中央廣播電視總臺3·15晚會于3月15日晚20時直播。節(jié)目中曝光了app授權(quán)竊取用戶信息黑幕。
說到手機,相信是我們大家生活當中必不可少的一個物件了。手機當中有很多的應用程序,比如我們出門的時候購物、吃飯、旅游、出行,包括美甲美容洗衣服,可是你發(fā)現(xiàn)了沒有,當你下載使用安裝這些app的時候總是跳出來一個需要您授權(quán)的頁面,但是我在想授權(quán)過后他們做什么用了呢?今天我們就請來這方面的專家,來自于中國電子技術(shù)標準化研究院的何延哲。我想問問何專家,這些app拿走我們的授權(quán)之后都做什么用了呢?
以下為測試下細節(jié):
何延哲:他們就想最大范圍搜集您的信息,做全面的畫像,這樣就可以做靶向推送、精準營銷之類的商業(yè)活動。
謝穎穎:怪不得我在經(jīng)常購物的網(wǎng)站上會看到他們推給我東西,讓我去選,有點像互聯(lián)網(wǎng)上裸奔的感覺,他們到底怎么截取我們的信息,怎么用,我們今天在這兒做一個實驗,這個實驗我們怎么做?
何延哲:這里有一個信封,是真實的社保信息,里面有身份證號、社保查詢密碼。你手頭有這臺手機,,里面裝了一塊app叫社保掌上通,你可以用這款APP查詢社保,用信奉里的數(shù)據(jù),我做一個監(jiān)測看能不能拿到信息。
謝穎穎:我的這個手機跟您的電腦完全沒有連接,你不會通過無線的技術(shù)偷走我的信息。
何延哲:不是直接傳過來。
謝穎穎:我們用準備好的信封里的內(nèi)容登陸注冊一下看社保信息怎么跑到他那里去。請工作人員把我手機操作頁面投放到大屏幕上,讓現(xiàn)場觀眾能夠直觀地看到。
離您遠點,讓您看不到我信封上的信息。我們現(xiàn)在點擊進入到我們的“社保掌上通”的應用程序。首先要選取一下這個用戶的所在地。我們切換城市,已經(jīng)切換了,先進行“立即注冊”,在注冊的時候我們能夠看到要輸入他的社會保障號,也就是18位的身份證號碼,輸入。接著現(xiàn)在輸入的是姓名,接下來是他的社保卡的查詢密碼,一共是8位數(shù),好,“同意”。接下來是我們的注冊信息了,登錄密碼。然后它的密碼進行確認,八位數(shù)。之后進行的是手機驗證碼,從這個手機當中可以讀取到驗證碼。這個驗證碼出現(xiàn)了,驗證是920990。已經(jīng)成功了,我現(xiàn)在登錄我的社保賬號,我們能看到我的社保信息馬上就要出來了,我的賬號在輸入,我的密碼,好,登錄。從大屏幕上大家很清晰地能夠看到,現(xiàn)在是數(shù)據(jù)正在讀取當中。基本醫(yī)療保險、基本養(yǎng)老保險都已經(jīng)出現(xiàn)了,余額是1200元,累計繳納了5個月,非常清晰地在這個手機上很方便地就能查詢到了。但是何專家,我在查詢的過程中,你的信息已經(jīng)截取到了嗎?
何延哲:當然,而且問題非常嚴重。
謝穎穎:告訴我一下。
何延哲:這是我們剛才抓取的一個數(shù)據(jù)包,我現(xiàn)在說一下我抓取到的信息,您看和這個信封里是不是一致的。這位用戶是不是姓李?
謝穎穎:對。
何延哲:他的身份證號后四位是不是0038?
謝穎穎:0038,正確。
何延哲:他的社保查詢密碼后四位是不是4427?
謝穎穎:4427。我的所有信息怎么都到你那兒去了呢?
何延哲:我們看到數(shù)據(jù)包里顯示的數(shù)據(jù)都發(fā)送到哪兒。
謝穎穎:我不是去的社保的官方網(wǎng)站嗎?
何延哲:不是,你看它是發(fā)送到了這么一個地址fudeta.cn,是大數(shù)據(jù)公司,根本不是官網(wǎng)。
謝穎穎:可是我是這樣注冊登記的。
何延哲:您的查詢密碼敏感信息給了服務(wù)器之后,他可以冒充您的身份再去社保官網(wǎng)拿到這個數(shù)據(jù)再返回給您,這樣對用戶來講,他就是相當于是正常的一次查詢,他感覺不到后臺對他的數(shù)據(jù)做了截取,信息事實上已經(jīng)泄露了。
謝穎穎:完全不知道有人是在冒充這樣一個身份截取了我的信息。
何延哲:沒錯。
謝穎穎:肯定是違法違規(guī)行為,他們?yōu)槭裁锤疫@么干呢?
何延哲:他們挺會打這個擦邊球,你剛才點擊查詢的時候。
謝穎穎:有一個同意。
何延哲:里面有這樣一句話,您在充分地、有效地、不可撤銷地明示同意并授權(quán)我們使用您的社保賬戶密碼為您提供查詢服務(wù)。
謝穎穎:不可撤銷。
何延哲:隱私權(quán)政策里面還有這樣的條款,模擬您登錄學信網(wǎng)、社保、公積金、運營商網(wǎng)站等獲取您的個人信息。您想您如果同意了這樣的隱私協(xié)議,您相當于認可它拿走你的這些數(shù)據(jù),他拿走之后干了什么我們就不知道了。您看到這樣的條款之后還會查詢這個嗎,還會使用這款app嗎?
謝穎穎:不是官方我肯定不信任,不會再使用這樣的app。
何延哲:沒錯,相信很多人都是這樣考慮的。社保官方的渠道也是通到了這樣的app,它沒有得到官方的授權(quán),提醒大家不要下載,不要使用,謹防自己的社保信息泄露。
謝穎穎:類似這樣的app是不是很多?
也有很多,比如查社保、公積金、違章甚至訂票,非官方的app都會截留用戶的這些信息。
謝穎穎:看起來在數(shù)字時代這些app強制索權(quán)、過度用權(quán)的行為還是非常多的,所以我們呼吁監(jiān)管要更多加強才能保護我們每一個人的信息安全。
