美图秀秀是一款中国自拍编辑应用程序,可对照片进行动画风格的编辑,苹果和安卓应用程序商店都提供下载。自2008年首次推出以来,它被下载了数十亿次,已风靡亚洲好几年,最近开始在美国流行。但专家指,美图存在严重的安全问题,它将用户的大量数据发回中国,或用以监控用户。
美媒《The Intercept》引述手机安全专家的话说,这款应用程序有一个严重的隐私和安全问题。专家在安卓手机上对这款软件进行了测试。代码指示用户的手机将大量数据发送回中国。
这些信息有可能是用来监视用户和他们的通讯的。
根据服务条款,这款应用程序的权限包括:访问日历、相机、地理位置数据、联系人、屏幕分辨率、照片、手机USB的内容和其它数据。
检查过美图软件的安全专家里纳瑞斯(Greg Linares)告诉《The Intercept》,这款程序似乎在收集用户手机的唯一ID和IMEI号码。IMEI是一个15位数字的序列号,可以确定手机的产地和型号。
里纳瑞斯说,被收集的信息将允许某些人“将手机跟个人配对,然后,通过合适的设备,你可以克隆手机,并拦截电话和短信” 。
里纳瑞斯说,克隆手机在大多数的国家是非法的,但是它是一种相对容易和廉价的间谍方式。
里纳瑞斯写道,美图盗窃的这些信息可以卖给那些拥有工具、手段,并有兴趣克隆手机的个人或机构。
美图周五(1月20日)就此发布一份声明说,该公司“非常严肃地对待个人数据”,仅仅收集那些帮助改善性能的数据。美图“不以任何形式出售用户数据”。
然而,如果黑客掌握了这些数据,他们将获得下载美图软件的数百万人的详细信息。里纳瑞斯说,如果黑客将这些数据跟其它泄密数据(比如联邦人事管理局泄露的数据)配对,就可能对某个人的信息有更深入的掌握。
中共网信办最近发布新规,要求各应用程序收集能验证用户身份的数据。
《The Intercept》的调查发现,美图软件向中国不同的IP地址发送一系列数字,包括疑似IMEI号码。
独立安全研究员本雷特(Jay Bennett)告诉《The Intercept》,他彻底解析了美图的源代码,证实美图获取IMEI号码以及其它的信息,包括你的时区、MAC地址(媒体存取控制位址,用来确认网路设备位置)、屏幕分辨率和你的SIM卡信息。
虽然美图的行为似乎是在用户不知情的情况下,故意秘密收集个人信息,但是它的确征询了用户的许可。而用户在勾选“同意”的时候,可能并不理解,甚至没有阅读那些条款。
本雷特告诉《The Intercept》:“美图的服务协议非常长,如果毫无戒心的用户同意了这些条款,美图就可以获得他们的信息。”
《The Intercept》注意到,现在,美图公司在其网站上发布了一条有关美图的隐私政策,提及IMEI数据,但是先前他们并没有在应用程序商店提及这一点。而该公司的其它产品,比如美妆相机,也收集跟美图一样的信息,却没有更新隐私政策。该公司的某些应用程序甚至完全没有服务条款。#
(来源: 大纪元2017年01月22日 《美图向中国发用户数据 用途或令你大吃一惊》)
