“美图秀秀”最近在国内脸书、Line 上面很热门,很多人都会用这个 App 给自己画上一个像是动漫一般的可爱妆,把自己变成大眼睛、白皮肤的粉嫩脸孔,然后上传到网站上跟大家分享。同样的,在美国也是一样,最近很多大明星以及网友,都在纷纷彼此比较谁的图更萌、更粉嫩。
不过,国外有安全专家表示,如果你要在 App Store 或是 Google Play 下载安装美图秀秀前可能要先知道,当你发送可爱的照片的时候,你的个人隐私资讯可能也跟着流传了出去。
这位名叫 Jonathan Zdziarski 的资安专家表示,他在 Android 版本的美图秀秀上,发现这款软件跟你要的权限太多了。一般的修图软件可能跟你会要求你的手机相机、记忆卡以及网络连接等权限授权,这些都是很合理的。但是,美图秀秀则是还进一步要求你的定位讯息、电话号码以及开机自动执行、装置唯一识别码、电信商资讯以及 Wi-Fi 连接状况。
当然,只要你用过一些中国制造的 App,这种现象似乎并不罕见,这些 App 总是跟你要求过多的权限,虽然你无法理解,一款修图软件为什么需要知道你的电话号码。
而 iOS 也没有好到哪里去,他也在美图秀秀 iOS 版里头发现了一些奇怪的程式码,根据这些程式码,美图秀秀可以检查你正在使用的手机是否越狱过,以及使用的是什么电信商的服务,甚至还可以知道这款手机使用的 MAC 地址。美图秀秀的 iOS 版本,可能已经违反 App Store 的官方政策。
Jonathan Zdziarski 推测,这款 App 正在把这些使用者的资讯卖给其他公司,好让其他公司可以利用这些资讯,向使用者推送广告。
至于美图则透过媒体回应表示,他们使用这些资料的目的是为了身份保护、服务升级、犯罪调查和客户回馈。“我们和苹果、Google 就每一次产品发布进行了密切合作,而且我们严格遵守隐私条款。”
(本文由 T客邦 授权转载)
由于〈美图秀秀〉的资安问题引发许多讨论,该公司也针对资安问题提出相关说法,其官方声明如下:
美图严格遵守各大平台安全条款,严格保护用户隐私:
- 在 iOS 平台,按照 App Store 规定,不会收取使用者资料。
- Android 使用的特殊许可权包括:
并未读取使用者的电话号码这个资讯。
我们使用以下资料来进行使用者资料统计(安装、活跃度等)。因为中国市场无法使用 Google Play (被隔离),因此我们使用协力厂商和自己的统计系统。为了确保统计资讯的唯一性,我们使用了以下内容:
- Mac Address/IMEI:我们在部分情况下无法同时获取两者资讯,部分情况下不同设备会出现上述设备 ID 相同的情况,因此需要两个 ID 组合成唯一 ID 来标识使用者设备
- 局域网络 IP 位址:防止商业作弊
- SIM 卡国家编码(用于粗略定位国家)
- 定位(GPS,网络定位):区分国家和地区,作为广告系统的投放标准
- 电信公司资讯是标准的统计维度之一,可以参考知名协力厂商统计工具 Flurry
美图重视客户个人资讯保护工作,在使用者资讯方面:
采用 https 传输协定对使用者的资讯进行加密传输,保障使用者资讯在传输中的安全。并且使用者的资讯进行强制且多层加密存储,防止使用者资料泄露。 此外,我们的服务器执行严格的许可权存取控制,机房配备高级防火墙以及 IDS、IPS 设备,阻断外来攻击,我们同时配备专业的安全团队进行 24 小时安全应急回应, 第一时间保护用户的隐私安全。
美图的内部系统执行严格的访问授权机制,限制员工接触使用者资料。
延伸阅读:
- 夸张效果老外吃惊,中国美颜 App〈美图秀秀〉 席卷 Twitter 圈
