美图秀秀背后的重大隐私风险
作者:星期二, 一月 24, 20170

美图是个将自拍美化成动漫角色效果的流行App。没准儿你手机上就有。但是,“美化”到认不出你的效果的背后,它要求的是对你个人数据和手机无数功能的访问,并在这个过程中收集一大堆信息。要小心信息被泄哦~

meitu

该App要求对智能手机上一系列数据和功能进行访问很正常,这样才能顺畅运行,提供服务。但负责任的App只要求尽可能少的“权限”,不访问那些绝对用不到的东西。

比如说,访问摄像头就是美图很正当的需求。但它还要获取用户的GPS位置、运营商信息、WiFi链接数据、SIM卡信息、越狱状态和个人标识符就不对了,这些都是能用来在网络上追踪用户和设备的信息。

威胁管理公司 Vectra Networks 高级研究员格雷格·利纳雷斯表示:“很多App都收集数据,但他们通常是我们已经交付数据信任的著名公司。美图是个外国公司,他们收集一些很奇怪的,根本不必要的数据。”

专家称,索要与其核心功能无关的多种权限的原因,是太多预制的分析和广告跟踪包,让美图不堪重负。美图与 Google Play 有着很强的合作伙伴关系,包括成为了其热门初创公司帮扶项目 Sand Hill 的一部分。谷歌提供了大量的输入和洞见,来帮助美图改善全球不同市场的App体验。App安全公司Verify.ly共同创始人威尔·斯特拉法克对美图iOS版做了初步分析,发现该App收集了很多个人数据,但没有超出正常范围。

当然,美图不是唯一一个加载隐藏广告软件的,但关注每一个App要求的权限总是很重要。甚至著名App,比如 Pokemon Go,如果人们发现该程序要求访问太多信息,也是会陷入麻烦之中的。但若不具备技术知识,是没有办法知道App的染指范围的。而且,像美图这种流行App,确定开发者的真实意图几乎是不可能——虽然公司隐私政策似乎是要限制对第三方的暴露面。

iOS安全研究员兼鉴证专家乔纳森·斯德扎斯基浏览过一遍美图后说:“我可以花几天时间分析代码。大部分都是最寻常不过的垃圾。我没看到有什么东西是明显恶意的,但这不意味着就没有更严重的问题存在。加载进该App中的不同分析和广告跟踪包的数量,才真成问题。我至少看到了半打不同的包。除非你是要卖数据,否则没必要弄那么多。”

美图做了很多App,推向不同地理市场,所以某些“手伸太长”可能与其多个服务间的互通有关。比如说,苹果要求相当自由的控制以便其服务能相互通联就不会引起你太多关注。但免费App值得怀疑。毕竟,它们总得通过什么方法创造盈利。如果你搞不清其商业模式,该App很可能收集并出售你的某些个人信息给广告服务,投放更多有效广告。

为保护自身,安卓用户应在下载App前检查其要求的权限列表,要能用操作系统的细粒度的权限选项来控制每个App能访问的范围。用户还可以改变主意,撤销以前曾经允许过的权限。(老版本安卓系统的灵活性稍差,可以的话,还是更新了吧。)在iOS上,想查看应用商店里App将要求的权限比较困难,但iOS也在设置里提供了细致的控制,且在App首次尝试访问什么东西的时候会主动弹出询问框,比如:要求访问麦克风时,弹个框问你允不允许。

因为担心隐私问题就错过流行表情包可不怎么好玩,但在不知情的情况下就被人弄走个人数据更不好玩。广告软件捆绑App的世界中,美图不是例外,但其流行度提供了一个有用的教育时机。正如梦幻动漫美妆,免费软件通常表面华丽时髦,内里却猫腻多多。

该文译自《连线》

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章