上回老贾测评了带来工作又带来无穷伤心的招聘App→(跳槽旺季,招聘APP又出幺蛾子...)本以为不让删简历已经是非常无耻的一种行为了,没有想到它们还能更没有下限,实在是让老贾三观尽毁...
事情还要从上回测评发出后讲起。
文章一出,寨迷们纷纷响应,都开始大倒被招聘App坑过的苦水。其中有一位读者告诉老贾,之前他在使用招聘App时不仅遇到了跟我一样的情况,还在空闲时无意发现它们有在后台偷跑流量。
偷跑流量是什么概念?
是用户未曾操作该App,同时开着网络的情况下,App的后台服务自己连接到网络,进行相关数据的更新上传下载的行为。这些操作会耗费流量,如果App没有提醒,恭喜你,那就是在偷跑了。
老贾深以为然,毕竟上一回的事情在先,现在看到什么都要保持怀疑态度。事不宜迟,老贾立刻开始了新一轮的测评。
测评对象仍然是五款招聘App:智联招聘、BOSS直聘、拉钩招聘、前程无忧51job以及猎聘。
一个“笨”办法
偷跑流量这个事,一直是很多人都担心的问题,但是真要证明其实很困难,这次老贾用了一个最笨的办法,找了台闲置的手机,清理干净后,将五款App设置了相同的授权,仅开了存储和GPS定位的授权,然后闲置在后台,在无人为干扰的情况下连着4G网络放了7天。
注:存储权限是提供App将数据存储在本地的权利,打开它是因为关闭该权限,App就会提示无法正常运行。而开GPS定位权限是因为用户的GPS信息属于高敏感信息,老贾认为一款招聘App不同于地图类App,似乎没有全天候调用这个权限的必要,所以特地检测一下,这一权限在用户不用的时候会不会被偷跑数据。
结果吓一跳
7天后,当老贾打开手机自带的流量统计工具时,可以说是大吃一惊!
为啥同样功能同样授权的App,跑的流量会差别那么大呢?
智联招聘你到底这7天里跑了些啥?能跑掉23MB的数据?为啥你比猎聘能多跑出20MB的数据?
要知道1MB=1024KB=1048576B,而一条GPS定位数据的大小大概不到100B,假如那23MB都是GPS数据的话,就相当于传输了24万多条的位置数据,平均每天就是近25000条,这也太恐怖了吧!
难道是O2O精准挖人?
老贾的这台测试手机还自带有个显示24小时内App流量波动的功能,几天的数据观察下来,老贾还发现个奇怪的现象,这几款App跑的流量不是全天匀速的,而是间歇性的,主要是每天早上5-7点,午后13-15点以及半夜22-0点,这是啥情况?你们为什么要在这个时间点跑流量?
考虑到这次只开了GPS权限,老贾猜测,难道这是在采集用户的家庭位置和办公室位置?你们不是已经有了我们的详细简历了么!上次测试发现不让人删,现在又定时收集实时位置,是几个意思?难道在监控用户的生活半径吗?怎么,是准备派猎头到咱单位来精准挖人吗?OMG!
“神”一般的反馈
当然,以上都属于老贾的猜测。本着严谨对事的态度,为了寻找真实的答案,老贾致电了每一家App厂商,希望他们能告诉我们到底跑的是哪些数据。
猎聘反馈说最有可能造成这种情况的是运营商的流量延迟。(流量延迟是啥?这是甩锅运营商么?不过猎聘跑的流量是不算多,还相对比较良心。)
拉勾反馈说是App推送消息会唤醒App,从而产生一定流量。(老贾只给App开了2个权限呀,怎么你们App还能推消息?这个推消息不用获得用户授权?咋不直接推个木马来呢?)
其余几家或是大打太极或是不理不睬,老贾没有得到任何有用回复。
老贾今天的检测,目的并不是为了抹黑App。客观来说,有很多复杂的情况会导致手机流量的跑掉,可能有些是不可名状的,但是大部分应当是有据可循的。老贾希望从用户的角度出发,帮助大家弄清一些我们担忧的问题,同时也希望App厂商自己能给出一个对此情况的合理解释,毕竟假如厂商都不清楚或不告知情况的话,用户就更难弄清了。
专家观点
老贾就以上问题也采访了专业人士,这次老贾请到的专家是甜橙金融的安全总监王佳伟。
Q:对于自家App偷跑流量的事,招聘平台方集中有两种解释:一是认为这是由运营商流量延迟导致的,二是认为这与微简历的刷新或简历被浏览有关。您认为这两种解释合理吗?
A:个人认为这是其中一部分原因。我们都知道在手机后台运行App会自动加载同步一些数据,这些数据可能是App更新的服务数据,当然也可能是App采集用户信息行为的数据。这种情况要取决于App安装时有没有向用户过度索取权限,运行时有没有违规的数据采集行为。
Q:对于通过GPS偷跑的流量集中在,早晨、中午和午夜,您认为最有可能的原因是?
A:有的平台方为了不影响业务连续性会选择一些特定时段进行服务数据或者程序的更新。但也有不法之徒是为了避开用户选择夜深人静的时候,利用App去窥探用户的手机做一些不可告人的事情,这需要我们通过技术手段去发现App在我们的手机里究竟做了什么,传了什么。
同时有神秘大神向老贾建议,可以利用抓包与逆向分析的方式来寻查数据去向,老贾不是不知道这个手段,只是怕被App厂商告上法庭,说咱攻击他们,那就百口莫辩了。因此,所有测试都是基于一个普通用户可以正常获取的工具和能力进行的。只是这一役下来,老贾有着深深的无力感,因为一个普通用户在这些厂商面前真是弱势到了极点......
小结
现在的移动互联网用户长期处在信任焦虑的状态,我们不得不被App所绑架,在毫无概念的情况下,反反复复支付自己的隐私,无奈或无意识地等待着不知何时的反噬。虽然在政府监管下,一些法律法规应运而生,旨在监督企业保护用户个人隐私权利,但仍有众多App利用算法的黑箱完美回避。
写完这篇文章,老贾心里仍是沉甸甸的。用户出于信任和自身需要,签署了那一纸注册协议,将很多个人信息让渡出去,好让App为我们“提供更好的服务”。相对的,App方面是否也应当坦诚一点?只有明白说清每一比特流量的去处,才真正符合了法律协议中的对等精神。毕竟透明算法,才是治愈用户隐私焦虑的王道。
转自:贾贾 安在
微信扫一扫分享