美团被曝重大安全漏洞且连续24小时疯狂定位用户,王思聪怒怼上热搜!
共 2802字,需浏览 6分钟
·
2021-10-14 08:19
物联网智库 整理发布
转载请注明来源和出处
导 读
美团因反垄断罚款、被曝在后台疯狂获取定位等负面消息陷入舆论漩涡后,再度被曝存在重大安全漏洞,被王思聪怒怼上热搜。
国庆假期后,美团因反垄断罚款、被曝在后台疯狂获取定位等负面消息陷入舆论漩涡,就在昨天,王思聪的一条微博再次将美团推向了风口浪尖——
10月10日,王思聪在微博上质问大众点评,其个人账号“莫名其妙就能被别人改绑手机”,更是直言:“这就是上万亿市值公司的安全系统吗?”至此,王思聪对大众点评的指控中看似与美团并无联系,但一切的根源其实是其美团账号被盗。半小时后,他再度转发该条微博,并配文:震惊!国家数据安全法实施后市值万亿的美团点评依旧我行我素!
手机号+生日就可以换绑手机?
10日晚间,大众点评在微博上回复了王思聪——“非常抱歉给王思聪带来了不愉快的用户体验,相关账号已在王思聪反馈后的第一时间内予以保护性冻结。相关问题的核查已有初步信息,我们会在私信中与您同步。”
但“始作俑者”美团却并未发声,而就在其沉默期间,却有网友曝出了美团的重大安全漏洞,并表示这或许就是王思聪被改绑手机号的主要原因,即只需要获得用户手机号和生日,就可以换绑手机号,然后就能看到此前的各种美团订餐订单、买药订单、开房订单、家庭住址等私密信息。
该博主表示,“我刚才试了一下,整个过程行云流水,如探囊取物”。据网友透露,目前美团已经针对该问题调整了策略,限制为“暂只支持最近6个月修改过账号绑定手机号的用户”。
图源:微博网友@萝卜在填坑
不仅如此,爆料美团重大安全漏洞的博主在10月10日上午还发布了一段视频,称美团APP连续24小时、每5分钟定位一次。视频中,博主@轩宁轩sir利用“隐私洞见”APP分析了美团软件的后台活动,记录显示,美团App以5分钟为间隔,从凌晨到深夜持续索取定位信息。而且在这个时间段中,用户显然不可能一直在开启美团使用,也就是说大概率是在后台偷偷运行。
诚然,无论是美团还是大众点评都已经从最初的拼团、外卖平台升级为覆盖出行、住宿、娱乐、医疗、生活缴费、甚至理财的综合性服务平台,其背后牵扯的个人信息也远不止一个手机号或收货地址这么简单。而面对如此高频次、高私密性的个人数据,美团仅仅在客户端的安全系统便与之极不匹配,对于其后端网络防护能否经受住黑客攻击,我们也不得而知。正如王思聪所言,这就是上万亿市值公司的安全系统吗?
看不见的APP后台活动
基于此,有网友发现iOS版微信、淘宝、QQ等应用,在未注册App,未在前台使用的前提下,在后台频繁读取用户相册,频率也十分高。要想在iOS 15中阻止这类行为,除了每次彻底杀死后台,还需要手动设置,关闭「后台App自动刷新」开关,同时更改应用权限才可以。而在iOS系统推出记录APP活动功能前,用户对于这些软件的后台行为一无所知,这也引起了网友的极大不满。
图源:工人日报
对于网友的质疑,微信回应称:在用户授权微信可以读取“系统相册权限”前提下,为便于用户在微信聊天中按“+”时可以快速发图,微信使用了iOS系统提供的相册更新通知标准能力,使用户发送图片体验更快速流畅。微信同时表示,该行为仅在手机本地完成,最新版本中将取消对该系统能力的使用,优化快速发图功能。
尽管微信认错态度良好,但仍有网友不买账——以“为用户方便”就可以随意读取私人相册?如果不被发现,微信就不会优化内部功能而是继续滥用个人隐私吗?如何保证新功能不会侵害用户隐私?
无论是美团的疯狂定位、安全漏洞,还是微信/QQ/淘宝的私自读取相册,之所以会引起广大网友的强烈不满,主要是因为平台的暗箱操作。近年来,用户对于个人信息愈发敏感,但APP违规收集个人信息、过度索权、频繁骚扰、侵害用户权益等问题屡见不鲜。而在互联网高度渗透的今天,面对平台的得寸进尺,除了愤怒与无奈,用户似乎别无他法。
同时,用户数据安全问题也引起了国家相关部门的重点关注,对于各类常见APP收集个人信息的范围,今年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》有明确界定。比如,即时通信类的APP,可以收集的必要个人信息只包括注册用户移动电话号码以及账号、即时通信联系人账号列表,而用户相册显然并不在其中。
在此之前,工信部信管局于2020年7月发布了《纵深推进APP侵害用户权益专项整治通知》,开始对对国内主流应用商店用户使用率比较高的44万款APP完成技术检测工作,并陆续责令千余款违规APP进行整改。此外,工信部还开展了APP侵害用户权益专项整治工作,重点之一就是针对私自收集个人信息、超范围收集个人信息等问题进行监督检查和规范整治。针对存在问题的APP,具体处理措施包括责令整改、向社会公告、组织APP下架、停止APP接入服务,以及将受到行政处罚的违规主体纳入电信业务经营不良名单或失信名单等。
写在最后
参考资料:
1.《还有多少我们不知道的“偷窥”?》,工人日报
2.《被别人改绑手机号?王思聪怒怼大众点评!平台紧急回应》,上观新闻
“2021 中国AIoT产业年会”重磅来袭!
12月9日 深圳机场凯悦酒店
往期精选