美團被曝重大安全漏洞且連續(xù)24小時瘋狂定位用戶,王思聰怒懟上熱搜!
物聯(lián)網(wǎng)智庫 整理發(fā)布
轉(zhuǎn)載請注明來源和出處
導(dǎo)? 讀
美團因反壟斷罰款、被曝在后臺瘋狂獲取定位等負(fù)面消息陷入輿論漩渦后,再度被曝存在重大安全漏洞,被王思聰怒懟上熱搜。
國慶假期后,美團因反壟斷罰款、被曝在后臺瘋狂獲取定位等負(fù)面消息陷入輿論漩渦,就在昨天,王思聰?shù)囊粭l微博再次將美團推向了風(fēng)口浪尖——
?
10月10日,王思聰在微博上質(zhì)問大眾點評,其個人賬號“莫名其妙就能被別人改綁手機”,更是直言:“這就是上萬億市值公司的安全系統(tǒng)嗎?”至此,王思聰對大眾點評的指控中看似與美團并無聯(lián)系,但一切的根源其實是其美團賬號被盜。半小時后,他再度轉(zhuǎn)發(fā)該條微博,并配文:震驚!國家數(shù)據(jù)安全法實施后市值萬億的美團點評依舊我行我素!
手機號+生日就可以換綁手機?
?
10日晚間,大眾點評在微博上回復(fù)了王思聰——“非常抱歉給王思聰帶來了不愉快的用戶體驗,相關(guān)賬號已在王思聰反饋后的第一時間內(nèi)予以保護性凍結(jié)。相關(guān)問題的核查已有初步信息,我們會在私信中與您同步。”
?
但“始作俑者”美團卻并未發(fā)聲,而就在其沉默期間,卻有網(wǎng)友曝出了美團的重大安全漏洞,并表示這或許就是王思聰被改綁手機號的主要原因,即只需要獲得用戶手機號和生日,就可以換綁手機號,然后就能看到此前的各種美團訂餐訂單、買藥訂單、開房訂單、家庭住址等私密信息。
該博主表示,“我剛才試了一下,整個過程行云流水,如探囊取物”。據(jù)網(wǎng)友透露,目前美團已經(jīng)針對該問題調(diào)整了策略,限制為“暫只支持最近6個月修改過賬號綁定手機號的用戶”。
圖源:微博網(wǎng)友@蘿卜在填坑
?
不僅如此,爆料美團重大安全漏洞的博主在10月10日上午還發(fā)布了一段視頻,稱美團APP連續(xù)24小時、每5分鐘定位一次。視頻中,博主@軒寧軒sir利用“隱私洞見”APP分析了美團軟件的后臺活動,記錄顯示,美團App以5分鐘為間隔,從凌晨到深夜持續(xù)索取定位信息。而且在這個時間段中,用戶顯然不可能一直在開啟美團使用,也就是說大概率是在后臺偷偷運行。
誠然,無論是美團還是大眾點評都已經(jīng)從最初的拼團、外賣平臺升級為覆蓋出行、住宿、娛樂、醫(yī)療、生活繳費、甚至理財?shù)木C合性服務(wù)平臺,其背后牽扯的個人信息也遠不止一個手機號或收貨地址這么簡單。而面對如此高頻次、高私密性的個人數(shù)據(jù),美團僅僅在客戶端的安全系統(tǒng)便與之極不匹配,對于其后端網(wǎng)絡(luò)防護能否經(jīng)受住黑客攻擊,我們也不得而知。正如王思聰所言,這就是上萬億市值公司的安全系統(tǒng)嗎?
看不見的APP后臺活動
?
基于此,有網(wǎng)友發(fā)現(xiàn)iOS版微信、淘寶、QQ等應(yīng)用,在未注冊App,未在前臺使用的前提下,在后臺頻繁讀取用戶相冊,頻率也十分高。要想在iOS 15中阻止這類行為,除了每次徹底殺死后臺,還需要手動設(shè)置,關(guān)閉「后臺App自動刷新」開關(guān),同時更改應(yīng)用權(quán)限才可以。而在iOS系統(tǒng)推出記錄APP活動功能前,用戶對于這些軟件的后臺行為一無所知,這也引起了網(wǎng)友的極大不滿。
圖源:工人日報
?
對于網(wǎng)友的質(zhì)疑,微信回應(yīng)稱:在用戶授權(quán)微信可以讀取“系統(tǒng)相冊權(quán)限”前提下,為便于用戶在微信聊天中按“+”時可以快速發(fā)圖,微信使用了iOS系統(tǒng)提供的相冊更新通知標(biāo)準(zhǔn)能力,使用戶發(fā)送圖片體驗更快速流暢。微信同時表示,該行為僅在手機本地完成,最新版本中將取消對該系統(tǒng)能力的使用,優(yōu)化快速發(fā)圖功能。
?
盡管微信認(rèn)錯態(tài)度良好,但仍有網(wǎng)友不買賬——以“為用戶方便”就可以隨意讀取私人相冊?如果不被發(fā)現(xiàn),微信就不會優(yōu)化內(nèi)部功能而是繼續(xù)濫用個人隱私嗎?如何保證新功能不會侵害用戶隱私?
?
無論是美團的瘋狂定位、安全漏洞,還是微信/QQ/淘寶的私自讀取相冊,之所以會引起廣大網(wǎng)友的強烈不滿,主要是因為平臺的暗箱操作。近年來,用戶對于個人信息愈發(fā)敏感,但APP違規(guī)收集個人信息、過度索權(quán)、頻繁騷擾、侵害用戶權(quán)益等問題屢見不鮮。而在互聯(lián)網(wǎng)高度滲透的今天,面對平臺的得寸進尺,除了憤怒與無奈,用戶似乎別無他法。
?
同時,用戶數(shù)據(jù)安全問題也引起了國家相關(guān)部門的重點關(guān)注,對于各類常見APP收集個人信息的范圍,今年5月1日起施行的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》有明確界定。比如,即時通信類的APP,可以收集的必要個人信息只包括注冊用戶移動電話號碼以及賬號、即時通信聯(lián)系人賬號列表,而用戶相冊顯然并不在其中。
?
在此之前,工信部信管局于2020年7月發(fā)布了《縱深推進APP侵害用戶權(quán)益專項整治通知》,開始對對國內(nèi)主流應(yīng)用商店用戶使用率比較高的44萬款A(yù)PP完成技術(shù)檢測工作,并陸續(xù)責(zé)令千余款違規(guī)APP進行整改。此外,工信部還開展了APP侵害用戶權(quán)益專項整治工作,重點之一就是針對私自收集個人信息、超范圍收集個人信息等問題進行監(jiān)督檢查和規(guī)范整治。針對存在問題的APP,具體處理措施包括責(zé)令整改、向社會公告、組織APP下架、停止APP接入服務(wù),以及將受到行政處罰的違規(guī)主體納入電信業(yè)務(wù)經(jīng)營不良名單或失信名單等。
?
寫在最后
?
參考資料:
1.《還有多少我們不知道的“偷窺”?》,工人日報
2.《被別人改綁手機號?王思聰怒懟大眾點評!平臺緊急回應(yīng)》,上觀新聞
“2021 中國AIoT產(chǎn)業(yè)年會”重磅來襲!
12月9日 深圳機場凱悅酒店
往期精選
