中央廣播電視總臺(tái)3·15晚會(huì)于3月15日晚20時(shí)直播。節(jié)目中曝光了app授權(quán)竊取用戶信息黑幕。
說(shuō)到手機(jī),相信是我們大家生活當(dāng)中必不可少的一個(gè)物件了。手機(jī)當(dāng)中有很多的應(yīng)用程序,比如我們出門的時(shí)候購(gòu)物、吃飯、旅游、出行,包括美甲美容洗衣服,可是你發(fā)現(xiàn)了沒有,當(dāng)你下載使用安裝這些app的時(shí)候總是跳出來(lái)一個(gè)需要您授權(quán)的頁(yè)面,但是我在想授權(quán)過(guò)后他們做什么用了呢?今天我們就請(qǐng)來(lái)這方面的專家,來(lái)自于中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院的何延哲。我想問問何專家,這些app拿走我們的授權(quán)之后都做什么用了呢?
以下為測(cè)試下細(xì)節(jié):
何延哲:他們就想最大范圍搜集您的信息,做全面的畫像,這樣就可以做靶向推送、精準(zhǔn)營(yíng)銷之類的商業(yè)活動(dòng)。
謝穎穎:怪不得我在經(jīng)常購(gòu)物的網(wǎng)站上會(huì)看到他們推給我東西,讓我去選,有點(diǎn)像互聯(lián)網(wǎng)上裸奔的感覺,他們到底怎么截取我們的信息,怎么用,我們今天在這兒做一個(gè)實(shí)驗(yàn),這個(gè)實(shí)驗(yàn)我們?cè)趺醋觯?/span>
何延哲:這里有一個(gè)信封,是真實(shí)的社保信息,里面有身份證號(hào)、社保查詢密碼。你手頭有這臺(tái)手機(jī),,里面裝了一塊app叫社保掌上通,你可以用這款A(yù)PP查詢社保,用信奉里的數(shù)據(jù),我做一個(gè)監(jiān)測(cè)看能不能拿到信息。
謝穎穎:我的這個(gè)手機(jī)跟您的電腦完全沒有連接,你不會(huì)通過(guò)無(wú)線的技術(shù)偷走我的信息。
何延哲:不是直接傳過(guò)來(lái)。
謝穎穎:我們用準(zhǔn)備好的信封里的內(nèi)容登陸注冊(cè)一下看社保信息怎么跑到他那里去。請(qǐng)工作人員把我手機(jī)操作頁(yè)面投放到大屏幕上,讓現(xiàn)場(chǎng)觀眾能夠直觀地看到。
離您遠(yuǎn)點(diǎn),讓您看不到我信封上的信息。我們現(xiàn)在點(diǎn)擊進(jìn)入到我們的“社保掌上通”的應(yīng)用程序。首先要選取一下這個(gè)用戶的所在地。我們切換城市,已經(jīng)切換了,先進(jìn)行“立即注冊(cè)”,在注冊(cè)的時(shí)候我們能夠看到要輸入他的社會(huì)保障號(hào),也就是18位的身份證號(hào)碼,輸入。接著現(xiàn)在輸入的是姓名,接下來(lái)是他的社保卡的查詢密碼,一共是8位數(shù),好,“同意”。接下來(lái)是我們的注冊(cè)信息了,登錄密碼。然后它的密碼進(jìn)行確認(rèn),八位數(shù)。之后進(jìn)行的是手機(jī)驗(yàn)證碼,從這個(gè)手機(jī)當(dāng)中可以讀取到驗(yàn)證碼。這個(gè)驗(yàn)證碼出現(xiàn)了,驗(yàn)證是920990。已經(jīng)成功了,我現(xiàn)在登錄我的社保賬號(hào),我們能看到我的社保信息馬上就要出來(lái)了,我的賬號(hào)在輸入,我的密碼,好,登錄。從大屏幕上大家很清晰地能夠看到,現(xiàn)在是數(shù)據(jù)正在讀取當(dāng)中。基本醫(yī)療保險(xiǎn)、基本養(yǎng)老保險(xiǎn)都已經(jīng)出現(xiàn)了,余額是1200元,累計(jì)繳納了5個(gè)月,非常清晰地在這個(gè)手機(jī)上很方便地就能查詢到了。但是何專家,我在查詢的過(guò)程中,你的信息已經(jīng)截取到了嗎?
何延哲:當(dāng)然,而且問題非常嚴(yán)重。
謝穎穎:告訴我一下。
何延哲:這是我們剛才抓取的一個(gè)數(shù)據(jù)包,我現(xiàn)在說(shuō)一下我抓取到的信息,您看和這個(gè)信封里是不是一致的。這位用戶是不是姓李?
謝穎穎:對(duì)。
何延哲:他的身份證號(hào)后四位是不是0038?
謝穎穎:0038,正確。
何延哲:他的社保查詢密碼后四位是不是4427?
謝穎穎:4427。我的所有信息怎么都到你那兒去了呢?
何延哲:我們看到數(shù)據(jù)包里顯示的數(shù)據(jù)都發(fā)送到哪兒。
謝穎穎:我不是去的社保的官方網(wǎng)站嗎?
何延哲:不是,你看它是發(fā)送到了這么一個(gè)地址fudeta.cn,是大數(shù)據(jù)公司,根本不是官網(wǎng)。
謝穎穎:可是我是這樣注冊(cè)登記的。
何延哲:您的查詢密碼敏感信息給了服務(wù)器之后,他可以冒充您的身份再去社保官網(wǎng)拿到這個(gè)數(shù)據(jù)再返回給您,這樣對(duì)用戶來(lái)講,他就是相當(dāng)于是正常的一次查詢,他感覺不到后臺(tái)對(duì)他的數(shù)據(jù)做了截取,信息事實(shí)上已經(jīng)泄露了。
謝穎穎:完全不知道有人是在冒充這樣一個(gè)身份截取了我的信息。
何延哲:沒錯(cuò)。
謝穎穎:肯定是違法違規(guī)行為,他們?yōu)槭裁锤疫@么干呢?
何延哲:他們挺會(huì)打這個(gè)擦邊球,你剛才點(diǎn)擊查詢的時(shí)候。
謝穎穎:有一個(gè)同意。
何延哲:里面有這樣一句話,您在充分地、有效地、不可撤銷地明示同意并授權(quán)我們使用您的社保賬戶密碼為您提供查詢服務(wù)。
謝穎穎:不可撤銷。
何延哲:隱私權(quán)政策里面還有這樣的條款,模擬您登錄學(xué)信網(wǎng)、社保、公積金、運(yùn)營(yíng)商網(wǎng)站等獲取您的個(gè)人信息。您想您如果同意了這樣的隱私協(xié)議,您相當(dāng)于認(rèn)可它拿走你的這些數(shù)據(jù),他拿走之后干了什么我們就不知道了。您看到這樣的條款之后還會(huì)查詢這個(gè)嗎,還會(huì)使用這款app嗎?
謝穎穎:不是官方我肯定不信任,不會(huì)再使用這樣的app。
何延哲:沒錯(cuò),相信很多人都是這樣考慮的。社保官方的渠道也是通到了這樣的app,它沒有得到官方的授權(quán),提醒大家不要下載,不要使用,謹(jǐn)防自己的社保信息泄露。
謝穎穎:類似這樣的app是不是很多?
也有很多,比如查社保、公積金、違章甚至訂票,非官方的app都會(huì)截留用戶的這些信息。
謝穎穎:看起來(lái)在數(shù)字時(shí)代這些app強(qiáng)制索權(quán)、過(guò)度用權(quán)的行為還是非常多的,所以我們呼吁監(jiān)管要更多加強(qiáng)才能保護(hù)我們每一個(gè)人的信息安全。
