繼來電攔截程式泄露全球30億人的電話號碼後,現再爆出手機應用程式私隱危機。
傳真社測試5款中資開發的應用程式,包括微信(WeChat)、淘寶、淘寶全球、支付寶錢包及天貓,發現上述程式,都會存取並記錄可識別用戶身分的敏感資料,淘寶全球甚至即時把資料傳送到內地伺服器。
電腦保安專家指出,整合從不同應用程式收集的資料便可監控用戶生活,建議避免使用或在常用的手機安裝可疑應用程式。
傳真社測試證實,上述應用程式要求用戶授權“讀取手機狀態及識別碼”,後者包括每部手機獨有的國際移動設備識別碼(IMEI);電訊商為個別裝置所編號碼(IMSI);以及每張SIM卡獨有的識別碼(ICCID),均可識別用戶身分。
這些資料在首次開啟程式時便被記錄,程式另會存取用戶電話號碼、位置及錄音。
傳真社為敏感資料加上記號,追蹤發現淘寶全球把用戶的IMEI和IMSI傳送至杭州阿里巴巴廣告有限公司。
此外,支付寶錢包的安裝檔含木馬程式,可攔截並盜取用戶短訊;淘寶則有惡意軟件,可盜取手機內資訊。
華爾基利信息安全研究組織電腦保安研究員賴灼東指出,不同應用程式收集的資料各異,只要把資料整合及互相比對,便可了解用戶生活習慣,例如透過購物和位置紀錄,知道其常買商品、常到訪地點等,達到監控效果。
他建議避免使用可疑應用程式,至少不要在常用的手機安裝;若需登記信用卡資料作網上購物,最好選擇信用限額較低的信用卡。
文∕綜合報導
圖∕互聯網