倫敦資安公司示警,TCL 天氣預報 APP 祕密收集用戶資料

作者 | 發布日期 2019 年 01 月 03 日 14:35 | 分類 資訊安全 follow us in feedly


最近只要商業行為與中國的科技公司有關,國安疑慮都容易踩到各國敏感神經,現在連中國的應用程式都遭質疑。一家倫敦資安公司調查發現,中國一款免費氣候預報應用程式透過用戶智慧手機收集太多用戶資訊,且在未經許可下讓用戶訂閱一些付費才能使用的服務,這款應用程式還是 Google Play 下載次數最多的氣候預報程式。

華爾街日報(WSJ)報導,應用程式「天氣預報──世界天氣準確雷達」(Weather Forecast-World Weather Accurate Radar)是來自中國深圳的 TCL 集團,TCL 旗下有阿爾卡特與黑莓手機,集團企業還生產電視機。Upstream Systems 指控 TCL 利用應用程式收集智慧手機的位置、用戶 email,以及 15 位數的國際行動裝置辨識碼(IMEI)。

且天氣應用程式還試圖讓巴西、馬來西亞和尼日等國家 10 萬多名低成本阿爾卡特智慧手機用戶使用需付費的 VR 服務,用戶如果沒有發現且阻止收費步驟,TCL 將可從用戶端收到超過 150 萬美元費用。後來經過報導揭露,TCL 取消這種試圖讓用戶付費的設定,但仍在持續收集用戶數據。

報導指出,TCL 應用程式的嘗試訂閱付費服務設計,來自阿爾卡特智慧手機預設的應用程式版本,如果不採取某些步驟,一般用戶無法從設備刪除此應用程式。想使用該應用程式的人會被要求接受最終用戶許可協議,同意應用程式方收集他們的數據。

通常天氣應用程式需要用戶的位置來提供天氣資訊,但是 TCL 的應用程式為人詬病的是要求超出合理範圍,例如 IMEI 號碼和電子郵件地址。

這款應用程式專為 Android 操作系統的智慧手機設計,沒有 iOS 版本。自 TCL 於 2016 年 12 月發表應用程式以來,下載量已超過 1 千萬次。據行動應用分析公司 App Annie 稱,這款應用程式已躋身約 30 個國家的前五大天氣應用之列。

Upstream Systems 先前也揭露一家台灣廣告公司 GMobi 預設安裝在緬甸、柬埔寨和巴西銷售的智慧手機應用程式收集過多用戶資料,後來 GMobi 被洛杉磯數位廣告公司 Airpush 收購。Airpush 方面表示,新興市場用戶通常是首次使用智慧手機的用戶,大多數發展中國家缺乏健全的隱私規範,因此容易受到影響。

(首圖來源:Flickr/cosmo_71 CC BY 2.0)