侵權(quán)投訴
訂閱
糾錯
加入自媒體

美團(tuán)被曝重大安全漏洞,還有多少APP在“偷窺”?

物聯(lián)網(wǎng)智庫 整理發(fā)布

轉(zhuǎn)載請注明來源和出處

導(dǎo)  讀

美團(tuán)因反壟斷罰款、被曝在后臺瘋狂獲取定位等負(fù)面消息陷入輿論漩渦后,再度被曝存在重大安全漏洞,被王思聰怒懟上熱搜。

國慶假期后,美團(tuán)因反壟斷罰款、被曝在后臺瘋狂獲取定位等負(fù)面消息陷入輿論漩渦,就在昨天,王思聰?shù)囊粭l微博再次將美團(tuán)推向了風(fēng)口浪尖——

10月10日,王思聰在微博上質(zhì)問大眾點(diǎn)評,其個人賬號“莫名其妙就能被別人改綁手機(jī)”,更是直言:“這就是上萬億市值公司的安全系統(tǒng)嗎?”至此,王思聰對大眾點(diǎn)評的指控中看似與美團(tuán)并無聯(lián)系,但一切的根源其實(shí)是其美團(tuán)賬號被盜。半小時后,他再度轉(zhuǎn)發(fā)該條微博,并配文:震驚!國家數(shù)據(jù)安全法實(shí)施后市值萬億的美團(tuán)點(diǎn)評依舊我行我素!

手機(jī)號+生日就可以換綁手機(jī)?

王思聰之所以會收到大眾點(diǎn)評的系統(tǒng)提示,是因?yàn)槠湓诿缊F(tuán)平臺登錄賬號綁定的手機(jī)在不知情的情況下被篡改,而大眾點(diǎn)評早在2015年便已經(jīng)與美團(tuán)達(dá)成戰(zhàn)略合作,雙方使用統(tǒng)一的賬號體系,所以用戶在美團(tuán)對賬號進(jìn)行換綁或者注銷時都將同步影響到其對應(yīng)的大眾點(diǎn)評賬號。

10日晚間,大眾點(diǎn)評在微博上回復(fù)了王思聰——“非常抱歉給王思聰帶來了不愉快的用戶體驗(yàn),相關(guān)賬號已在王思聰反饋后的第一時間內(nèi)予以保護(hù)性凍結(jié)。相關(guān)問題的核查已有初步信息,我們會在私信中與您同步!

但“始作俑者”美團(tuán)卻并未發(fā)聲,而就在其沉默期間,卻有網(wǎng)友曝出了美團(tuán)的重大安全漏洞,并表示這或許就是王思聰被改綁手機(jī)號的主要原因,即只需要獲得用戶手機(jī)號和生日,就可以換綁手機(jī)號,然后就能看到此前的各種美團(tuán)訂餐訂單、買藥訂單、開房訂單、家庭住址等私密信息。

該博主表示,“我剛才試了一下,整個過程行云流水,如探囊取物”。據(jù)網(wǎng)友透露,目前美團(tuán)已經(jīng)針對該問題調(diào)整了策略,限制為“暫只支持最近6個月修改過賬號綁定手機(jī)號的用戶”。

圖源:微博網(wǎng)友@蘿卜在填坑

不僅如此,爆料美團(tuán)重大安全漏洞的博主在10月10日上午還發(fā)布了一段視頻,稱美團(tuán)APP連續(xù)24小時、每5分鐘定位一次。視頻中,博主@軒寧軒sir利用“隱私洞見”APP分析了美團(tuán)軟件的后臺活動,記錄顯示,美團(tuán)App以5分鐘為間隔,從凌晨到深夜持續(xù)索取定位信息。而且在這個時間段中,用戶顯然不可能一直在開啟美團(tuán)使用,也就是說大概率是在后臺偷偷運(yùn)行。

誠然,無論是美團(tuán)還是大眾點(diǎn)評都已經(jīng)從最初的拼團(tuán)、外賣平臺升級為覆蓋出行、住宿、娛樂、醫(yī)療、生活繳費(fèi)、甚至理財?shù)木C合性服務(wù)平臺,其背后牽扯的個人信息也遠(yuǎn)不止一個手機(jī)號或收貨地址這么簡單。而面對如此高頻次、高私密性的個人數(shù)據(jù),美團(tuán)僅僅在客戶端的安全系統(tǒng)便與之極不匹配,對于其后端網(wǎng)絡(luò)防護(hù)能否經(jīng)受住黑客攻擊,我們也不得而知。正如王思聰所言,這就是上萬億市值公司的安全系統(tǒng)嗎?

看不見的APP后臺活動

其實(shí),最近一段時間內(nèi)被網(wǎng)友口誅筆伐的不止美團(tuán)一家。隨著蘋果iOS 15系統(tǒng)的廣泛推送,其新增的“記錄App活動”功能可謂是打開了新世界的大門,用戶利用該功能可以對應(yīng)用獲取存儲、通話記錄、定位等數(shù)據(jù)的行為進(jìn)行監(jiān)控、詳細(xì)記錄。

基于此,有網(wǎng)友發(fā)現(xiàn)iOS版微信、淘寶、QQ等應(yīng)用,在未注冊App,未在前臺使用的前提下,在后臺頻繁讀取用戶相冊,頻率也十分高。要想在iOS 15中阻止這類行為,除了每次徹底殺死后臺,還需要手動設(shè)置,關(guān)閉「后臺App自動刷新」開關(guān),同時更改應(yīng)用權(quán)限才可以。而在iOS系統(tǒng)推出記錄APP活動功能前,用戶對于這些軟件的后臺行為一無所知,這也引起了網(wǎng)友的極大不滿。

圖源:工人日報

對于網(wǎng)友的質(zhì)疑,微信回應(yīng)稱:在用戶授權(quán)微信可以讀取“系統(tǒng)相冊權(quán)限”前提下,為便于用戶在微信聊天中按“+”時可以快速發(fā)圖,微信使用了iOS系統(tǒng)提供的相冊更新通知標(biāo)準(zhǔn)能力,使用戶發(fā)送圖片體驗(yàn)更快速流暢。微信同時表示,該行為僅在手機(jī)本地完成,最新版本中將取消對該系統(tǒng)能力的使用,優(yōu)化快速發(fā)圖功能。

盡管微信認(rèn)錯態(tài)度良好,但仍有網(wǎng)友不買賬——以“為用戶方便”就可以隨意讀取私人相冊?如果不被發(fā)現(xiàn),微信就不會優(yōu)化內(nèi)部功能而是繼續(xù)濫用個人隱私嗎?如何保證新功能不會侵害用戶隱私?

無論是美團(tuán)的瘋狂定位、安全漏洞,還是微信/QQ/淘寶的私自讀取相冊,之所以會引起廣大網(wǎng)友的強(qiáng)烈不滿,主要是因?yàn)槠脚_的暗箱操作。近年來,用戶對于個人信息愈發(fā)敏感,但APP違規(guī)收集個人信息、過度索權(quán)、頻繁騷擾、侵害用戶權(quán)益等問題屢見不鮮。而在互聯(lián)網(wǎng)高度滲透的今天,面對平臺的得寸進(jìn)尺,除了憤怒與無奈,用戶似乎別無他法。

同時,用戶數(shù)據(jù)安全問題也引起了國家相關(guān)部門的重點(diǎn)關(guān)注,對于各類常見APP收集個人信息的范圍,今年5月1日起施行的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》有明確界定。比如,即時通信類的APP,可以收集的必要個人信息只包括注冊用戶移動電話號碼以及賬號、即時通信聯(lián)系人賬號列表,而用戶相冊顯然并不在其中。

在此之前,工信部信管局于2020年7月發(fā)布了《縱深推進(jìn)APP侵害用戶權(quán)益專項整治通知》,開始對對國內(nèi)主流應(yīng)用商店用戶使用率比較高的44萬款A(yù)PP完成技術(shù)檢測工作,并陸續(xù)責(zé)令千余款違規(guī)APP進(jìn)行整改。此外,工信部還開展了APP侵害用戶權(quán)益專項整治工作,重點(diǎn)之一就是針對私自收集個人信息、超范圍收集個人信息等問題進(jìn)行監(jiān)督檢查和規(guī)范整治。針對存在問題的APP,具體處理措施包括責(zé)令整改、向社會公告、組織APP下架、停止APP接入服務(wù),以及將受到行政處罰的違規(guī)主體納入電信業(yè)務(wù)經(jīng)營不良名單或失信名單等。

寫在最后

可以看出工信部等相關(guān)部門對于個人信息收集保持著極高的關(guān)注度,而正是在此重拳打擊之下,仍有大廠頂風(fēng)作案,此番美團(tuán)事件也是由微博粉絲量4142萬的“網(wǎng)紅”王思聰掀開遮羞布,但若是換成毫無影響力的普通網(wǎng)友恐怕指控便要石沉大海了。毫無疑問,無論是微信、QQ、淘寶,亦或美團(tuán)、大眾點(diǎn)評,都已經(jīng)成為了人們生活中無可取代的軟件平臺,但這也絕不應(yīng)成為企業(yè)漠視用戶隱私的原因!

參考資料:

1.《還有多少我們不知道的“偷窺”?》,工人日報

2.《被別人改綁手機(jī)號?王思聰怒懟大眾點(diǎn)評!平臺緊急回應(yīng)》,上觀新聞

聲明: 本文由入駐維科號的作者撰寫,觀點(diǎn)僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標(biāo)題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗(yàn) 證 碼:

    粵公網(wǎng)安備 44030502002758號