物聯(lián)網(wǎng)智庫(kù) 整理發(fā)布

轉(zhuǎn)載請(qǐng)注明來源和出處

導(dǎo)  讀

美團(tuán)因反壟斷罰款、被曝在后臺(tái)瘋狂獲取定位等負(fù)面消息陷入輿論漩渦后,再度被曝存在重大安全漏洞,被王思聰怒懟上熱搜。

國(guó)慶假期后,美團(tuán)因反壟斷罰款、被曝在后臺(tái)瘋狂獲取定位等負(fù)面消息陷入輿論漩渦,就在昨天,王思聰?shù)囊粭l微博再次將美團(tuán)推向了風(fēng)口浪尖——

10月10日,王思聰在微博上質(zhì)問大眾點(diǎn)評(píng),其個(gè)人賬號(hào)“莫名其妙就能被別人改綁手機(jī)”,更是直言:“這就是上萬億市值公司的安全系統(tǒng)嗎?”至此,王思聰對(duì)大眾點(diǎn)評(píng)的指控中看似與美團(tuán)并無聯(lián)系,但一切的根源其實(shí)是其美團(tuán)賬號(hào)被盜。半小時(shí)后,他再度轉(zhuǎn)發(fā)該條微博,并配文:震驚!國(guó)家數(shù)據(jù)安全法實(shí)施后市值萬億的美團(tuán)點(diǎn)評(píng)依舊我行我素!

手機(jī)號(hào)+生日就可以換綁手機(jī)?

王思聰之所以會(huì)收到大眾點(diǎn)評(píng)的系統(tǒng)提示,是因?yàn)槠湓诿缊F(tuán)平臺(tái)登錄賬號(hào)綁定的手機(jī)在不知情的情況下被篡改,而大眾點(diǎn)評(píng)早在2015年便已經(jīng)與美團(tuán)達(dá)成戰(zhàn)略合作,雙方使用統(tǒng)一的賬號(hào)體系,所以用戶在美團(tuán)對(duì)賬號(hào)進(jìn)行換綁或者注銷時(shí)都將同步影響到其對(duì)應(yīng)的大眾點(diǎn)評(píng)賬號(hào)。

10日晚間,大眾點(diǎn)評(píng)在微博上回復(fù)了王思聰——“非常抱歉給王思聰帶來了不愉快的用戶體驗(yàn),相關(guān)賬號(hào)已在王思聰反饋后的第一時(shí)間內(nèi)予以保護(hù)性凍結(jié)。相關(guān)問題的核查已有初步信息,我們會(huì)在私信中與您同步�！�

但“始作俑者”美團(tuán)卻并未發(fā)聲,而就在其沉默期間,卻有網(wǎng)友曝出了美團(tuán)的重大安全漏洞,并表示這或許就是王思聰被改綁手機(jī)號(hào)的主要原因,即只需要獲得用戶手機(jī)號(hào)和生日,就可以換綁手機(jī)號(hào),然后就能看到此前的各種美團(tuán)訂餐訂單、買藥訂單、開房訂單、家庭住址等私密信息。

該博主表示,“我剛才試了一下,整個(gè)過程行云流水,如探囊取物”。據(jù)網(wǎng)友透露,目前美團(tuán)已經(jīng)針對(duì)該問題調(diào)整了策略,限制為“暫只支持最近6個(gè)月修改過賬號(hào)綁定手機(jī)號(hào)的用戶”。

圖源:微博網(wǎng)友@蘿卜在填坑

不僅如此,爆料美團(tuán)重大安全漏洞的博主在10月10日上午還發(fā)布了一段視頻,稱美團(tuán)APP連續(xù)24小時(shí)、每5分鐘定位一次。視頻中,博主@軒寧軒sir利用“隱私洞見”APP分析了美團(tuán)軟件的后臺(tái)活動(dòng),記錄顯示,美團(tuán)App以5分鐘為間隔,從凌晨到深夜持續(xù)索取定位信息。而且在這個(gè)時(shí)間段中,用戶顯然不可能一直在開啟美團(tuán)使用,也就是說大概率是在后臺(tái)偷偷運(yùn)行。

誠(chéng)然,無論是美團(tuán)還是大眾點(diǎn)評(píng)都已經(jīng)從最初的拼團(tuán)、外賣平臺(tái)升級(jí)為覆蓋出行、住宿、娛樂、醫(yī)療、生活繳費(fèi)、甚至理財(cái)?shù)木C合性服務(wù)平臺(tái),其背后牽扯的個(gè)人信息也遠(yuǎn)不止一個(gè)手機(jī)號(hào)或收貨地址這么簡(jiǎn)單。而面對(duì)如此高頻次、高私密性的個(gè)人數(shù)據(jù),美團(tuán)僅僅在客戶端的安全系統(tǒng)便與之極不匹配,對(duì)于其后端網(wǎng)絡(luò)防護(hù)能否經(jīng)受住黑客攻擊,我們也不得而知。正如王思聰所言,這就是上萬億市值公司的安全系統(tǒng)嗎?

看不見的APP后臺(tái)活動(dòng)

其實(shí),最近一段時(shí)間內(nèi)被網(wǎng)友口誅筆伐的不止美團(tuán)一家。隨著蘋果iOS 15系統(tǒng)的廣泛推送,其新增的“記錄App活動(dòng)”功能可謂是打開了新世界的大門,用戶利用該功能可以對(duì)應(yīng)用獲取存儲(chǔ)、通話記錄、定位等數(shù)據(jù)的行為進(jìn)行監(jiān)控、詳細(xì)記錄。

基于此,有網(wǎng)友發(fā)現(xiàn)iOS版微信、淘寶、QQ等應(yīng)用,在未注冊(cè)App,未在前臺(tái)使用的前提下,在后臺(tái)頻繁讀取用戶相冊(cè),頻率也十分高。要想在iOS 15中阻止這類行為,除了每次徹底殺死后臺(tái),還需要手動(dòng)設(shè)置,關(guān)閉「后臺(tái)App自動(dòng)刷新」開關(guān),同時(shí)更改應(yīng)用權(quán)限才可以。而在iOS系統(tǒng)推出記錄APP活動(dòng)功能前,用戶對(duì)于這些軟件的后臺(tái)行為一無所知,這也引起了網(wǎng)友的極大不滿。

圖源:工人日?qǐng)?bào)

對(duì)于網(wǎng)友的質(zhì)疑,微信回應(yīng)稱:在用戶授權(quán)微信可以讀取“系統(tǒng)相冊(cè)權(quán)限”前提下,為便于用戶在微信聊天中按“+”時(shí)可以快速發(fā)圖,微信使用了iOS系統(tǒng)提供的相冊(cè)更新通知標(biāo)準(zhǔn)能力,使用戶發(fā)送圖片體驗(yàn)更快速流暢。微信同時(shí)表示,該行為僅在手機(jī)本地完成,最新版本中將取消對(duì)該系統(tǒng)能力的使用,優(yōu)化快速發(fā)圖功能。

盡管微信認(rèn)錯(cuò)態(tài)度良好,但仍有網(wǎng)友不買賬——以“為用戶方便”就可以隨意讀取私人相冊(cè)?如果不被發(fā)現(xiàn),微信就不會(huì)優(yōu)化內(nèi)部功能而是繼續(xù)濫用個(gè)人隱私嗎?如何保證新功能不會(huì)侵害用戶隱私?

無論是美團(tuán)的瘋狂定位、安全漏洞,還是微信/QQ/淘寶的私自讀取相冊(cè),之所以會(huì)引起廣大網(wǎng)友的強(qiáng)烈不滿,主要是因?yàn)槠脚_(tái)的暗箱操作。近年來,用戶對(duì)于個(gè)人信息愈發(fā)敏感,但APP違規(guī)收集個(gè)人信息、過度索權(quán)、頻繁騷擾、侵害用戶權(quán)益等問題屢見不鮮。而在互聯(lián)網(wǎng)高度滲透的今天,面對(duì)平臺(tái)的得寸進(jìn)尺,除了憤怒與無奈,用戶似乎別無他法。

同時(shí),用戶數(shù)據(jù)安全問題也引起了國(guó)家相關(guān)部門的重點(diǎn)關(guān)注,對(duì)于各類常見APP收集個(gè)人信息的范圍,今年5月1日起施行的《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》有明確界定。比如,即時(shí)通信類的APP,可以收集的必要個(gè)人信息只包括注冊(cè)用戶移動(dòng)電話號(hào)碼以及賬號(hào)、即時(shí)通信聯(lián)系人賬號(hào)列表,而用戶相冊(cè)顯然并不在其中。

在此之前,工信部信管局于2020年7月發(fā)布了《縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治通知》,開始對(duì)對(duì)國(guó)內(nèi)主流應(yīng)用商店用戶使用率比較高的44萬款A(yù)PP完成技術(shù)檢測(cè)工作,并陸續(xù)責(zé)令千余款違規(guī)APP進(jìn)行整改。此外,工信部還開展了APP侵害用戶權(quán)益專項(xiàng)整治工作,重點(diǎn)之一就是針對(duì)私自收集個(gè)人信息、超范圍收集個(gè)人信息等問題進(jìn)行監(jiān)督檢查和規(guī)范整治。針對(duì)存在問題的APP,具體處理措施包括責(zé)令整改、向社會(huì)公告、組織APP下架、停止APP接入服務(wù),以及將受到行政處罰的違規(guī)主體納入電信業(yè)務(wù)經(jīng)營(yíng)不良名單或失信名單等。

寫在最后

可以看出工信部等相關(guān)部門對(duì)于個(gè)人信息收集保持著極高的關(guān)注度,而正是在此重拳打擊之下,仍有大廠頂風(fēng)作案,此番美團(tuán)事件也是由微博粉絲量4142萬的“網(wǎng)紅”王思聰掀開遮羞布,但若是換成毫無影響力的普通網(wǎng)友恐怕指控便要石沉大海了。毫無疑問,無論是微信、QQ、淘寶,亦或美團(tuán)、大眾點(diǎn)評(píng),都已經(jīng)成為了人們生活中無可取代的軟件平臺(tái),但這也絕不應(yīng)成為企業(yè)漠視用戶隱私的原因!

參考資料:

1．《還有多少我們不知道的“偷窺”?》,工人日?qǐng)?bào)

2．《被別人改綁手機(jī)號(hào)?王思聰怒懟大眾點(diǎn)評(píng)!平臺(tái)緊急回應(yīng)》,上觀新聞