每日最新頭條.有趣資訊

爆紅的“子彈簡訊”,犯了大多國產App都會犯的錯!

近日,上線才一周的子彈簡訊可謂風頭無兩,不僅迅速登頂蘋果App Store免費榜和社交榜,還剛剛獲得了1.5億A輪融資。不過,有媒體曝出,子彈簡訊存在重大的安全隱患,不法分子可以輕易從網頁源代碼獲得用戶姓名、手機號、社交媒體账號等個人資訊。還有網友反映,注冊子彈簡訊账號之後無法注銷。

南都記者親測發現,雖然網頁源代碼的問題已經被修複,但子彈簡訊依然存在未獲授權收集個人資訊、未經用戶明示同意調用簡訊、無法注銷等問題。南都個人資訊保護研究中心認為,一款新的產品能迅速躥紅,證明了它本身的價值與魅力,而子彈簡訊的隱私爭議,源於現今國內軟體產品的普遍弊病——佔領市場為先,安全隱私稍後再談。

子彈簡訊此前被曝隱私泄露問題

8月20日,子彈簡訊在錘子科技新品發布會上首次亮相,並在短短幾天內迅速爆紅。數據顯示,子彈簡訊僅用了三天就躥升至蘋果App Store總榜單第一名,目前(29日)仍在免費榜中排名第一。

但就在8月21日,有網友發現,當用戶第一次使用子彈簡訊向手機通訊錄中的好友發送資訊時,子彈簡訊會幫該用戶生成一個個人頁面,任何人都可以通過這個頁面的源代碼查看該用戶的個人資訊,包括該用戶的ID、昵稱、手機號及微博、微信、QQ等账號資訊。

此外,網友指出,子彈簡訊使用“自增 ID”,也存在隱私漏洞。所謂“自增ID”,簡單來說,就是用戶ID 按注冊順序排列(第一個注冊者ID 是1,第二個注冊者 ID 是2,依次類推)。網友認為,攻擊者可能通過前述網頁源代碼依次輸入用戶ID,從而大批量查詢、導出用戶個人資訊。

接到網友反饋後,子彈簡訊官方關閉了前述頁面。

8月23日,子彈簡訊官方微博回應稱,已經對“自增ID”進行了緊急修複,且之前的接口設定有限頻功能,第三方不能夠將用戶資訊批量導出。子彈簡訊團隊對用戶隱私非常重視,一定更加嚴謹地保障用戶的資訊安全。

不少隱私合規問題依然存在

然而,南都記者注意到,子彈簡訊依然存在不少隱私合規問題。

1、未經用戶授權收集手機號碼

南都記者親測發現,不同於一般App注冊前須勾選同意用戶協定,子彈簡訊的注冊頁面只需輸入手機號和驗證碼,沒有任何說明如何收集、使用用戶資訊的用戶協定或隱私政策。

左為注冊頁面,右為設定頁面。

只有完成注冊以後,才能在“設定”裡看到《子彈簡訊隱私協定》和《子彈簡訊服務條款》。這意味著,子彈簡訊可能在未經用戶授權的情況下就已經收集了用戶的手機號碼。

根據《子彈簡訊隱私協定》,快如科技收集的個人資訊包括姓名、電話號碼、身份證、面部特徵、指紋資訊、位置資訊等。

收集了這麽多個人資訊甚至個人敏感資訊,子彈簡訊對於資訊安全的承諾卻並不令人放心。

《子彈簡訊隱私協定》稱,快如科技將盡合理的努力保障您的資訊安全,但是您應當知道快如科技不能完全避免與個人資訊安全相關的風險(特別是發生快如科技無法控制的情況時,如不可抗力或第三方原因),因此,快如科技對隱私資訊的維護或保密無法做出任何確定性的保證或承諾。

2、未經用戶明示同意調用簡訊

子彈簡訊官微置頂的微博列出的添加好友方法中提到,“你也可以給還沒有注冊子彈簡訊的好友直接‘發送消息’,對方會從本機簡訊通道直接收到你的資訊”。

南都記者發現,當子彈簡訊用戶向沒有注冊的用戶發送消息時,會直接替用戶編輯好簡訊內容並跳轉到簡訊頁面,以用戶自己的手機號向對方發出“邀請你開通子彈簡訊”的資訊,同時手機號碼也會直接被顯示在收到的簡訊裡。

3、無法注銷

上海的黃先生向南都記者反映,他注冊子彈簡訊後想要注銷,卻發現無從下手,“App裡連一個客服電話都沒有”。然而,在《子彈簡訊隱私協定》裡卻明明白白地寫著:“在您主動注銷账號時,快如科技會根據使用法律法規的要求盡快使其匿名或刪除您的個人資訊。”

對此,子彈簡訊在微博回應稱,目前账號注銷功能正在開發測試中,待穩定運行後,會盡快上線。

子彈簡訊無法注銷或涉嫌違約

今年5月實施的國家標準《資訊安全技術 個人資訊安全規範》規定,收集個人資訊前,應向個人資訊主體明確告知所提供產品或服務的不同業務功能分別收集的個人資訊類型,以及收集、使用個人資訊的規則,並獲得個人資訊主體的授權同意。在收集個人敏感資訊時,還應取得個人資訊主體的明示同意,並確保個人資訊主體的明示同意是其在完全知情的基礎上自願給出的、具體的、清晰明確的願望表示。

“隱私政策肯定是要在用戶注冊之前呈現的”,中國資訊安全研究院副院長左曉棟指出。從注冊流程一開始,用戶輸入手機號時,就不能排除子彈簡訊就已經在用戶不知情的情況下收集個人資訊,這違反了上述國家標準的要求。即便在注冊後再讓用戶閱讀隱私政策及相關協定,實際意義也不大。

他認為,子彈簡訊調用簡訊權限的行為作為一種業務模式,本身無可厚非,但應該事先採用彈窗等增強型告知形式通知用戶,並詳細說明調用目的,在經過用戶明示同意之後,才能使用該權限。

此外,雖然發送簡訊的動作是用戶自主做出的,但在一連串的操作下,用戶可能沒有足夠的思考時間就發出了簡訊,並不完全出於自願。在這種情形下,雖然子彈簡訊規避了自身風險,但難免有轉嫁責任之嫌。

針對子彈簡訊的免責條款,左曉棟表示,一方面錘子科技在個人資訊保護領域還算“生手”,不像BAT已經形成了專業的隱私合規團隊,子彈簡訊的開發人員可能缺乏個人資訊保護方面的認識,使得隱私政策的措辭過於隨意;另一方面子彈簡訊在隱私合規上的確不盡人意,關注度又高,更容易被網友吐槽。

“《子彈條款隱私協定》本質上可視為企業與用戶簽訂的合約,既然對注銷功能做出了承諾,就要保障用戶的權利”,他提到,子彈簡訊沒有按照條款保證去做肯定屬於違約行為。“事實上,目前無法注銷的情況大範圍存在且無人監管,這已經成了互聯網企業的常態。”

南都個人資訊保護研究中心認為,一款新的產品能迅速躥紅,證明了它本身的價值與魅力,但子彈簡訊在躥紅的同時受到的隱私爭議,源於現今國內軟體產品的普遍弊病——佔領市場為先,安全隱私稍後再談。國際知名安全技術專家Bruce Schneier近日就表示,現如今,電腦領域很多安全問題都是歷史遺留問題。電腦在設計之初並沒有考慮安全概念,一些不安全的協定流傳至今仍在使用,這也導致電腦世界的不安全。

因此,在設計之初或在制定政策與戰略時,就讓安全技術人員參與其中是有效避免出現隱私爭議的重要方式。在這個鼓勵互聯網不斷創新的時代,將安全與用戶隱私在設計伊始就擺在足夠高度的初創者,才能夠在這場市場競爭的長跑中一路領跑。

南方都市報(nddaily)原創報導

南都記者 蔣琳 馮群星 實習生 尤一煒

* 南方都市報(nddaily)原創內容未經授權,不得轉載。

標星+置頂南方都市報

一秒找到南都君

南都君特選(戳下方標題)

覺得本文不錯的,點個↓↓

獲得更多的PTT最新消息
按讚加入粉絲團