美圖秀秀很好玩?國外安全專家表示內有可疑程式碼,不建議下載

作者 | 發布日期 2017 年 01 月 23 日 7:00 | 分類 app , 手機 , 資訊安全 follow us in feedly

「美圖秀秀」最近在國內臉書、Line 上面很熱門,很多人都會用這個 App 給自己畫上一個像是動漫一般的可愛妝,把自己變成大眼睛、白皮膚的粉嫩臉孔,然後上傳到網站上跟大家分享。同樣的,在美國也是一樣,最近很多大明星以及網友,都在紛紛彼此比較誰的圖更萌、更粉嫩。




不過,國外有安全專家表示,如果你要在 App Store 或是 Google Play 下載安裝美圖秀秀前可能要先知道,當你發送可愛的照片的時候,你的個人隱私資訊可能也跟著流傳了出去。

T客邦配圖

這位名叫 Jonathan Zdziarski 的資安專家表示,他在 Android 版本的美圖秀秀上,發現這款軟體跟你要的權限太多了。一般的修圖軟體可能跟你會要求你的手機相機、記憶卡以及網路連接等權限授權,這些都是很合理的。但是,美圖秀秀則是還進一步要求你的定位訊息、電話號碼以及開機自動執行、裝置唯一識別碼、電信商資訊以及 Wi-Fi 連接狀況。

當然,只要你用過一些中國製造的 App,這種現象似乎並不罕見,這些 App 總是跟你要求過多的權限,雖然你無法理解,一款修圖軟體為什麼需要知道你的電話號碼。

而 iOS 也沒有好到哪裡去,他也在美圖秀秀 iOS 版裡頭發現了一些奇怪的程式碼,根據這些程式碼,美圖秀秀可以檢查你正在使用的手機是否越獄過,以及使用的是什麼電信商的服務,甚至還可以知道這款手機使用的 MAC 地址。美圖秀秀的 iOS 版本,可能已經違反 App Store 的官方政策。

Jonathan Zdziarski 推測,這款 App 正在把這些使用者的資訊賣給其他公司,好讓其他公司可以利用這些資訊,向使用者推送廣告。

至於美圖則透過媒體回應表示,他們使用這些資料的目的是為了身分保護、服務升級、犯罪調查和客戶回饋。「我們和蘋果、Google 就每一次產品發布進行了密切合作,而且我們嚴格遵守隱私條款。」

(本文由 T客邦 授權轉載)

由於〈美圖秀秀〉的資安問題引發許多討論,該公司也針對資安問題提出相關說法,其官方聲明如下:

美圖嚴格遵守各大平臺安全條款,嚴格保護用戶隱私:

  • 在 iOS 平臺,按照 App Store 規定,不會收取使用者資料。
  •  Android 使用的特殊許可權包括:

<uses-permission android:name="android.permission.READ_PHONE_STATE"/>

<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/ >

<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION"/>

並未讀取使用者的電話號碼這個資訊。

我們使用以下資料來進行使用者資料統計(安裝、活躍度等)。因為中國市場無法使用 Google Play (被隔離),因此我們使用協力廠商和自己的統計系統。為了確保統計資訊的唯一性,我們使用了以下內容:

  • Mac Address/IMEI:我們在部分情況下無法同時獲取兩者資訊,部分情況下不同設備會出現上述設備 ID 相同的情況,因此需要兩個 ID 組合成唯一 ID 來標識使用者設備
  • 區域網路 IP 位址:防止商業作弊
  • SIM 卡國家編碼(用於粗略定位國家)
  • 定位(GPS,網路定位):區分國家和地區,作為廣告系統的投放標準
  • 電信公司資訊是標準的統計維度之一,可以參考知名協力廠商統計工具 Flurry

美圖重視客戶個人資訊保護工作,在使用者資訊方面:

採用 https 傳輸協定對使用者的資訊進行加密傳輸,保障使用者資訊在傳輸中的安全。並且使用者的資訊進行強制且多層加密存儲,防止使用者資料洩露。 此外,我們的伺服器執行嚴格的許可權存取控制,機房配備高級防火牆以及 IDS、IPS 設備,阻斷外來攻擊,我們同時配備專業的安全團隊進行 24 小時安全應急回應, 第一時間保護用戶的隱私安全。

美圖的內部系統執行嚴格的訪問授權機制,限制員工接觸使用者資料。

延伸閱讀:

關鍵字:

發表迴響