5中資手機Apps取用戶敏感資料 淘寶全球資料即傳內地伺服器 專家：可監控用戶生活

5中資手機Apps取用戶敏感資料淘寶全球資料即傳內地伺服器專家：可監控用戶生活

[2016.12.11] 發表

【明報專訊】繼來電攔截程式泄露全球30億人的電話號碼後，再爆出手機應用程式私隱危機。傳真社測試5款中資開發的應用程式，包括微信(WeChat)、淘寶、淘寶全球、支付寶錢包及天貓，發現上述程式都會存取並記錄可識別用戶身分的敏感資料，淘寶全球甚至即時把資料傳送到內地伺服器。電腦保安專家指出，整合從不同應用程式收集的資料便可監控用戶生活，建議避免使用或在常用的手機安裝可疑應用程式。

傳真社測試證實，上述應用程式要求用戶授權「讀取手機狀態及識別碼」，後者包括每部手機獨有的國際移動設備識別碼(IMEI)；電訊商為個別裝置所編號碼(IMSI)；以及每張SIM卡獨有的識別碼(ICCID)，均可識別用戶身分。這些資料在首次開啟程式時便被記錄，程式另會存取用戶電話號碼、位置及錄音。傳真社為敏感資料加上記號，追蹤發現淘寶全球把用戶的IMEI和IMSI傳送至杭州阿里巴巴廣告有限公司。此外，支付寶錢包的安裝檔含木馬程式，可攔截並盜取用戶短訊；淘寶則有惡意軟件，可盜取手機內資訊。

倡用低額信用卡勿解除原廠限制

華爾基利信息安全研究組織電腦保安研究員賴灼東指出，不同應用程式收集的資料各異，只要把資料整合及互相比對，便可了解用戶生活習慣，例如透過購物和位置紀錄，知道其常買商品、常到訪地點等，達到監控效果。他建議避免使用可疑應用程式，至少不要在常用的手機安裝；若需登記信用卡資料作網上購物，最好選擇信用限額較低的信用卡。

賴與資訊科技界立法會議員莫乃光都不鼓勵root機(解除原廠限制)。賴指出，原廠設定不准應用程式存取手機內部分只限系統使用的功能，若用戶自行解除限制，等於容許應用程式變成手機管理員，輕易提取資料。莫補充，root機後易受間諜軟件攻擊。

禁個人資料轉移外地條例未生效

個人資料私隱專員公署回覆表示，不宜評論個別應用程式是否違規。《個人資料(私隱)條例》第33條禁止把個人資料轉移至香港以外地方，目前尚未生效。法政匯思發言人蔡騏指出，由於用戶已同意應用程式條款，且《條例》第33條未生效，應用程式營運商毋須獲用戶同意便可轉移資料至內地。公署建議用戶安裝程式前查明其私隱政策；安裝後定期檢視其權限設定，如有懷疑應移除程式。

阿里巴巴：驗證身分反詐騙之用

開發淘寶、淘寶全球及天貓的阿里巴巴集團回覆傳真社，識別碼及電話號碼用於驗證用戶身分及反詐騙等安全措施，例如IMEI用以判斷帳戶有否被盜用，以提示用戶需重新登錄。集團亦否認淘寶有惡意軟件。螞蟻金服回覆表示，支付寶錢包在得到用戶授權後收集其手機識別碼，用以保障用戶的帳戶安全。WeChat則未作回應。