中央广播电视总台3·15晚会于3月15日晚20时直播。节目中曝光了app授权窃取用户信息黑幕。
说到手机,相信是我们大家生活当中必不可少的一个物件了。手机当中有很多的应用程序,比如我们出门的时候购物、吃饭、旅游、出行,包括美甲美容洗衣服,可是你发现了没有,当你下载使用安装这些app的时候总是跳出来一个需要您授权的页面,但是我在想授权过后他们做什么用了呢?今天我们就请来这方面的专家,来自于中国电子技术标准化研究院的何延哲。我想问问何专家,这些app拿走我们的授权之后都做什么用了呢?
以下为测试下细节:
何延哲:他们就想最大范围搜集您的信息,做全面的画像,这样就可以做靶向推送、精准营销之类的商业活动。
谢颖颖:怪不得我在经常购物的网站上会看到他们推给我东西,让我去选,有点像互联网上裸奔的感觉,他们到底怎么截取我们的信息,怎么用,我们今天在这儿做一个实验,这个实验我们怎么做?
何延哲:这里有一个信封,是真实的社保信息,里面有身份证号、社保查询密码。你手头有这台手机,,里面装了一块app叫社保掌上通,你可以用这款APP查询社保,用信奉里的数据,我做一个监测看能不能拿到信息。
谢颖颖:我的这个手机跟您的电脑完全没有连接,你不会通过无线的技术偷走我的信息。
何延哲:不是直接传过来。
谢颖颖:我们用准备好的信封里的内容登陆注册一下看社保信息怎么跑到他那里去。请工作人员把我手机操作页面投放到大屏幕上,让现场观众能够直观地看到。
离您远点,让您看不到我信封上的信息。我们现在点击进入到我们的“社保掌上通”的应用程序。首先要选取一下这个用户的所在地。我们切换城市,已经切换了,先进行“立即注册”,在注册的时候我们能够看到要输入他的社会保障号,也就是18位的身份证号码,输入。接着现在输入的是姓名,接下来是他的社保卡的查询密码,一共是8位数,好,“同意”。接下来是我们的注册信息了,登录密码。然后它的密码进行确认,八位数。之后进行的是手机验证码,从这个手机当中可以读取到验证码。这个验证码出现了,验证是920990。已经成功了,我现在登录我的社保账号,我们能看到我的社保信息马上就要出来了,我的账号在输入,我的密码,好,登录。从大屏幕上大家很清晰地能够看到,现在是数据正在读取当中。基本医疗保险、基本养老保险都已经出现了,余额是1200元,累计缴纳了5个月,非常清晰地在这个手机上很方便地就能查询到了。但是何专家,我在查询的过程中,你的信息已经截取到了吗?
何延哲:当然,而且问题非常严重。
谢颖颖:告诉我一下。
何延哲:这是我们刚才抓取的一个数据包,我现在说一下我抓取到的信息,您看和这个信封里是不是一致的。这位用户是不是姓李?
谢颖颖:对。
何延哲:他的身份证号后四位是不是0038?
谢颖颖:0038,正确。
何延哲:他的社保查询密码后四位是不是4427?
谢颖颖:4427。我的所有信息怎么都到你那儿去了呢?
何延哲:我们看到数据包里显示的数据都发送到哪儿。
谢颖颖:我不是去的社保的官方网站吗?
何延哲:不是,你看它是发送到了这么一个地址fudeta.cn,是大数据公司,根本不是官网。
谢颖颖:可是我是这样注册登记的。
何延哲:您的查询密码敏感信息给了服务器之后,他可以冒充您的身份再去社保官网拿到这个数据再返回给您,这样对用户来讲,他就是相当于是正常的一次查询,他感觉不到后台对他的数据做了截取,信息事实上已经泄露了。
谢颖颖:完全不知道有人是在冒充这样一个身份截取了我的信息。
何延哲:没错。
谢颖颖:肯定是违法违规行为,他们为什么敢这么干呢?
何延哲:他们挺会打这个擦边球,你刚才点击查询的时候。
谢颖颖:有一个同意。
何延哲:里面有这样一句话,您在充分地、有效地、不可撤销地明示同意并授权我们使用您的社保账户密码为您提供查询服务。
谢颖颖:不可撤销。
何延哲:隐私权政策里面还有这样的条款,模拟您登录学信网、社保、公积金、运营商网站等获取您的个人信息。您想您如果同意了这样的隐私协议,您相当于认可它拿走你的这些数据,他拿走之后干了什么我们就不知道了。您看到这样的条款之后还会查询这个吗,还会使用这款app吗?
谢颖颖:不是官方我肯定不信任,不会再使用这样的app。
何延哲:没错,相信很多人都是这样考虑的。社保官方的渠道也是通到了这样的app,它没有得到官方的授权,提醒大家不要下载,不要使用,谨防自己的社保信息泄露。
谢颖颖:类似这样的app是不是很多?
也有很多,比如查社保、公积金、违章甚至订票,非官方的app都会截留用户的这些信息。
谢颖颖:看起来在数字时代这些app强制索权、过度用权的行为还是非常多的,所以我们呼吁监管要更多加强才能保护我们每一个人的信息安全。