美团被曝重大安全漏洞,且连续24小时疯狂定位用户
物联网智库 整理发布
转载请注明来源和出处
导 读
美团因反垄断罚款、被曝在后台疯狂获取定位等负面消息陷入舆论漩涡后,再度被曝存在重大安全漏洞,被王思聪怒怼上热搜。
国庆假期后,美团因反垄断罚款、被曝在后台疯狂获取定位等负面消息陷入舆论漩涡,就在昨天,王思聪的一条微博再次将美团推向了风口浪尖——
10月10日,王思聪在微博上质问大众点评,其个人账号“莫名其妙就能被别人改绑手机”,更是直言:“这就是上万亿市值公司的安全系统吗?”至此,王思聪对大众点评的指控中看似与美团并无联系,但一切的根源其实是其美团账号被盗。半小时后,他再度转发该条微博,并配文:震惊!国家数据安全法实施后市值万亿的美团点评依旧我行我素!
手机号+生日就可以换绑手机?
王思聪之所以会收到大众点评的系统提示,是因为其在美团平台登录账号绑定的手机在不知情的情况下被篡改,而大众点评早在2015年便已经与美团达成战略合作,双方使用统一的账号体系,所以用户在美团对账号进行换绑或者注销时都将同步影响到其对应的大众点评账号。
10日晚间,大众点评在微博上回复了王思聪——“非常抱歉给王思聪带来了不愉快的用户体验,相关账号已在王思聪反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息,我们会在私信中与您同步。”
但“始作俑者”美团却并未发声,而就在其沉默期间,却有网友曝出了美团的重大安全漏洞,并表示这或许就是王思聪被改绑手机号的主要原因,即只需要获得用户手机号和生日,就可以换绑手机号,然后就能看到此前的各种美团订餐订单、买药订单、开房订单、家庭住址等私密信息。
该博主表示,“我刚才试了一下,整个过程行云流水,如探囊取物”。据网友透露,目前美团已经针对该问题调整了策略,限制为“暂只支持最近6个月修改过账号绑定手机号的用户”。
图源:微博网友@萝卜在填坑
不仅如此,爆料美团重大安全漏洞的博主在10月10日上午还发布了一段视频,称美团APP连续24小时、每5分钟定位一次。视频中,博主@轩宁轩sir利用“隐私洞见”APP分析了美团软件的后台活动,记录显示,美团App以5分钟为间隔,从凌晨到深夜持续索取定位信息。而且在这个时间段中,用户显然不可能一直在开启美团使用,也就是说大概率是在后台偷偷运行。
诚然,无论是美团还是大众点评都已经从最初的拼团、外卖平台升级为覆盖出行、住宿、娱乐、医疗、生活缴费、甚至理财的综合性服务平台,其背后牵扯的个人信息也远不止一个手机号或收货地址这么简单。而面对如此高频次、高私密性的个人数据,美团仅仅在客户端的安全系统便与之极不匹配,对于其后端网络防护能否经受住黑客攻击,我们也不得而知。正如王思聪所言,这就是上万亿市值公司的安全系统吗?
看不见的APP后台活动
其实,最近一段时间内被网友口诛笔伐的不止美团一家。随着苹果iOS 15系统的广泛推送,其新增的“记录App活动”功能可谓是打开了新世界的大门,用户利用该功能可以对应用获取存储、通话记录、定位等数据的行为进行监控、详细记录。
基于此,有网友发现iOS版微信、淘宝、QQ等应用,在未注册App,未在前台使用的前提下,在后台频繁读取用户相册,频率也十分高。要想在iOS 15中阻止这类行为,除了每次彻底杀死后台,还需要手动设置,关闭「后台App自动刷新」开关,同时更改应用权限才可以。而在iOS系统推出记录APP活动功能前,用户对于这些软件的后台行为一无所知,这也引起了网友的极大不满。
图源:工人日报
对于网友的质疑,微信回应称:在用户授权微信可以读取“系统相册权限”前提下,为便于用户在微信聊天中按“+”时可以快速发图,微信使用了iOS系统提供的相册更新通知标准能力,使用户发送图片体验更快速流畅。微信同时表示,该行为仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。
尽管微信认错态度良好,但仍有网友不买账——以“为用户方便”就可以随意读取私人相册?如果不被发现,微信就不会优化内部功能而是继续滥用个人隐私吗?如何保证新功能不会侵害用户隐私?
无论是美团的疯狂定位、安全漏洞,还是微信/QQ/淘宝的私自读取相册,之所以会引起广大网友的强烈不满,主要是因为平台的暗箱操作。近年来,用户对于个人信息愈发敏感,但APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等问题屡见不鲜。而在互联网高度渗透的今天,面对平台的得寸进尺,除了愤怒与无奈,用户似乎别无他法。
同时,用户数据安全问题也引起了国家相关部门的重点关注,对于各类常见APP收集个人信息的范围,今年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》有明确界定。比如,即时通信类的APP,可以收集的必要个人信息只包括注册用户移动电话号码以及账号、即时通信联系人账号列表,而用户相册显然并不在其中。
在此之前,工信部信管局于2020年7月发布了《纵深推进APP侵害用户权益专项整治通知》,开始对对国内主流应用商店用户使用率比较高的44万款APP完成技术检测工作,并陆续责令千余款违规APP进行整改。此外,工信部还开展了APP侵害用户权益专项整治工作,重点之一就是针对私自收集个人信息、超范围收集个人信息等问题进行监督检查和规范整治。针对存在问题的APP,具体处理措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。
写在最后
可以看出工信部等相关部门对于个人信息收集保持着极高的关注度,而正是在此重拳打击之下,仍有大厂顶风作案,此番美团事件也是由微博粉丝量4142万的“网红”王思聪掀开遮羞布,但若是换成毫无影响力的普通网友恐怕指控便要石沉大海了。毫无疑问,无论是微信、QQ、淘宝,亦或美团、大众点评,都已经成为了人们生活中无可取代的软件平台,但这也绝不应成为企业漠视用户隐私的原因!
参考资料:
1.《还有多少我们不知道的“偷窥”?》,工人日报
2.《被别人改绑手机号?王思聪怒怼大众点评!平台紧急回应》,上观新闻
-
新能源车潮汐现象怎么破?假期排队4小时充1小时电
2021-10-09 -
8小时车程花了16小时!新能源汽车排队充电!网友:我都到家了、朋友还在高速上充电...
2021-10-08 -
新能源汽车暴增 高速路排队充电!4小时路程充电花了3小时!服务区如何升级?
2021-10-08 -
2016年最疯狂的油价预测
2021-09-24 -
5个疯狂能源创意
2021-09-24 -
国家能源局发布1—8月份全国电力工业统计数据
2021-09-22 -
中电联发布2021年1-8月份电力工业运行简况
2021-09-22 -
电力每日要闻——2021.9.22
2021-09-22 -
国家能源局发布2021年1-8月份全国电力工业统计数据
2021-09-22 -
能源局权威发布!1-8月 风电新增1463万千瓦!
2021-09-22 -
微软正在疯狂购物
2021-09-20 -
电力每日要闻——2021.9.16
2021-09-16 -
天赐材料开盘涨停 电解液涨势“太疯狂”
2021-08-25