物聯網智庫 整理發布

轉載請注明來源和出處

導  讀

美團因反壟斷罰款、被曝在后臺瘋狂獲取定位等負面消息陷入輿論漩渦后,再度被曝存在重大安全漏洞,被王思聰怒懟上熱搜。

國慶假期后,美團因反壟斷罰款、被曝在后臺瘋狂獲取定位等負面消息陷入輿論漩渦,就在昨天,王思聰的一條微博再次將美團推向了風口浪尖——

10月10日,王思聰在微博上質問大眾點評,其個人賬號“莫名其妙就能被別人改綁手機”,更是直言:“這就是上萬億市值公司的安全系統嗎?”至此,王思聰對大眾點評的指控中看似與美團并無聯系,但一切的根源其實是其美團賬號被盜。半小時后,他再度轉發該條微博,并配文:震驚!國家數據安全法實施后市值萬億的美團點評依舊我行我素!

手機號+生日就可以換綁手機?

王思聰之所以會收到大眾點評的系統提示,是因為其在美團平臺登錄賬號綁定的手機在不知情的情況下被篡改,而大眾點評早在2015年便已經與美團達成戰略合作,雙方使用統一的賬號體系,所以用戶在美團對賬號進行換綁或者注銷時都將同步影響到其對應的大眾點評賬號。

10日晚間,大眾點評在微博上回復了王思聰——“非常抱歉給王思聰帶來了不愉快的用戶體驗,相關賬號已在王思聰反饋后的第一時間內予以保護性凍結。相關問題的核查已有初步信息,我們會在私信中與您同步。”

但“始作俑者”美團卻并未發聲,而就在其沉默期間,卻有網友曝出了美團的重大安全漏洞,并表示這或許就是王思聰被改綁手機號的主要原因,即只需要獲得用戶手機號和生日,就可以換綁手機號,然后就能看到此前的各種美團訂餐訂單、買藥訂單、開房訂單、家庭住址等私密信息。

該博主表示,“我剛才試了一下,整個過程行云流水,如探囊取物”。據網友透露,目前美團已經針對該問題調整了策略,限制為“暫只支持最近6個月修改過賬號綁定手機號的用戶”。

圖源:微博網友@蘿卜在填坑

不僅如此,爆料美團重大安全漏洞的博主在10月10日上午還發布了一段視頻,稱美團APP連續24小時、每5分鐘定位一次。視頻中,博主@軒寧軒sir利用“隱私洞見”APP分析了美團軟件的后臺活動,記錄顯示,美團App以5分鐘為間隔,從凌晨到深夜持續索取定位信息。而且在這個時間段中,用戶顯然不可能一直在開啟美團使用,也就是說大概率是在后臺偷偷運行。

誠然,無論是美團還是大眾點評都已經從最初的拼團、外賣平臺升級為覆蓋出行、住宿、娛樂、醫療、生活繳費、甚至理財的綜合性服務平臺,其背后牽扯的個人信息也遠不止一個手機號或收貨地址這么簡單。而面對如此高頻次、高私密性的個人數據,美團僅僅在客戶端的安全系統便與之極不匹配,對于其后端網絡防護能否經受住黑客攻擊,我們也不得而知。正如王思聰所言,這就是上萬億市值公司的安全系統嗎?

看不見的APP后臺活動

其實,最近一段時間內被網友口誅筆伐的不止美團一家。隨著蘋果iOS 15系統的廣泛推送,其新增的“記錄App活動”功能可謂是打開了新世界的大門,用戶利用該功能可以對應用獲取存儲、通話記錄、定位等數據的行為進行監控、詳細記錄。

基于此,有網友發現iOS版微信、淘寶、QQ等應用,在未注冊App,未在前臺使用的前提下,在后臺頻繁讀取用戶相冊,頻率也十分高。要想在iOS 15中阻止這類行為,除了每次徹底殺死后臺,還需要手動設置,關閉「后臺App自動刷新」開關,同時更改應用權限才可以。而在iOS系統推出記錄APP活動功能前,用戶對于這些軟件的后臺行為一無所知,這也引起了網友的極大不滿。

圖源:工人日報

對于網友的質疑,微信回應稱:在用戶授權微信可以讀取“系統相冊權限”前提下,為便于用戶在微信聊天中按“+”時可以快速發圖,微信使用了iOS系統提供的相冊更新通知標準能力,使用戶發送圖片體驗更快速流暢。微信同時表示,該行為僅在手機本地完成,最新版本中將取消對該系統能力的使用,優化快速發圖功能。

盡管微信認錯態度良好,但仍有網友不買賬——以“為用戶方便”就可以隨意讀取私人相冊?如果不被發現,微信就不會優化內部功能而是繼續濫用個人隱私嗎?如何保證新功能不會侵害用戶隱私?

無論是美團的瘋狂定位、安全漏洞,還是微信/QQ/淘寶的私自讀取相冊,之所以會引起廣大網友的強烈不滿,主要是因為平臺的暗箱操作。近年來,用戶對于個人信息愈發敏感,但APP違規收集個人信息、過度索權、頻繁騷擾、侵害用戶權益等問題屢見不鮮。而在互聯網高度滲透的今天,面對平臺的得寸進尺,除了憤怒與無奈,用戶似乎別無他法。

同時,用戶數據安全問題也引起了國家相關部門的重點關注,對于各類常見APP收集個人信息的范圍,今年5月1日起施行的《常見類型移動互聯網應用程序必要個人信息范圍規定》有明確界定。比如,即時通信類的APP,可以收集的必要個人信息只包括注冊用戶移動電話號碼以及賬號、即時通信聯系人賬號列表,而用戶相冊顯然并不在其中。

在此之前,工信部信管局于2020年7月發布了《縱深推進APP侵害用戶權益專項整治通知》,開始對對國內主流應用商店用戶使用率比較高的44萬款APP完成技術檢測工作,并陸續責令千余款違規APP進行整改。此外,工信部還開展了APP侵害用戶權益專項整治工作,重點之一就是針對私自收集個人信息、超范圍收集個人信息等問題進行監督檢查和規范整治。針對存在問題的APP,具體處理措施包括責令整改、向社會公告、組織APP下架、停止APP接入服務,以及將受到行政處罰的違規主體納入電信業務經營不良名單或失信名單等。

寫在最后

可以看出工信部等相關部門對于個人信息收集保持著極高的關注度,而正是在此重拳打擊之下,仍有大廠頂風作案,此番美團事件也是由微博粉絲量4142萬的“網紅”王思聰掀開遮羞布,但若是換成毫無影響力的普通網友恐怕指控便要石沉大海了。毫無疑問,無論是微信、QQ、淘寶,亦或美團、大眾點評,都已經成為了人們生活中無可取代的軟件平臺,但這也絕不應成為企業漠視用戶隱私的原因!

參考資料:

1．《還有多少我們不知道的“偷窺”?》,工人日報

2．《被別人改綁手機號?王思聰怒懟大眾點評!平臺緊急回應》,上觀新聞