孤寂如雲 發表於 2013-3-16 11:18:43

高德地圖郤建軍澄清:明文傳輸協議已在新版本中棄用



騰訊科技(宗秀倩)3月16日報道:“兩年前我們在和微博對接時使用了當時的Xauth明文傳輸協議,這是當時行業的通用做法。隨著微博開始采用更具保密性的SSO協議,我們也在去年下半年轉用此協議與微博對接,現在的版本已沒有信息泄露的問題。”高德地圖副總裁郤建軍這樣澄清。

昨日晚間,央視315晚會上曝光安卓系統通過手機軟件收集並泄露用戶信息。

在央視的調查中,央視稱,高德地圖的位置共享服務會收集的用戶賬號和密碼被以明文的方式傳給高德的服務器。

央視的調查稱,“用戶可以通過它直接將自己當前的位置信息鏈接到新浪微博、搜狐微博、網易微博、人人網等第三方網站。然而監測人員發現,當用戶通過高德導航軟件輸入這些微博的賬號和密碼時,這些賬號和密碼竟然被以明文的方式,傳給了高德的服務器。”

復旦大學移動互聯網數據安全技術研究中心常務副主任楊瑉在節目中說,這些賬戶信息應該是直接交由第三方網站去驗證,但這些賬戶信息是發給高德的服務器地址,他認為,這是一種比較明顯的用戶賬號泄露的行為。

央視的節目播出後,高德對此事調查後做出回應稱,央視曝光的是兩年前的舊版本,當時受制於分享到微博的技術方式,采取模擬用戶登錄。自去5月,微博改變登錄方式,高德地圖隨後也更換了第三方登錄和驗證的方法,現高德地圖安卓版已全部解決這個問題。

郤建軍接受騰訊科技專訪時強調,現在的高德地圖版本沒有問題,用戶可以放心下載。

至於舊版本和新版本之間的信息保護差異,郤建軍解釋說,2年前,高德地圖與微博等應用對接時,行業當時都采用的Xauth傳輸協議,要求是以明文的方式傳輸,這是當時行業企業的一種通行做法。去年,微博開始采用更具保密性的SSO協議,從去年下半年開始,高德地圖已經開始采用SSO協議與微博進行合作。

郤建軍坦言,在明文傳輸的情況下,由於信息沒有加密,的確會有泄露用戶隱私的潛在風險,不過在這期間,高德並沒有信息泄露的情形發生。

“用戶要通過位置分享信息轉發到微博,需要我們向微博要一個權限,這就產生了明文傳輸到服務器的環節。”郤建軍說,“在與微博的對接中,高德地圖起了一個中轉站作用。我們本身沒有存儲用戶的信息,而是直接轉發。我們也沒有做其他的事情,所以不存在信息泄露的問題。”

央視的調查依據來自於復旦大學移動互聯網數據安全技術研究中心。該中心對當前比較熱門的330多款安卓系統下的手機軟件進行了為期半年的監測。王曉陽表示,58%以上的軟件都存在隱私信息泄密的問題。

高德今日晚間回應稱,“關於央視315曝光的高德地圖問題,經調查,曝光的是兩年前的舊版本,當時受制於分享到微博的技術方式,采取模擬用戶登錄。自去年5月,微博改變登錄方式,高德地圖隨後也更換了第三方登錄和驗證的方法,現高德地圖安卓版已全部解決這個問題。”

這是一款預裝在摩托羅拉XT685手機內,名為高德地圖的安卓版軟件。高德地圖有一個位置共享服務,用戶可以通過它直接將自己當前的位置信息鏈接到新浪微博、搜狐微博、網易微博、人人網等第三方網站。然而監測人員發現,當用戶通過高德導航軟件輸入這些微博的賬號和密碼時,這些賬號和密碼,竟然被以明文的方式,傳給了高德的服務器。

復旦大學移動互聯網數據安全技術研究中心楊瑉常務副主任:“這些賬戶信心,應該是直接交由第三方網站去驗證的 但是我們在檢測中卻發現 這些賬戶信息是發給高德的服務器地址,我們認為,這是一種比較明顯的,用戶賬號泄露的行為。”

騰訊科技
頁: [1]
查看完整版本: 高德地圖郤建軍澄清:明文傳輸協議已在新版本中棄用