爆TCL天气App搜集用户个资 当心42款中国软件(组图)
中国科技企业开发的一款免费气候预报应用程式存在安全隐患(网络截图)
【看中国2019年1月4日讯】(看中国记者黎小葵综合报导)近期只要与中国大陆的科技公司有关的商业行为,都会触及外界“神经”。一家英国资安公司调查发现,由中国科技企业开发的一款免费气象预报应用程式,会透过用户智能手机收集个资,且在未经许可下,让用户订阅一些付费才能使用的服务。
TCL天气App收集用户个资
美国《华尔街日报》(WSJ)引述英国伦敦资安公司“上游系统”(Upstream Systems)的研究报告称,由中国深圳TCL集团开发的“天气预报──世界天气准确雷达”(Weather Forecast——World Weather Accurate Radar)应用程式,正在全球各地搜集大量的身分识别性个资,包括电子邮件、居住地址、手机装置辨识码(IMEI)等,并将其传送回中国大陆。
“天气预报──世界天气准确雷达”号称可提供用户今、明两天,及未来14天,甚至21天的精准气象预报、湿度、风速及能见度。
根据移动应用分析机构“App Annie”数据显示,这款免费气候预报应用程式自2016年12月在Google Play上架以来,下载次数超过1000万。
“App Annie”还指出,2018年,TCL的这款天气应用程序在英国和加拿大成为第六大最受欢迎的程序;2017年,它在美国排得上前20名。而在巴西,墨西哥及菲律宾等国,它更是特别受到欢迎。目前在30个国家它甚至名列前五大气象App。
报导称,迄今为止,这款天气应用程式还曾试图让巴西、马来西亚,及尼日等国的10万多名低成本手机阿尔卡特(Alcatel)用户,付费使用VR服务,而用户若没有提前发现且阻止收费步骤,TCL就将从用户端收到超过150万美元费用。
虽然相关消息曝光后, TCL取消了这种试图让用户付费的设定,但其仍在持续收集用户数据。
也有舆论认为许多受欢迎的手机app都会搜集使用者个资,但美国旧金山行动安全公司Wandera副总裁迈克尔·科文顿(Michael Covington)指出,中国TCL的这款天气App要求的资讯多得超乎规范,其背后的目的令人质疑。
“上游系统”安全部主管曼尼亚提斯(Dimitris Maniatis)也表示,所有资料搜集都是在背景运作,使用者根本没机会可以察觉。
事实上,去年11月《华尔街日报》曾就此事询问TCL,对方后来更新了Android 版App,至于偷偷搜集用户资讯一事,TCL方面曾解释,该程序有多项安全防护机制,不过随后又表示,“正在评估安全顾问为该公司App安全性提供验证。”
谷歌(Google)则以不对单一App置评为由,拒绝发表评论。
去年11月,专门从事行动程式分析的机构“Kochava”,经调查发现,有8款与中国猎豹公司移动有关的行动程式涉嫌广告诈欺,而这8款程式的下载量超过20亿次,诈骗金额高达数百万美元。
这8款程式包括Battery Doctor、Clean Master、Cheetah Keyboard、CM File Manager、CM Locker、CM Launcher 3D、Security Master,及Keyboard,其中前7款都是来自于中国的猎豹移动,最后一款是来自硅谷的新美互通科技(Kika Tech),而猎豹移动亦为新美互通科技的股东之一。
为此,去年12月谷歌暂停了猎豹的CM File Manager、新美互通科技的应用程序。
小心!中国42款App窃取个资
事实上,使用中国App的用户要格外当心。
2017年底,印度政府负责搜集国外情资的印度调查分析局(Research and Analysis Wing)与直属印度总理办公室国安顾问的国家技术研究组织(National Technical Research Organisation),就曾提出一份报告,其中指出中国有42款App存在资安风险,并通知印度军方删除这些软件。
中国有42款App存在资安风险(合成图片)
这42个手机APP包括不少由腾讯、百度、新浪、小米科技等软件开发商制作。安全专家指出,这些软件如果把用户的资料传到设在中国大陆境内的服务器,很容易遭中国政府指挥的骇客部队所用。
不仅如此,中国互联网协会2018年12月29日也召开过一场关于“手机APP收集和使用用户个人信息情况”的会议,证实有14款中国手机App有侵犯用户隐私问题,其中包括QQ音乐、酷我音乐、网易新闻、携程旅行、快手、手机天猫、书旗小说、同程旅游、虎牙直播、熊猫直播、花椒直播、网易有道词典、有道翻译官等软件。
中国互联网协会证实有14款手机App有侵犯用户隐私问题(网络截图)