美圖秀秀一直以來都是女性用戶最愛使用的修圖、美肌軟體,但最近又推出了異次元功能更是造成海內外的爆紅,不過大陸軟體總是會讓人擔心個資外流,最近有國外媒體網站Android Police公布了這套APP會自動將用戶手機資訊往特定大陸位置上傳送,造成個資隱私權上的最大危機事件!
Android Police 針對美圖秀秀的APK進行反組譯研究分析,發現程式碼資料中發現會針對Android要求長達23種要求權限,包含有網路存取、實際IP位置、MAC碼、更改設定等,另還可以強迫用戶接收資料,這部分主要是要用來針對用戶群體進行投放廣告資訊,以及 REMOTE_CONTROLLER 功能,可達成遠端控制用戶設備。
另還有其他開發者@rekrom12 也發現到,裡面夾帶「MTAnalyticsAdLogEntity.java」檔案,是可將用戶設備資訊、解析度、Android版本、MAC位置與IMEI碼等,全數傳送回官方指定的大陸伺服器IP位置「110.173.196.36、124.243.219.159、42.62.120.41」。
@Laughing_Mantis I had my doubts but guess what!
Destination
110.173.196.36
124.243.219.159
42.62.120.41
_IMEI pic.twitter.com/zV66cMm5AO— FourOctets (@FourOctets) 2017年1月19
Android 在許多APP控管上都非常不嚴謹,甚至連APK隨意都能從不同管道下載與安裝,造成許多用戶會不小心導致自己的個資隱私流出,嚴重點也導致陷入資安危機中,這問題在不少大陸資安事件中不斷上演,實際上大多都是沒有被挖掘揭開,偷偷在未經用戶同意下蒐集這些多餘的資訊與控制權限。
但在免費的前提下,正所謂天下沒有白吃的午餐,在不想花錢的前提下,要APP研發、人事成本與維護都需要花錢,如何維持公司的營運?相信就會透過不同的方式來獲取,官方也澄清這是為了用來分析大數據與投放廣告使用,沒有做其他用途,要是大陸政府想直接從這些資料庫撈資訊,或是配合政府的行動,畢竟在大陸公司不向是蘋果公司可拒絕政府,似乎也不得不配合,或許這對於注重資安與隱私比較不在意的用戶來說,完全是沒有任何差別,但對於注重用戶來講就可能好好考慮一下這問題。
這件事情爆發後,美圖秀秀也即時發出澄清文章,挽回用戶信任,可看完這篇說法是否認為自己的資訊可妥善被保存在這間公司的主機上?
美圖秀秀官方像媒體澄清全文
您好 來函主要是想溝通目前海外關於美圖的部分報導。
昨天,有部分海外媒體質疑了美圖產品對用戶個人信息的保護問題。美圖一向尊重用戶隱私,珍視用戶對我們的信任,為避免誤會進一步擴散,特此與您溝通,希望能夠通過您網站的影響力,讓更多人知道美圖在保護用戶隱私方面的努力與態度,繼續喜愛美圖產品。
美圖嚴格遵守各大平台安全條款,嚴格保護用戶隱私:
• 在 iOS 平台,沒有申請 Apple 開發者手冊所允許以外的權限。
• Android 使用的特殊權限包括:
• <uses-permission android:name=”android.permission.READ_PHONE_STATE”/>
• <uses-permission android:name=”android.permission.ACCESS_WIFI_STATE”/>
• <uses-permission android:name=”android.permission.ACCESS_FINE_LOCATION”/>
需要注意,我們並沒有拿用戶的電話號碼這個信息。
以下是我們使用的數據說明是:
• 我們使用這些數據來進行用戶數據統計(安裝、活躍度等)。因為中國市場無法使用 Google Play(被隔離),因此我們使用第三方和自己的統計系統。為了確保統計信息的統一性,我們使用了以下內容:
• Mac Address/IMEI:我們在部分情況下無法同時獲取兩者信息,部分情況下不同設備會出現上述設備 ID 相同的情況,因此需要兩個 ID 組合成唯一 ID 來標識用戶設備
• 局域網 IP 地址:防止商業作弊
• SIM 卡國家編碼(用於粗略定位國家)
• 定位(GPS,網絡定位):區分國家和地區,作為廣告系統的投放標準
• 運營商信息是標準的統計資訊之一,可以參考知名第三方統計工具 Flurry
美圖一向高度重視客戶個人信息保護工作,在用戶信息方面:
我們採用 https 傳輸協議對用戶的信息進行加密傳輸,保障用戶信息在傳輸中的安全。並且用戶的信息進行強制且多層加密存儲,防止用戶數據洩露。此外,我們的服務器執行嚴格的權限訪問控制,機房配備高級防火牆以及 IDS、IPS 設備,阻斷外來攻擊,我們同時配備專業的安全團隊進行 24 小時安全應急響應,第一時間保護用戶的隱私安全。
美圖的內部系統執行嚴格的訪問授權機制,限制員工接觸用戶資料。
美圖一直嚴格遵守各大平台策略,沒有竊取用戶信息用於任何非法用途,如您需要更多信息,也歡迎隨時和我們溝通。
喜歡這篇文章教學,後續想了解更多Apple資訊、iPhone、Mac、3C隱藏技巧,歡迎追蹤 瘋先生FB粉絲團、瘋先生LINE@、訂閱瘋先生Google新聞、Telegram、Instagram以及 訂閱YouTube頻道,將會有更多非常實用的技巧教學分享給大家。