中央廣播電視總臺3·15晚會于3月15日晚20時直播。節目中曝光了app授權竊取用戶信息黑幕。
說到手機,相信是我們大家生活當中必不可少的一個物件了。手機當中有很多的應用程序,比如我們出門的時候購物、吃飯、旅游、出行,包括美甲美容洗衣服,可是你發現了沒有,當你下載使用安裝這些app的時候總是跳出來一個需要您授權的頁面,但是我在想授權過后他們做什么用了呢?今天我們就請來這方面的專家,來自于中國電子技術標準化研究院的何延哲。我想問問何專家,這些app拿走我們的授權之后都做什么用了呢?
以下為測試下細節:
何延哲:他們就想最大范圍搜集您的信息,做全面的畫像,這樣就可以做靶向推送、精準營銷之類的商業活動。
謝穎穎:怪不得我在經常購物的網站上會看到他們推給我東西,讓我去選,有點像互聯網上裸奔的感覺,他們到底怎么截取我們的信息,怎么用,我們今天在這兒做一個實驗,這個實驗我們怎么做?
何延哲:這里有一個信封,是真實的社保信息,里面有身份證號、社保查詢密碼。你手頭有這臺手機,,里面裝了一塊app叫社保掌上通,你可以用這款APP查詢社保,用信奉里的數據,我做一個監測看能不能拿到信息。
謝穎穎:我的這個手機跟您的電腦完全沒有連接,你不會通過無線的技術偷走我的信息。
何延哲:不是直接傳過來。
謝穎穎:我們用準備好的信封里的內容登陸注冊一下看社保信息怎么跑到他那里去。請工作人員把我手機操作頁面投放到大屏幕上,讓現場觀眾能夠直觀地看到。
離您遠點,讓您看不到我信封上的信息。我們現在點擊進入到我們的“社保掌上通”的應用程序。首先要選取一下這個用戶的所在地。我們切換城市,已經切換了,先進行“立即注冊”,在注冊的時候我們能夠看到要輸入他的社會保障號,也就是18位的身份證號碼,輸入。接著現在輸入的是姓名,接下來是他的社保卡的查詢密碼,一共是8位數,好,“同意”。接下來是我們的注冊信息了,登錄密碼。然后它的密碼進行確認,八位數。之后進行的是手機驗證碼,從這個手機當中可以讀取到驗證碼。這個驗證碼出現了,驗證是920990。已經成功了,我現在登錄我的社保賬號,我們能看到我的社保信息馬上就要出來了,我的賬號在輸入,我的密碼,好,登錄。從大屏幕上大家很清晰地能夠看到,現在是數據正在讀取當中。基本醫療保險、基本養老保險都已經出現了,余額是1200元,累計繳納了5個月,非常清晰地在這個手機上很方便地就能查詢到了。但是何專家,我在查詢的過程中,你的信息已經截取到了嗎?
何延哲:當然,而且問題非常嚴重。
謝穎穎:告訴我一下。
何延哲:這是我們剛才抓取的一個數據包,我現在說一下我抓取到的信息,您看和這個信封里是不是一致的。這位用戶是不是姓李?
謝穎穎:對。
何延哲:他的身份證號后四位是不是0038?
謝穎穎:0038,正確。
何延哲:他的社保查詢密碼后四位是不是4427?
謝穎穎:4427。我的所有信息怎么都到你那兒去了呢?
何延哲:我們看到數據包里顯示的數據都發送到哪兒。
謝穎穎:我不是去的社保的官方網站嗎?
何延哲:不是,你看它是發送到了這么一個地址fudeta.cn,是大數據公司,根本不是官網。
謝穎穎:可是我是這樣注冊登記的。
何延哲:您的查詢密碼敏感信息給了服務器之后,他可以冒充您的身份再去社保官網拿到這個數據再返回給您,這樣對用戶來講,他就是相當于是正常的一次查詢,他感覺不到后臺對他的數據做了截取,信息事實上已經泄露了。
謝穎穎:完全不知道有人是在冒充這樣一個身份截取了我的信息。
何延哲:沒錯。
謝穎穎:肯定是違法違規行為,他們為什么敢這么干呢?
何延哲:他們挺會打這個擦邊球,你剛才點擊查詢的時候。
謝穎穎:有一個同意。
何延哲:里面有這樣一句話,您在充分地、有效地、不可撤銷地明示同意并授權我們使用您的社保賬戶密碼為您提供查詢服務。
謝穎穎:不可撤銷。
何延哲:隱私權政策里面還有這樣的條款,模擬您登錄學信網、社保、公積金、運營商網站等獲取您的個人信息。您想您如果同意了這樣的隱私協議,您相當于認可它拿走你的這些數據,他拿走之后干了什么我們就不知道了。您看到這樣的條款之后還會查詢這個嗎,還會使用這款app嗎?
謝穎穎:不是官方我肯定不信任,不會再使用這樣的app。
何延哲:沒錯,相信很多人都是這樣考慮的。社保官方的渠道也是通到了這樣的app,它沒有得到官方的授權,提醒大家不要下載,不要使用,謹防自己的社保信息泄露。
謝穎穎:類似這樣的app是不是很多?
也有很多,比如查社保、公積金、違章甚至訂票,非官方的app都會截留用戶的這些信息。
謝穎穎:看起來在數字時代這些app強制索權、過度用權的行為還是非常多的,所以我們呼吁監管要更多加強才能保護我們每一個人的信息安全。
