本欄目內我們曾介紹過不少流動平台上有機會洩漏個人私隱的 Apps,大多是偽裝成其他知名 Apps,吸引用家下載後,再借機會盜取用家資料,甚至胡亂向其他用家發出訊息。但大家又會否想過,原來一些看似沒有問題的正牌 Apps,原來也有機會讓你的個人資料完全曝露於人前?早前市場調查公司 Carrier IQ 就發現在一些美國發售的 Android 手機植入 Rootkit,暗中回傳私人資料至伺服器,令大家的私隱完全無保留被洩露,確實危險!
電話簿自動 Upload
手機電話簿對於個人來說是重要的資料之餘,對於大公司來說,這些私人資料也是擴充業務的重要工具之一。最近知名社交 App – Path,就被揭發會自動將手機內的電話簿上傳至伺服器,其中 iOS 版本更是在完全沒有用家授權的條件下,暗地裡偷傳資料。雖然 Path 辯稱這是務求令系統更快確認哪些人是用家的親友,但無疑是侵犯私隱的行徑。隨後,不少知名 Apps,包括:Gowalla、Facebook、Foodspotting、Foursquare、Instagram、Twitter 和 Yelp 也發覺有類似行徑,亦會暗傳電話簿資料至伺服器,構成私隱危機。
從 Android Market 的資訊來看,官方 Facebook App 除具備讀取電話簿的權限外,更具備了閱讀 SMS 的權限,但 Facebook 表示從未透過 App 窺看用家的 SMS。
Instagram 和 Path 及後已經即時提供程式更新,現在要求用家上傳電話簿前,均會彈出詢問視窗,讓用家自行選擇是否披露個人聯絡資料。
暗地裏做調查
據一些開發者發現,iOS 內部分 Apps 除了為用家服務外,也同時為市場調查公司服務。這類 Apps 一般都是免費 Apps,在使用期間會將用家的資料傳送至 Flurry、Medialets、Mobclix 和 Pinch Media 等市場調查公司,資料包括:用家性別和生日日期,同時亦會透過存取 GPS 功能,傳送用家的所在位置。
Apple 一樣犯下同樣錯誤?
除了 Apps 本身會追蹤用家之外,Apple 也一樣對用家的行蹤感到興趣。Apple 去年被揭發會將用家的 GPS 記錄收藏在名為「consolidated.db」的檔案內,該檔案沒有經過任何加密,並會在進行同步期間,一併將該檔案抄寫至電腦內。用家在接納 Apple 的用戶條款時,已同時接納了這些「跟蹤」行為,據官方解釋表示,收集 GPS 資料的目的是為了優化 Wi-Fi Hotspot 定位服務。不過,往後不排除一些 Apps 可透過系統漏洞存取這些資料,對於已 JailBreak 的用家而言,行蹤被披露的風險更高。
曾有開放者為已 JailBreak iOS 裝置的用家開發了名為 PrivaCy 的 App,用來攔截自動傳送至市場調查公司的資訊,保障私隱,但該 App 已長達兩年多沒有更新,裝置兼容性的表現未如理想。
望開發商自律
F-Secure 的大中華區總監李力恆指出,這些竊取用家資料的 App 雖稱不上是惡意程式,但仍會危害到用家安全,個人資料有機會因而外洩,繼而招致損失。要防範這類竊聽行為,Android 用家尚可透過安裝特定的 App,監視其他 Apps 是否出現存取系統資料的異常舉動,可是對於使用 iOS 裝置的用家而言,能做的防範措施實在不多。唯有希望開發商日後能更加自律,不要再於 Apps 內加入竊取用家資料的行為。此外,李力恆也提醒各位智能手機用家,當使用第三方公司研發的軟件時,如果對方要求大家儲存密碼,尤其是要大家儲存各種社交網絡平台,例如:Facebook、Twitter 等的登入密碼時,就要尤其小心,只有確認對方是真的信得過,而且確認對方是否只將密碼儲存在你的手機內,才好考慮接受對方儲存密碼。如果對方是將你的密碼儲存在對方的伺服器,又或者你懷疑對方有嘗試如此做,就考慮不要儲存密碼,以保障你的個人私隱不被洩漏出去,或者個人戶口不會被盜用。
進入「Settings→Location Services」頁內,開關個別 Apps 的定位功能存取權限,就是 iOS 裝置用家能做到的少數防範措施之一。
One More Thing: 免費送 Android 手機防毒軟件
鑑於近月發現多宗 Android 手機騙錢個案,香港 F-