5中資手機Apps取用戶敏感資料 淘寶全球資料即傳內地伺服器 專家:可監控用戶生活
【明報專訊】繼來電攔截程式泄露全球30億人的電話號碼後,再爆出手機應用程式私隱危機。傳真社測試5款中資開發的應用程式,包括微信(WeChat)、淘寶、淘寶全球、支付寶錢包及天貓,發現上述程式都會存取並記錄可識別用戶身分的敏感資料,淘寶全球甚至即時把資料傳送到內地伺服器。電腦保安專家指出,整合從不同應用程式收集的資料便可監控用戶生活,建議避免使用或在常用的手機安裝可疑應用程式。
傳真社測試證實,上述應用程式要求用戶授權「讀取手機狀態及識別碼」,後者包括每部手機獨有的國際移動設備識別碼(IMEI);電訊商為個別裝置所編號碼(IMSI);以及每張SIM卡獨有的識別碼(ICCID),均可識別用戶身分。這些資料在首次開啟程式時便被記錄,程式另會存取用戶電話號碼、位置及錄音。傳真社為敏感資料加上記號,追蹤發現淘寶全球把用戶的IMEI和IMSI傳送至杭州阿里巴巴廣告有限公司。此外,支付寶錢包的安裝檔含木馬程式,可攔截並盜取用戶短訊;淘寶則有惡意軟件,可盜取手機內資訊。
倡用低額信用卡 勿解除原廠限制
華爾基利信息安全研究組織電腦保安研究員賴灼東指出,不同應用程式收集的資料各異,只要把資料整合及互相比對,便可了解用戶生活習慣,例如透過購物和位置紀錄,知道其常買商品、常到訪地點等,達到監控效果。他建議避免使用可疑應用程式,至少不要在常用的手機安裝;若需登記信用卡資料作網上購物,最好選擇信用限額較低的信用卡。
賴與資訊科技界立法會議員莫乃光都不鼓勵root機(解除原廠限制)。賴指出,原廠設定不准應用程式存取手機內部分只限系統使用的功能,若用戶自行解除限制,等於容許應用程式變成手機管理員,輕易提取資料。莫補充,root機後易受間諜軟件攻擊。
禁個人資料轉移外地 條例未生效
個人資料私隱專員公署回覆表示,不宜評論個別應用程式是否違規。《個人資料(私隱)條例》第33條禁止把個人資料轉移至香港以外地方,目前尚未生效。法政匯思發言人蔡騏指出,由於用戶已同意應用程式條款,且《條例》第33條未生效,應用程式營運商毋須獲用戶同意便可轉移資料至內地。公署建議用戶安裝程式前查明其私隱政策;安裝後定期檢視其權限設定,如有懷疑應移除程式。
阿里巴巴:驗證身分反詐騙之用
開發淘寶、淘寶全球及天貓的阿里巴巴集團回覆傳真社,識別碼及電話號碼用於驗證用戶身分及反詐騙等安全措施,例如IMEI用以判斷帳戶有否被盜用,以提示用戶需重新登錄。集團亦否認淘寶有惡意軟件。螞蟻金服回覆表示,支付寶錢包在得到用戶授權後收集其手機識別碼,用以保障用戶的帳戶安全。WeChat則未作回應。
泊路邊修運報車 單親父撞斃 打死火燈仍遭殃 遺18歲內向無業兒
【明報專訊】駕貨車通宵運送報紙的單親父親,昨凌晨開工其間,貨車在葵涌故障停泊路邊,亮起「死火燈」後站在車頭檢查機件,詎料貨車被後上另一貨車收... 詳情
「大家開心 可忘病痛」 骨癌婆婆回家 笑走最後一程
【明報專訊】人生最後一段旅程,未必要在醫院度過。患骨癌的77歲姚婆婆常常出入醫院,今年9月離開醫院的寧養病房,回家與家人相敘。家人細心照顧,... 詳情
