫,為廣告主提供使用者畫像,甚至直接提供使用者的微信。
那麼,這一“精準營銷”手段是否合規,它距離騷擾有多遠呢?
“此前工信部等十三部門一起打擊騷擾電話。此類電話未經使用者許可,可確定為騷擾電話。”電信專家付亮告訴新京報獨角鯨科技。
“WiFi裝置獲取使用者Mac地址,以及網際網路公司通過使用者畫像進行精準營銷均是很正常的技術,但是如果把使用者畫像對應的手機號碼也對應出來,對應的使用者就‘透明’了,在公共市場上很容易出問題。”10月19日,網路安全專家張百川對新京報獨角鯨科技表示。
廣告偽裝成“微信置頂WiFi”,想去去不掉
用著微信突然彈出一個置頂WiFi,還消除不了。新京報獨角鯨科技調查發現,一個名為“WiFi探針”的技術,以及其衍生出的WiFi廣告裝置浮出水面。黑產利用裝置獲取使用者手機Mac地址及已連線WiFi名,傳送強制彈窗。
“在家用著自己的WiFi,微信介面頂部卻突然出現了一個‘已連線某某WiFi’的選項,然而它並沒有WiFi功能。之後我無論如何操作,例如把自家WiFi和微信重啟,微信頂部的WiFi連線標誌還是跟狗皮膏藥一樣無法消除。”有網友在百度貼吧上吐槽。
上述案例在去年年底零星出現,今年已經逐漸增多。據新京報獨角鯨科技調查,此項功能往往與廣告營銷有關。
“我可以對手機進行強制彈窗,並在微信上留下4小時無法消除的WiFi連線標誌,如果點選就可以跳轉到你設定好的廣告。”10月16日,一位從事“WiFi廣告大資料精準營銷”的人士向新京報獨角鯨科技表示。
該人士稱,這類廣告從微信客戶端“根本無法消除”,會一直保留4個小時,“只要給我使用者的手機Mac地址,以及已連線的WiFi名稱,就能實現。”
10月16日,新京報獨角鯨科技將上述兩項資料告知該人士後,不出一分鐘,新京報獨角鯨科技的手機微信客戶端就顯示連線到了一個名為“招生助手”的WiFi,此後無論新京報獨角鯨科技如何操作,該標識都無法關閉,且一旦點選就會跳出廣告。該人士表示,如果購買他們的裝置,可以自動搜尋到進入裝置範圍的手機資料,裝置就可以自動向進入範圍的手機發送上述彈窗了。
新京報獨角鯨科技調查發現,在“強制彈窗”的背後,一個名為“WiFi探針”的技術,以及其所衍生出的WiFi廣告裝置浮出水面:該裝置外形類似平時的路由器,可以獲取到附近使用者的手機Mac地址以及已連線WiFi名。
根據CNNIC(中國網際網路資訊中心)年度報告顯示,網民通過WiFi觸網比例高達91.8%,其中公共場所WiFi上網比例近半(42.4%)。WiFi已成為網民在固定場所下介入網際網路的首選方式。WiFi的入口地位已基本確定。在這一背景下,WiFi探針技術也應運而生。
“手機Mac地址可以理解為手機的‘身份證’,每臺裝置的Mac地址都是獨一無二的。”10月17日,從事網路安全方面工作的李淳(化名)稱,“這類WiFi探針技術的原理其實並不複雜,因為探測無線裝置的Mac地址是目前網際網路路由器均備的基本功能,WiFi探針可以通過民用WiFi的WLAN訊號段獲取裝置的Mac地址,且使用者可以通過關閉移動裝置的無線路由功能來主動遮蔽對Mac地址的獲取能力。所以個人認為獲取Mac地址本身並不違規。”
不過,在獲取這兩項資料後,廣告裝置銷售方卻可以通過技術手段向用戶的手機做出傳送強制彈窗廣告,以及設定無法消除的置頂WiFi。
“獲取地址是一回事,但強推廣告就是另一回事了,這肯定涉嫌騷擾了。”李淳稱。“一般很多彈窗都是用他們自己的DNS,按說不允許,但技術上確實是可以做到的。”10月19日,網路安全專家張百川表示。
10月17日,微信方面對此表示,微信連WiFi是微信推出的功能,方便使用者快速連線商戶WiFi熱點的功能。而“WiFi探針”類的黑產是利用了技術手段,對手機連線WiFi的時間點、Mac地址等進行監控,並利用這些公開的資訊惡意欺騙微信後臺,使得後臺誤認為使用者已連線上WiFi。
微信方面稱,目前已監控到此類惡意欺騙行為,並對監控到的情況進行技術應對。使用者如發現此類惡意行為,歡迎向微信反饋ofollow,noindex">投訴 。
網上賣“WiFi廣告強推”裝置,幾百到數千元
網購平臺上能搜到不少出售“WiFi廣告強推”相關裝置,售價從數百元到數千元不等。買家將其放置在人流密集地,便可採集使用者資訊。這些裝置可具備從“霸屏廣告”、“強制彈窗”到“電銷觸達”等不同功能。
事實上,目前以WiFi探針技術為基準衍生出的廣告營銷已經形成了一條產業鏈。
10月16日,新京報獨角鯨科技以“WiFi廣告強推”、“WiFi吸粉”等關鍵詞在網購平臺上搜索發現,銷售類似裝置的商家為數不少,一套裝置的價格依據輻射範圍、功能、開發公司不同,從幾百到數千元不等。
新京報獨角鯨科技隨機選擇了一家店鋪進行諮詢,店主表示,“最便宜的裝置輻射範圍200米,賣488元,最貴的裝置輻射範圍可以達到2公里,2350元。”對於具體如何應用,該店主介紹稱其有客戶是小額貸款公司的老闆。“他每天派出一名員工攜帶我們的裝置到寫字樓轉一圈,採集到寫字樓裡員工和老闆的手機資訊。此後只要是上班時間,就通過後臺向寫字樓所有人手機裡彈出廣告,業務人數大大增加。”
綜合不少網店的產品介紹可以發現,由於此類裝置大小與普通的WiFi路由器相仿,買家可以將其放置在某一人流密集的地方,或者車載、揹包該裝置,以採集更多的使用者資訊。
新京報獨角鯨科技在一名買家的朋友圈中看到,一臺WiFi探針裝置被放置在了某小區的空調散熱器後面。“這個裝置開啟後,500米至2公里附近的安卓手機,只要連線著任意一個WiFi,就會接收到預先設定好的廣告內容。”店主稱。
9月1日,新京報獨角鯨科技曾以買家身份聯絡到一名“WiFi廣告魔盒”銷售人員,其介紹稱,“WiFi廣告魔盒”的特色是“WiFi霸屏”與“強彈廣告”。在上述銷售人士發給新京報獨角鯨科技的測試視訊中,四臺不同型號的手機,不論是鎖屏還是正在看視訊,進入該裝置的覆蓋範圍後,都強制連線上了WiFi,並彈出了響聲巨大的廣告。該“廣告魔盒”的銷售人員稱,其也是利用上面的WiFi探針技術實現的強推廣告。
據“WiFi廣告魔盒”銷售人員介紹,購買該產品的買家通常會針對性地把裝置放置到針對性的場景下。“你搞汽車,就把我們的裝置放到4S店附近採集使用者資料,你搞教育,就去學校採集,你搞房地產,就去售樓中心採集,搶佔同行的客源。”
新京報獨角鯨科技發現,WiFi探針裝置其實已經歷了數次“換代升級”,除了簡單的收集資料外,其功能也從“霸屏廣告”、“強制彈窗”到“電銷觸達”甚至“分析使用者畫像”一步步豐富了起來。
例如,在業務介紹中,“WiFi廣告魔盒”可以掃描到進入範圍內使用者的電話號碼。新京報獨角鯨科技在WiFi廣告魔盒後臺介面看到,進入裝置範圍的資料中包含了做了脫敏處理的電話號碼。該號碼雖然對廣告主不可見,但卻可以撥打以及傳送簡訊。
而另一款相似的“WiFi廣告機”則可以分析出進入裝置範圍的使用者畫像,其精確度可以到達使用者的年齡、性別、收入、學歷等。
據瞭解,撥打電話和獲取使用者畫像並非WiFi探針技術的原生功能,而是需要與電信運營商和大資料提供商“談合作”才能擁有。
“技術上,如果只知道使用者手機的Mac地址,是無法知道使用者手機號碼或使用者畫像的。但如果做WiFi探針的公司與擁有Mac手機號碼對應關係的電信運營商有合作,或者接入了擁有使用者畫像資料公司的資料庫,就另當別論了,這在技術上是可以實現的。”張百川告訴新京報獨角鯨科技。
在張百川看來,獲得使用者號碼以及使用者畫像是“營銷層面”的事情,“只要電信運營商,以及大資料擁有方樂意與WiFi探針裝置銷售公司合作,是完全可以達成上述功能的。”
從彈窗到騷擾電話,簡訊0.06元/條,外呼0.21元/分鐘
根據裝置提供商介紹,目前多款WiFi探針裝置具備撥打電話功能。有專家稱,只有與電信運營商合作,這一功能才能達成。這些裝置的潛在客戶是各類電銷公司,造成的是撥打騷擾電話的實際效果。
目前,已有多款WiFi探針裝置上線了撥打電話功能。
如一款名為“智子盒子”的產品在其介紹中稱,其技術原理是利用WiFi探針技術獲取裝置Mac地址後,根據Mac地址對映裝置號或電話號碼,最後根據對映的裝置號進行廣告投放,或者利用手機號碼進行簡訊和電話營銷。
至於如何根據Mac地址對映裝置號或電話號碼,有專家稱,只有與電信運營商合作,這一功能才能達成。新京報獨角鯨科技在“智子盒子”的開發方智子科技官方網站發現,早在2014年,智子科技就與 中國電信 達成了戰略合作協議,並“為中國電信提供一系列DSP廣告技術支援,共同為中國電信龐大數量級的品牌企業客戶提供流量渠道。”
目前,不少WiFi探針裝置供應商主推撥打電話和傳送簡訊的功能,潛在客戶則是各類電銷公司。
如“WiFi廣告魔盒”銷售人士直言,“傳統的電話營銷效率太低,比如房產行業打電話差不多500元話費才能成交一個客戶,如果採用精準營銷裝置,100元就能成交。”他說,“現在都在做這個,昨天有個招生的客戶,打了200個電話就成了3單,一單3萬,傳統電銷是做不到2%的轉化率的。”
新京報獨角鯨科技在該裝置的後臺看到,可以設定其採集資訊的範圍,如1到100米。其採集到的使用者資料可以顯示手機號碼的前3位和後4位,後面可以選擇直接從裝置後臺給使用者撥打電話、發簡訊。無論是撥打電話還是傳送簡訊都需要費用。簡訊單價為0.06元/條,外呼價格是0.21元/分鐘。
新京報獨角鯨科技發現,為了規避法律風險,上述裝置銷售公司均不直接提供使用者的電話號碼。在智子盒子的產品介紹中,其表示電話觸達是“通過正規的運營商大資料服務介面實現的”,且“所有收集的手機號均是匿名的,不存在任何個人資訊。只能通過運營商直接提供的營銷通道觸達到客戶”。即雖然該裝置不提供使用者手機號碼,但可以從裝置後臺選擇直接撥號。撥打電話的方式是先有一個電話打給裝置使用者,然後再轉到使用者的手機上,使用者接到的電話會顯示為一個虛擬號碼。
即便如此,上述裝置依然可以造成撥打騷擾電話的實際效果。9月初,新京報獨角鯨科技曾以電銷公司身份接觸了一家WiFi探針銷售公司,對於撥打電話的方式,該員工稱,由於“買賣手機號是違法的”,只能從平臺內部向外撥打電話,但如果嫌這樣一個一個撥打太麻煩,可以“提供介面的呼叫,也是通過平臺撥打,但可以使用你們電銷公司自己的撥號系統,你們自己可以選擇將自己的號碼設為主叫號碼還是被叫號碼。”
一些公司甚至推出了“AI電銷”服務,如聲牙科技在其“聲牙盒子”的宣傳資料中稱,“AI電銷機器人的撥號頻率可以達到每天800-1000通,是人工撥打頻率的4-5倍。”
打騷擾電話,間接識別使用者真實身份,涉嫌違法?
用WiFi探針技術推“強制彈窗”、撥打電銷電話,算不算違規?有電信專家表示,此類電話未經使用者許可,可確定為騷擾電話。法律專家表示,這種未經使用者同意收集使用者資訊的行為,違反法律規定。撥打電話是一種營銷行為,涉嫌侵犯使用者的生活安寧權。
那麼,這算不算違規呢?有從事安全行業的專家對新京報獨角鯨科技表示,手機Mac地址不屬於使用者隱私範疇,從產品介紹來看,這些裝置的銷售方沒有獲得使用者隱私資訊,並不違法,但此類裝置也需要監管,“應該有專業的管理部門來防範它做非法的事情,如果通過WiFi收集使用者資訊就屬於違法行為。”
對於撥打電銷電話這一行為,在電信專家付亮看來,雖然他們強調是通過“正規的運營商通道”,但通道合規,不意味著內容合規。“此前工信部等十三部門一起打擊騷擾電話。此類電話肯定未經使用者許可,可確定為騷擾電話。如果三大電信運營商參與其中,運營商也違法。”
除了撥打電話外,目前已有不少WiFi探針裝置銷售商上線了使用者畫像服務。
“此前,WiFi探針技術的應用場景主要有VIP到店提醒、人流監控、區域熱點圖、智慧交通乃至考勤等。”李淳表示,“而一旦將Mac地址與使用者畫像匹配起來,就可以達到分析店鋪客源的效果。”
9月初,新京報獨角鯨科技曾拿到某一WiFi探針裝置的後臺使用許可權,在操作中,新京報獨角鯨科技發現只要從後臺設定好具體時間,就可以觀察到進入裝置範圍的人群畫像構成,畫像內容包括使用者的年齡段、學歷、收入、運營商、最喜歡登入哪個APP等。這意味著,當用戶走進該裝置的資料採集範圍,使用者是什麼樣的人,興趣愛好如何早就被記錄下來了。
這些資料來自於擁有使用者大資料的公司。如聲牙科技在其產品介紹中稱“聲牙科技的資料庫主要來源於聲牙科技對接的各大ADX(如百度BES、騰訊廣點通、 阿里 TANX等)以及八大主流媒體資源(優酷、 愛奇藝 、今日頭條、騰訊新聞、騰訊視訊、墨跡天氣、天天快報、 陌陌 ),ADX和主流媒體會分發廣告請求資料到聲牙平臺,裡面會攜帶使用者的裝置號資訊、使用者標籤資訊、APP資訊、地理位置資訊。這些是原始資料。關於加工後的畫像標籤主要以百度為主。”
有大資料相關行業人士稱,“只要獲得大資料公司提供使用者畫像的介面,就可以在技術上達成上述效果,但前提是得談好合作。”
新京報獨角鯨科技在一份聲牙盒子的“畫像匹配結果”中發現,其使用者畫像維度精確到了27項,例如“性別女,25-34歲,本科,旅遊達人,無未成年子女,收入3-5k,無車,企業白領,IT業人員,已婚無房,手機檔次低檔等”。
“繪製使用者畫像是許多APP的‘隱含功能’。”李淳表示,“例如不管百度、騰訊還是阿里,它們的APP中都有相關的隱私協議,可以合法地讀取使用者各個維度的資料,從而繪製使用者畫像,以分析客源構成,為廣告營銷作參考,這些資料可以與第三方共享,但都是脫敏的,且有保護資料安全的義務。”如百度APP隱私協議中就有“我們可能會將您的匿名化的使用者畫像與廣告服務商/廣告主共享,以幫助其在不識別您個人的前提下提升廣告有效觸達率”的表述。
“事實上,通過多重的資料比對,是可以確定一個人的具體資訊的。”李淳表示。“所以問題在於,當這類精準營銷裝置提供商在與大資料公司合作,獲得脫敏使用者畫像的同時,若同時獲得了撥打使用者電話、傳送簡訊的許可權,就會提高使用者資訊洩露的風險。”
此前,新京報獨角鯨科技詢問聲牙盒子銷售人士是否有使用者更精確的資訊時,其表示“只要加一塊錢,就可以給你使用者的微訊號碼。比如你去給該意向客戶打電話,如果客戶有意思,你可以在後臺給這名客戶備註上,之後你把備註資訊發給我,加一塊錢,我就可以給你使用者的微訊號,你可以加他微信完成後續的營銷。”
對於如何獲得使用者的微訊號,聲牙科技合夥人表示是“從資料庫篩選的”。
對此,寧夏誠託律師事務所樑正大律師認為,這類裝置是否涉嫌違法,要分情況來看,如果是正常收集沒有用於其他目的不能算違法,收集方有保密和不得洩露的義務,不得洩露或出賣該資訊給他人。如果裝置採集到資訊後,非法利用就違反相關法律。
“使用者的裝置號本身並不能識別使用者的身份,可一旦和手機號結合,就能識別出使用者的真實身份,屬於個人資訊範圍,未經使用者同意收集使用者的個人資訊,違反網路安全法等法律的基本規定。此外,即便商家在收集使用者資訊時,使用者同意了,但收集之後它再通過與移動運營商的合作獲知使用者手機號碼進行撥打,是一種營銷行為,也是一種未得到使用者同意的行為,涉嫌侵犯使用者的生活安寧權。”10月22日,北京志霖律師事務所副主任趙佔領對新京報獨角鯨科技表示。