分类: 智能手机
苹果 iOS 部份
『官方』软件搜集隐私数据所引起的讨论,在
苹果跳出来说明以后,也算是平息了不少 iOS 使用者的疑虑;不过这方面的问题恐怕还没解决,因为就算官方有做好资安的控管,其它第三方软件开发者不见得有那个时间、技术成本去处理类似的问题,最近来自 Bucknell University 的网络管理主任,同时也是两届 DefCon 冠军的 Eric Smith 就对 iPhone 第三方软件可能造成的资安隐忧提出警告。
他直言苹果在官方软件、服务个资搜集过程中,采取让使用者手机、使用者本身相关信息随机化(也就是说回传的信息无法跟 任一个人、iPhone 手机连结)这类的步骤,似乎没有太多的第三方软件开发者有类似的处理,在从手机回传资料的过程,可能一并将使用者的个人信息、手机本身的识别码、手机的位置等,在没有安全保护的状况下一起回传到对应的数据库,而这中间就很有可能被有心人士所截取、利用。
根据 Smith 拿目前 57 个 iTunes 上头热门 App 所传送资料的研究结果,他发现有部份 App 会将 iPhone 的 UDID 识别码跟使用者的一些个人数据以纯文字内容挟带送出,而这些软件包括了 Amazon、Chase Bank、Target 及 Sam's Club 这些跟金流相关的服务提供者,其中有部份虽是有通过 SSL 加密来传输,但毕竟不是全部;UDID 识别码目前被广泛利用来储存一些个人信息及防软件的盗拷,Smith 担心有心人士可能通过这些信息(加上 GeoIP 等)来掌握个人的行踪,那对于个人隐私、人身安全可以说是莫大的威胁。
这时候如果有人要跳出来责备苹果,请先冷静,一如先前所言,软件开发者才必须要负起这方面的责任,因为苹果对于软件开发的规范当中,也有明文禁止软件在没有适当保护机制、让使用者了解这些信息的用途等状况下,软件不得要求、传送 UDID、账号信息等内容,而且使用者在提交任何的个人信息之前,也必须清楚软件开发者会拿这些信息拿干啥,换言之,如果使用者有疑虑,那一开始就尽量避免提交这些敏感的信息;未来苹果会不会针对这方面的问题更严格要求软件开发者,或是提供另一套解决方案,各位 iOS 的用家请密切注意后续的发展。
引用来源 |
此文章网址 |
转寄此文章 |
回应
