当手机莫名其妙遇到广告弹窗或者连接了一个没用的“WiFi”时,你就有可能走进“WiFi探头”设备的覆盖范围。
不熟悉的Wi-Fi可能是精准营销。
作者|罗一丹白实习生赵鑫
编辑|陈伟成陈诗怡
“前几天我逛街的时候,手机莫名其妙连上了一个类似推广的WiFi,怎么也摆脱不了。”10月21日,在天津工作的徐小姐告诉新京报独角鲸科技(ID:dujiaojingkeji)。
新京报独角鲸科技(ID:dujiaojingkeji)近日发现,一种以WiFi探头为主要技术手段的广告营销设备悄然兴起,通过获取用户手机的Mac地址来收集用户信息。有些设备可以强制用户手机弹出窗口,伪装成连接WiFi在微信顶部界面投放不可磨灭的“狗皮膏药”广告。微信方面表示,已经监控到此类恶意欺骗行为,并对监控到的情况做出了技术回应。
此外,一些生产WiFi探头设备的公司通过与电信运营商合作,获取用户手机的Mac地址与其手机号码的关系,让广告主通过打电话、发短信、弹窗广告等方式进行营销。其他公司接入百度、腾讯等公司的大数据库,为广告主提供用户画像,甚至直接为用户提供微信。
那么,这种“精准营销”的方式是否合规,离骚扰还有多远?
“之前工信部等13部门打击骚扰电话。此类电话无需用户许可即可确定为骚扰电话。”电信专家付亮对新京报独角鲸科技(ID:dujiaojingkeji)表示。
“WiFi设备获取用户Mac地址,互联网公司通过用户画像进行精准营销,都是正常的技术。但如果把用户画像对应的手机号也映射出来,对应的用户就‘透明’了,在公开市场上很容易出问题。" 10月19日,网络安全专家张百川对新京报独角鲸科技(ID:dujiaojingkeji)表示。
▾
广告伪装成“WiFi之上的微信”我也摆脱不了。
用微信突然弹出一个顶级WiFi,无法消除。新京报独角鲸科技(ID:dujiaojingkeji)调查发现,一种名为“WiFi探针”的技术及其衍生的WiFi广告设备浮出水面。黑产利用设备获取用户手机的Mac地址和连接的WiFi名称,发送强制弹窗。
上述病例在去年年底零星出现,今年以来逐渐增多。根据新京报对独角鲸科技(ID:dujiaojingkeji)的调查,该功能往往与广告营销有关。
该人士表示,这种广告从微信客户端“根本无法消除”,将保持4小时。“只要给我用户手机的Mac地址和连接的WiFi名称,就实现了。”
新京报独角鲸科技(ID:dujiaojingkeji)调查发现,在“强制弹窗”的背后,一种名为“WiFi探针”的技术及其衍生的WiFi广告设备浮出水面:该设备看起来像普通路由器,可以获取附近用户的手机Mac地址和连接的WiFi名称。
CNNIC(中国互联网信息中心)年度报告显示,网民通过WiFi上网的比例高达91.8%,其中近一半(42.4%)通过公共场所的WiFi上网。WiFi已经成为网民在固定场所上网的首选方式。WiFi的入门状态已经基本确定。在这样的背景下,WiFi探针技术也应运而生。
“手机的Mac地址可以理解为手机的‘身份证’,每个设备的Mac地址都是唯一的。”10月17日,从事网络安全工作的李淳(化名)表示,“这种WiFi探针技术的原理其实并不复杂,因为检测无线设备的Mac地址是目前互联网路由器的一个基本功能。WiFi探头可以通过民用WiFi的WLAN信号段获取设备的Mac地址,用户可以通过关闭移动设备的无线路由功能来主动阻断获取Mac地址的能力。所以个人认为,获取Mac地址并不违法。”
而广告设备销售商在获得这两条数据后,可以通过技术手段向用户手机发送强制弹窗广告,并设置不可回避的机顶盒WiFi。
“获取地址是一回事,推送广告是另一回事。肯定有骚扰嫌疑。”李淳说。“一般来说,很多弹出窗口都使用自己的DNS,这是不允许的,但在技术上是可以的。”10月19日,网络安全专家张百川表示。
10月17日,微信方面表示,微信连接WiFi是微信推出的一项功能,方便用户快速连接商家的WiFi热点。“WiFi探针”黑产利用技术手段监控手机连接WiFi的时间点和Mac地址,利用这些公共信息恶意欺骗微信后台,使后台误以为用户连接了WiFi。
▾
在网上销售“WiFi广告推送”设备需要数百到数千美元。
在网购平台上,可以找到很多卖“WiFi广告”的设备,价格从几百元到几千元不等。买家可以把它放在人多的地方收集用户信息。这些设备可以有不同的功能,如“屏幕广告”、“强制弹窗”、“电销触达”。
事实上,基于WiFi探头技术的广告营销已经形成了一条产业链。
10月16日,新京报独角鲸科技(ID:dujiaojingkeji)以“WiFi广告强”“WiFi吸粉”等关键词在网购平台搜索,发现销售类似设备的商家不少,一套设备根据辐射范围、功能、开发公司不同,价格从几百到几千元不等。
新京报独角鲸科技(ID:dujiaojingkeji)随机选择了一家店铺进行咨询。店主说,“最便宜的设备辐射范围200米,卖488元。最贵的设备,辐射范围2公里,2350元。”关于具体应用,店主说他的一个客户是小额贷款公司的老板。“他每天派一个员工带着我们的设备去写字楼,收集写字楼里员工和老板的手机信息。从此以后,只要是上班时间,办公室老板的手机上就会通过后台弹出广告,商务人士大大增加。”
综合多家网店的产品介绍可以发现,由于这类设备的大小和普通WiFi路由器差不多,买家可以将其放置在人多的地方,或者放在汽车或背包中携带,以收集更多的用户信息。
新京报独角鲸科技(ID:dujiaojingkeji)在一个买家的朋友圈看到,一个小区的空调散热器后面放置了一个WiFi探头装置。“这个设备打开后,500米到2公里附近的安卓手机,只要连上任何一个WiFi,都会收到预设的广告内容。”店主说。
据“WiFi广告魔盒”的销售人员介绍,购买这款产品的买家通常会将设备放在有针对性的场景中。“如果你从事汽车行业,你会把我们的设备放在4S商店附近来收集用户数据。搞教育的,就去学校收。搞房地产的,就去销售中心收,抓住同行的客户。”
新京报独角鲸科技(ID:dujiaojingkeji)发现,WiFi探头设备其实已经经历了数次“升级”。除了单纯的收集数据,其功能从“屏幕广告”、“强制弹窗”到“电子销售通路”,甚至“分析用户画像”,一步步丰富起来。
比如服务介绍中的“WiFi广告魔盒”可以扫描进入范围的用户的电话号码。新京报独角鲸科技(ID:dujiaojingkeji)在WiFi广告魔盒后台界面看到,进入设备范围的数据包括脱敏的电话号码。虽然这个号码对广告商来说是看不见的,但是可以用来拨号和发短信。
另一款类似的“WiFi广告机”,可以分析进入设备范围的用户画像,准确率可以达到用户的年龄、性别、收入、学历等。
据了解,打电话、获取用户画像并不是WiFi探针技术的原始功能,而是需要和电信运营商、大数据提供商“谈合作”。
“从技术上来说,如果只知道用户手机的Mac地址,是无法知道用户的手机号或者用户画像的。但如果做WiFi探头的公司用相应的Mac电话号码与电信运营商合作,或者用用户画像数据接入该公司的数据库,则另当别论,技术上是可行的。”张百川对新京报独角鲸科技(ID:dujiaojingkeji)表示。
在张百川看来,获取用户数量和用户画像是一个“营销层面”的事情。“只要电信运营商和大数据业主愿意与WiFi探头设备销售公司合作,完全可以实现上述功能。”
▾
从弹窗到骚扰电话,短信0.06元/条,去话0.21元/分钟。
据设备提供商介绍,目前很多WiFi探头设备都有打电话的功能。有专家表示,这一功能只有与电信运营商合作才能实现。这些设备的潜在客户都是各类电话营销公司,造成了打骚扰电话的实际效果。
目前已有多款WiFi探头设备上线打电话。
例如,一款名为“支子盒子”的产品在其介绍中称,其技术原理是利用WiFi探针技术获取设备的Mac地址后,根据Mac地址映射设备号或电话号码,最后根据映射后的设备号进行广告投放,或者利用手机号进行短信和电话营销。
至于如何根据Mac地址映射设备号或电话号码,有专家表示,只有与电信运营商合作才能实现这一功能。新京报独角鲸科技(ID:dujiaojingkeji)在“支子盒子”开发商支子科技官网发现,早在2014年,支子科技就与中国电信达成战略合作协议,“为中国电信提供一系列DSP广告技术支持,共同为中国电信庞大的品牌企业客户提供流量渠道。”
目前很多WiFi探头设备的供应商主要宣传打电话、发短信的功能,潜在客户是各类售电公司。
比如“WiFi广告魔盒”的销售人员就直言,“传统的电话销售效率太低。比如房地产行业,一个客户打电话差不多500元才能成交。如果用精准营销设备,100块钱就能成交。”他说,“现在大家都在这么做。昨天有个招生的客户。打了200个电话,就变成了三单,一单3万。传统的电话销售无法达到2%的转化率。”
新京报独角鲸科技(ID:dujiaojingkeji)在设备后台看到,它可以设置自己采集信息的范围,比如1到100米。采集的用户数据可以显示手机号码的前三位和后四位,然后你可以选择直接从设备后台打电话和发短信。无论是打电话还是发短信,都需要付费。短信单价0.06元/条,去电价格0.21元/分钟。
新京报独角鲸科技(ID:dujiaojingkeji)发现,为规避法律风险,上述设备销售公司均未直接提供用户电话号码。在支子盒子的产品介绍中,注明电话接入是“通过正规运营商的大数据服务接口实现的”,“采集的手机号码全部匿名,不存在个人信息。只能通过运营商直接提供的营销渠道接触到客户。”即虽然设备不提供用户的手机号码,但你可以选择从设备后台直接拨打。打电话的方式是先给设备用户打电话,再转到用户手机上。用户收到的呼叫将显示为虚拟号码。
即便如此,上述设备还是能造成打骚扰电话的实际效果。9月初,新京报独角鲸科技(ID:dujiaojingkeji)以电话销售公司的身份联系了一家WiFi探头销售公司。对于拨打电话的方式,该员工表示,因为“买卖手机号码是违法的”,所以只能从平台内部拨打电话,但如果一个一个拨打太麻烦,可以“提供接口电话,通过平台拨打,但可以用你们电话营销公司自己的。
一些公司甚至推出了“人工智能电话销售”的服务。例如,圣亚科技在其“圣亚盒子”的宣传资料中称,“AI电话营销机器人的拨号频率可以达到每天800-1000个电话,是人工拨号的4-5倍。”
▾
打骚扰电话间接识别用户真实身份涉嫌违法?
利用WiFi探头技术推送“强制弹窗”打电话违法吗?有电信专家表示,这类电话可以在未经用户允许的情况下被认定为骚扰电话。法律专家表示,这种未经用户同意收集用户信息的行为违反了法律。来电是一种营销行为,涉嫌侵犯用户的安宁生活权。
那么,这算违规吗?有安全行业专家对新京报独角鲸科技(ID:dujiaojingkeji)表示,手机的Mac地址不属于用户隐私范畴。从产品介绍来看,这些设备的销售者获取用户隐私信息并不违法,但这类设备也需要监管。“应该有专业的管理部门来阻止它做违法的事情。通过WiFi收集用户信息是违法的。”
对于拨打电话推销的行为,在电信专家付亮看来,虽然他们强调是通过“正规运营商渠道”,但渠道合规不等于内容合规。“之前工信部等13部门打击骚扰电话。这种电话必须在没有用户允许的情况下,确定为骚扰电话。如果涉及三大电信运营商,运营商也是违法的。”
除了打电话,许多WiFi探头设备的供应商都推出了用户画像服务。
“此前,WiFi探头技术的应用场景主要有VIP到达提醒、人流监控、区域热点地图、智慧交通甚至考勤等。”李淳说,“而一旦Mac地址与用户画像匹配,就可以达到分析店铺客户的效果。”
9月初,新京报独角鲸科技(ID:dujiaojingkeji)曾获得某WiFi探头设备的后台使用权。新京报独角鲸科技(ID:dujiaojingkeji)在操作过程中发现,只要从后台设置具体的时间,就可以观察到进入设备范围的人的画像构成,包括用户的年龄、学历、收入、运营商、登录喜欢的APP等。这意味着当用户进入设备的数据采集范围时,用户是一个什么样的人,他的爱好在很久以前是如何被记录下来的。
有大数据相关行业人士表示,“只要拿到大数据公司提供的用户画像的接口,就可以在技术上达到上述效果,但前提是谈合作。”
新京报独角鲸科技(ID:dujiaojingkeji)在某音牙盒子的“画像匹配结果”中发现,其用户画像维度精确到27项,如“性别女,25-34岁,本科,旅游专家,无未成年子女,收入3-5k,无车,企业白领,it人员,已婚无房,低档手机等。
“绘制用户画像是很多app的‘隐藏功能’。”李淳说,“比如无论百度、腾讯还是阿里,他们的app都有相关的隐私协议,可以合法读取用户各个维度的数据,从而绘制用户画像,分析客户构成,为广告营销做参考。这些数据可以共享给第三方,但都是脱敏的,有保护数据安全的义务。”例如,百度APP隐私协议规定“我们可能会在不识别您个人身份的情况下,与广告服务提供商/广告主共享您的匿名用户画像,以帮助他们提高有效广告到达率”。
“其实通过多项数据对比,是可以确定一个人的具体信息的。”李淳说。“所以问题在于,这类精准营销设备商在与大数据公司合作获取脱敏用户画像时,如果获得了同时给用户打电话和发短信的权利,用户信息泄露的风险就会增加。”
此前,新京报独角鲸科技(ID:dujiaojingkeji)询问音牙盒子的销售人员是否有更准确的用户信息时,他表示,“只要加一块钱,就可以把用户的微信号给你。比如打电话给意向客户,如果客户有兴趣,可以在后台给客户留言,然后可以把留言信息发给我。有一块钱,我可以给你用户的微信号,你可以加他微信,完成后续的营销。”
对此,宁夏诚拓律师事务所梁律师认为,这种设备是否涉嫌违法要视情况而定。如果是正常收取,没有挪作他用,就不能认定为非法。采集者负有保密和不泄露的义务,不得向他人泄露或出售该信息。如果设备收集信息,非法使用将违反相关法律。
“用户的设备号本身不能识别用户的身份,但一旦与手机号结合,就可以识别用户的真实身份,属于个人信息的范畴。未经用户同意收集用户个人信息,违反了网络安全法等法律的基本规定。此外,商家收集用户信息时即使用户同意,也是一种营销行为,是在收集后通过与移动运营商合作,未经用户同意而知晓用户手机号码的行为,涉嫌侵犯用户的生活安宁权。”10月22日,北京支林律师事务所副主任赵占领对新京报独角鲸科技(ID:dujiaojingkeji)表示。
