港人近年常用的內地支付Apps,被指可以記錄用戶手機敏感資料,更可用作追蹤和監聽。傳真社報道,該社利用開放原始碼組合程式,分析應用程式供應商收集用戶資料情況,發現5款由內地公司開發的熱門網絡支付應用程式,包括WeChat、淘寶、淘寶全球、支付寶錢包及天貓,可識別用戶身份、記錄活動和位置定位等敏感資料存取成檔,更可隨時傳送到內地的伺服器。根據香港區Google Play,5款應用程式合共錄得至少逾億次下載量。
電腦及黑客技術專家指,相關敏感資料被收集後,用戶在手機中一舉一動,都可能被追蹤、監視或監聽。香港個人資料私隱專員公署指出,香港目前並無條文禁止個人資料轉移至香港以外地方。
基於技術所限,該社的分析僅限Android系統應用程式,不包括iOS系統應用程式。分析發現5個程式在安裝時即取得「讀取手機狀態及識別碼」權限,即可隨時存取用戶國際移動設備識別碼(IMEI)、國際移動用戶識別碼(IMSI)、SIM卡編碼(ICCID)、電話號碼、通話狀態、通話對方電話號碼等敏感資料。
當中靜態分析發現,5個程式均會取得管理或使用指紋、存取位置以及錄音權限,用戶安裝有關程式時已授權程式讀寫檔案、使用網絡等權限。動態分析進一步了解,程式在安裝後首次運行,即使用戶未進行支付交易,5款程式已將用戶的IMEI記錄,隨時可被傳送到內地伺服器。支付寶錢包、淘寶全球、淘寶及天貓更同時記錄IMSI。其中淘寶全球在首次啟動,更即時將IMEI和IMSI傳送至杭州阿里巴巴廣告有限公司,同時將電話號碼、IMEI、IMSI以及ICCID共4項敏感資料記錄在案。
中文大學信息工程學系助理教授張克環表示,IMEI、IMSI及ICCID是非常敏感的資料,「拿到這個IMEI可以做很多事情。不論你在哪裡,不管你裝了甚麼軟件,不管你訪問了甚麼樣的服務,他都可以唯一的知道這個你,這就是你」。至於SIM卡編碼ICCID,張指出這是唯一可以追蹤SIM卡,甚至進行機站定位的資料,「電訊商通常使用的電話通訊系統是Signalling System 7(SS7),這是非常老的系統,安全性幾乎沒有保證。」他強調,如果洩漏ICCID,用戶在手機中的一舉一動都可能被追蹤、監視或監聽。
另外,傳真社利用防毒軟件掃描結果顯示,支付寶錢包安裝檔含有木馬程式,會攔截並盜取用戶SMS短訊;淘寶則有一個後門惡意軟件,會在用戶不知情下,打開手機系統的後門,盜取任何資訊。
至於WeChat私隱政策訂明,會「收集、儲存和使用」用戶個人資料、位置數據及日誌資料,包括IP位址、元數據、網絡搜尋詞語、所造訪的社交媒體頁面、通訊對象、通訊時間、數據和時間長短等。WeChat亦會與第三方「使用、分享及轉移」用戶個人資料至用戶所在地或以外地區,公司「可在世界各地多個司法管轄區操作、繼續操作伺服器。有電腦保安及黑客技術專家指出,市民在選用手機應用程式時,應考慮被監控的風險,「建議市民如無需要,不要用WeChat,如不是到內地做生意的就盡量不要使用。」
鍾意就快D Share啦!
|
|