舊版Android無王管 Apps可擅取照片檔案
http://rs.sinahk.net/cp/14/12/16/05/1361110/2/p.jpg私隱專員蔣任宏表示,今年首十一個月,公署接獲五十一宗涉及應用程式的投訴。
(綜合報道)(星島日報報道)個人資料私隱專員公署測試發現Android系統最新漏洞,應用程式(App)竟可毋須用家同意,讀取Android 4.3或更舊系統記憶體內所有私人相片和下載文件等資料,即使是最新的Android4.4版本,App開發商仍可獲得內部記憶體內的資料,當中可能包括敏感資料,甚至被上傳網絡永久保存。公署已向開發商Google,並聯絡美國聯邦貿易委員會要求跟進。
手機App大行其道,由兩大應用程式平台Android與IOS共執牛耳。個人資料私隱專員公署自行研發測試程式,竟揭發Android系統有嚴重泄露私隱漏洞,App開發商可在不作相關私隱聲明下,自行讀取使用者Android手機或平板電腦內的記憶體內容,如屬Android4.3或更舊的版本,可直接讀取公共記憶體內,獲得包括裝置拍下的照片和曾下載的檔案,以及其他App儲存在公共記憶體的任何資料;即使Android4.4已糾正公共記憶體問題,App開發商仍可獲得內部記憶體內的資料,亦可能含有有關裝置的敏感資料。
個人資料私隱專員公署資訊科技顧問張宗頤表示,按Google現行政策,Android用戶安裝App前可於「權限」頁面查閱該程式會讀取的資料,但公署的測試程式只透過簡單設計,已毋須用家許可,自行讀取手機內資料,如App有上網功能,資料更可能被上載互聯網永久保存。
張宗頤稱,有三分之二Android用戶正使用較舊版本,部分更因裝置無法更新至Android4.4,但IOS系統就無此問題。公署已去信Android開發商Google,並將聯絡美國聯邦貿易委員會要求跟進,又呼籲用戶考慮自行加密敏感資料,保障私隱。
電腦保安事故協調中心高級顧問梁兆昌表示,App有獨立的程式和數據空間,程式不能夠讀取其他程式的資料,一般只有較不重要的資料會放在公共記憶空間,但外置記憶卡廣泛使用,大量程式的重要資料會移至外置記憶卡,使App可以透過外置記憶卡讀取其他App的資料,如果App設計不佳,將例如是照片或者通訊簿資料儲存在公共空間,亦會有泄密危機。
另外,公署今年抽查六十款本地熱門App(包括Android及IOS),主要屬旅遊和娛樂類別,發現八成半App收取私隱的權限過高,超出用家預期,或者過度收集私隱,比率遠超於全球三成一的比例;另有七成二本地App未有提供私隱聲明或聲明不清晰,亦較全球五成九的比例為高。
私隱專員蔣任宏表示,今年首十一個月公署接五十一宗涉及應用程式投訴,較去年全年二十二宗多逾一倍,但當中僅五宗個案的確涉及程式運作問題。蔣任宏認為App私隱問題嚴重,會增強與業界聯繫,並會主動調查個案。
個人資料私隱專員公署今年主動調查十四個流動應用程式,發現旅遊App「俠客行‧旅遊」在一星期內,因未有隨IOS系統更新程式,使六名顧客的姓名、電話、出生日期及身分證號碼資料外泄,「縱橫遊」和「翱翔遊」則涉過度收集出生日期及身分證號碼等資料,以及未有通知下收集資料,涉及三萬名登記會員。
蘋果和Google兩家開發商不斷更新平台配套,但App開發商未有跟上更新,便釀下災難。「俠客行‧旅遊」旅遊App供顧客購買機票和查詢訂購記錄,顧客首次使用App時,須輸入姓名、出生日期、身分證或護照號碼及聯絡人姓名、電話及電郵等資料,IOS會以手機或平板電腦的MAC位址識別非會員的身分。
不過,蘋果去年九月十八日正式推出IOS7系統,不會再披露真正的MAC位址,變相只是提供一組固定數字,但「俠客行‧旅遊」程式保養承辦商佰邦達未有同時更新App,由十九日至二十五日間,共有六名非會員顧客使用程式,被視作同一人作出交易,導致非會員顧客可閱覽其他非會員買家個人資料。經公署去信後已糾正問題。
至於「縱橫遊」和「翱翔遊」App則涉過度收集出生日期及身分證號碼等資料,以及未有通知下收集資料,涉及三萬名登記會員。
公署認為收集的資料只是作核對身分之用,並不需要有關資料,上周四要求兩家公司在廿一日內糾正問題。
星島日報
頁:
[1]