「美圖秀秀」最近在國內臉書、Line 上面很熱門,很多人都會用這個 App 給自己畫上一個像是動漫一般的可愛妝,把自己變成大眼睛、白皮膚的粉嫩臉孔,然後上傳到網站上跟大家分享。同樣的,在美國也是一樣,最近很多大明星以及網友,都在紛紛彼此比較誰的圖更萌、更粉嫩。
不過,國外有安全專家表示,如果你要在 App Store 或是 Google Play 下載安裝美圖秀秀前可能要先知道,當你發送可愛的照片的時候,你的個人隱私資訊可能也跟著流傳了出去。
這位名叫 Jonathan Zdziarski 的資安專家表示,他在 Android 版本的美圖秀秀上,發現這款軟體跟你要的權限太多了。一般的修圖軟體可能跟你會要求你的手機相機、記憶卡以及網路連接等權限授權,這些都是很合理的。但是,美圖秀秀則是還進一步要求你的定位訊息、電話號碼以及開機自動執行、裝置唯一識別碼、電信商資訊以及 Wi-Fi 連接狀況。
當然,只要你用過一些中國製造的 App,這種現象似乎並不罕見,這些 App 總是跟你要求過多的權限,雖然你無法理解,一款修圖軟體為什麼需要知道你的電話號碼。
而 iOS 也沒有好到哪裡去,他也在美圖秀秀 iOS 版裡頭發現了一些奇怪的程式碼,根據這些程式碼,美圖秀秀可以檢查你正在使用的手機是否越獄過,以及使用的是什麼電信商的服務,甚至還可以知道這款手機使用的 MAC 地址。美圖秀秀的 iOS 版本,可能已經違反 App Store 的官方政策。
Jonathan Zdziarski 推測,這款 App 正在把這些使用者的資訊賣給其他公司,好讓其他公司可以利用這些資訊,向使用者推送廣告。
至於美圖則透過媒體回應表示,他們使用這些資料的目的是為了身分保護、服務升級、犯罪調查和客戶回饋。「我們和蘋果、Google 就每一次產品發布進行了密切合作,而且我們嚴格遵守隱私條款。」
(本文由 T客邦 授權轉載)
由於〈美圖秀秀〉的資安問題引發許多討論,該公司也針對資安問題提出相關說法,其官方聲明如下:
美圖嚴格遵守各大平臺安全條款,嚴格保護用戶隱私:
- 在 iOS 平臺,按照 App Store 規定,不會收取使用者資料。
- Android 使用的特殊許可權包括:
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/ >
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION"/>
並未讀取使用者的電話號碼這個資訊。
我們使用以下資料來進行使用者資料統計(安裝、活躍度等)。因為中國市場無法使用 Google Play (被隔離),因此我們使用協力廠商和自己的統計系統。為了確保統計資訊的唯一性,我們使用了以下內容:
- Mac Address/IMEI:我們在部分情況下無法同時獲取兩者資訊,部分情況下不同設備會出現上述設備 ID 相同的情況,因此需要兩個 ID 組合成唯一 ID 來標識使用者設備
- 區域網路 IP 位址:防止商業作弊
- SIM 卡國家編碼(用於粗略定位國家)
- 定位(GPS,網路定位):區分國家和地區,作為廣告系統的投放標準
- 電信公司資訊是標準的統計維度之一,可以參考知名協力廠商統計工具 Flurry
美圖重視客戶個人資訊保護工作,在使用者資訊方面:
採用 https 傳輸協定對使用者的資訊進行加密傳輸,保障使用者資訊在傳輸中的安全。並且使用者的資訊進行強制且多層加密存儲,防止使用者資料洩露。 此外,我們的伺服器執行嚴格的許可權存取控制,機房配備高級防火牆以及 IDS、IPS 設備,阻斷外來攻擊,我們同時配備專業的安全團隊進行 24 小時安全應急回應, 第一時間保護用戶的隱私安全。
美圖的內部系統執行嚴格的訪問授權機制,限制員工接觸使用者資料。