Adobe电子书阅读软件窃取用户隐私
作者:星期二, 十月 14, 20140

ADE

Adobe近期终于承认了他的Digital Edition电子书阅读软件记录了用户的电子书阅读历史记录并且进行明文回传。 Adobe声称是用于数字版权管理(DRM)的目的。不过这可能导致电子书读者对DRM的进一步不信任。

Adobe Digital Edition电子书阅读器 第四版,对用户的每一页阅读以及阅读顺序进行了记录,然后以明文未加密的方式回传到Adobe的服务器上。

研究人员Nate Hoffelder发现了这一行为。 他还发现Adobe除了用户阅读信息之外,还用明文回传了书名, 出版商等其他电子书的元数据。

Adobe声称“ 收集这些用户数据的目的完全是为了进行版权确认,以及确保出版商不同的授权模式的实现。此外,收集的数据仅仅限于用户正在阅读的书籍,并不会去收集用户书库里的其他电子书数据或者其他电子书阅读器中的电子书数据。”

“用户隐私对Adobe非常重要, 我们的行为符合软件的最终用户使用条款以及Adobe的隐私政策 “ Adobe的声明中这样写道。

不过,这样的声明显得有些滑稽, 既然用户隐私对Adobe来说如此重要, 那为什么Adobe会用明文来传送用户的隐私数据,使得网络中的所有人都能看得到? 难道这也是符合Adobe的隐私政策吗?

Adobe解释了数据收集是为了数字版权管理机制, 是应出版商的防盗版要求进行的。 Adobe给出了一个详细列表解释了为什么它需要这些信息。 这里包括:

l  用户ID:用来进行用户认证。

l  设备ID:用于数字版权管理(DRM), 因为出版商通常会限制电子书阅读设备的数量

l  认证App ID: 用于DRM, 确保认证的App才能够对电子书进行渲染。

l  设备IP:设备IP的收集是为了确认设备的地理位置,因为出版商会针对不同的地域采取不同的定价策略。

l  书籍阅读的时长:有些出版商可能会采取借阅的模式, 比如只能借阅30天等, 这类数据的采集是为了此目的。

l  书籍阅读的百分比:有的出版商采取订阅模式, 会根据书籍阅读的百分比来调整定价。 收集这类数据是为了出版商能够采取此类模式。

 然而, Nate Hoffelder在博客中指出, Digital Editions 4不仅仅收集自己书库中的数据, 而是收集他电脑里所有电子书的数据。 Adobe回应说这不应该发生, 不过需要程序开发人员检查一下是否是一个bug。

此外, Adobe声称在用户注册下载软件时,在最终用户条款(EULA)中,Adobe写道“本软件可能在不通知用户的情况下, 自动连接互联网与Adobe网站或服务器进行通信, 用于如许可证验证, 提供用户额外信息等目的“

这个EULA看上去好像Adobe可以收集这些数据, 不过用户其实并不买账, 电子前线基金(EFF)就把Adobe Digital Editions4称为“间谍软件”。

EFF的知识产权总监Corynne McSherry,认为:“把用户信息以明文传递无论如何与几十年来图书馆或者书店致力于保护读者和用户隐私的努力也是背道而驰的。”

事实上, 2011年, EFF和其他组织一起努力通过了《读者隐私法案》, 法案要求政府和民间机构需要有足够的理由来采集用户隐私, 并且用户的隐私记录应该被安全保护。 而如果用户使用Adobe Digital Editions 4, 他的隐私并没有得到很好的保护。

事实上, Adobe可能会碰到索尼在2005年遇到的同样的公关危机。 当时Sony BMG为了DRM的目的, 在CD中装了一个Rootkit木马。 而在被揭发出来后, Sony也是辩称安装Rootkit是实施DRM的必要条件。 而Sony BMG的全球数字业务总裁Thomas Hesse则声称:“绝大多数用户不知道什么是Rootkit, 所以他们不会在乎的。”这也为他赢得了当年的大嘴奖。

最后, 由于有明显的证据表明, 黑客可以利用这个Rootkit攻击用户的机器,索尼被迫与音乐购买用户达成了高达数千万美元的和解。 而音乐行业则不敢再CD上采用DRM技术。 而Adobe有可能在重蹈索尼的覆辙。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章