当前位置 >中科服首页>新闻资讯 > 行业新闻

拥有2500万用户的豌豆荚被爆窃取用户隐私信息

发布时间:2014-01-06 16:03:47      文章分类:行业新闻

    3月06日报道:拥有2500万用户的豌豆荚手机助手“暗地”窃取用户隐私?昨日,网上爆出的这一消息让众多安卓用户大为震惊。首先爆出该问题的网站昨日再次发表一个测试结果。记者昨日分别致电豌豆荚相关人士以及爆料的公司相关人士,双方都证实豌豆荚有收集用户数据的过程,但目前并没有证据证明用户隐私信息被窃取。
 
  而有业内人士表示,目前在众多手机应用中,都要用户开“调试模式”,这对手机用户的隐私安全来说是非常不利的,但如果不开调试模式,用户又无法让手机与PC连接,用户陷入两难境地。
 
  爆料的蚕豆网是提供手机平板应用下载平台。豌豆实验室联合创始人王俊煜此前表示,“每个豌豆荚用户手机上平均安装78个应用,却只有28张照片和24首歌”。蚕豆网为此质疑,称豌豆荚是一款Android系统智能手机管理工具,其仅用于Android系统智能手机与电脑同步数据。豌豆荚如若能够得知用户所使用的智能手机中应用、照片甚至歌曲的数量,也就意味着豌豆荚或许存在窃取用户隐私信息的可能性。
 
  同时,蚕豆网表示,其编辑反复查看豌豆荚客户端中“授权协议”内容,在“个人信息与隐私保护”条款中明确写有“本产品涉及的个人数据的网络储存功能及数据共享服务,是用户自愿申请与参与的。产品本身对用户数据采用高安全级别的加密方案,以保护用户的隐私安全”。值得注意的是,这份“授权协议”中并未提及豌豆荚有可能将上传用户隐私信息至豌豆荚服务器。
 
  测试结果:有上传行为但无法判定是否窃取隐私
 
  蚕豆网昨日再公布其测试中心从通讯录、短信、图片以及Android版等五个方面,分别对豌豆荚手机精灵多个版本进行数据传输测试的结果,结果显示,有的版本存在数据上传情况。
 
  蚕豆网测试中心推测,豌豆荚手机精灵上传数据包内容主要包含两个方面:1.记录用户在豌豆荚上操作所执行的行为轨迹;2.豌豆荚手机精灵记录短信收件人及发件人联系方式、或用户上传的图片部分属性等。
 
  记者昨日致电蚕豆网相关人士,一位李先生对本报记者表示,从测试结果看,就是存在用户手机数据上传到豌豆荚服务器这个动作,但在传输过程中,用户的数据是加密处理的,因此从现在的结果看,蚕豆网无法判定豌豆荚有窃取用户隐私。
 
  豌豆荚:收集用户数据的汇总统计信息
 
  记者昨日致电豌豆荚公司,相关人士表示,豌豆荚不会也不可能窃取用户隐私。记者随后在豌豆荚官网看到,豌豆实验室联合创始人王俊煜在3月4日写了一个非常详细的用户隐私说明。在说明中,王俊煜表示,他自己在两年前写下的“豌豆荚 Windows 版”用户隐私三大原则至今没有变化:第一,仅收集真正有助于提升用户体验的尽可能少的信息。 第二,不得收集任何可能识别出用户唯一个人身份的信息。第三,将个人信息的收集透明化,不得隐瞒欺骗用户。
 
  同时,王俊煜透露,豌豆荚服务器收到的信息可划分为两类,一类是关于用户如何使用“豌豆荚 Windows 版”的信息,另外一类是用户所拥有数据的汇总统计信息。具体包括用户手机硬件配置及软件版本、豌豆荚本身的信息、关于软件质量的信息、关于手机连接的信息、各功能的使用统计以及用户手机下载功能的使用情况等等。
 
  而对于用户在通讯录中有多少个联系人、其中有多少人被加入了收藏夹、用户总共安装了多少应用、手机中存放了多少音乐、图片和视频等信息,王俊煜表示,豌豆荚仅统计汇总信息。
 
  同时,王俊煜表示,绝对不会收集用户的本人电话号码、通讯录电话号码、调制解调器的电话号码、用户的任何短信内容,以及用户通过豌豆荚以外的其他产品下载的音乐、视频、照片、电子书等内容。
 
  业内:完全靠开发企业自律
 
  昨日有业内人士表示,网络安全是相对的,目前为了争夺手机用户,有的应用基本上没考虑过安全。而目前在手机上的应用开发越来越多,而在手机助手应用中,用户要想和PC进行连接,就必须打开手机中的“调试模式”,业内人士认为,一旦打开“调试模式”,则相当于把手机打开了一个通道,这就让用户手机陷入不安全境地。
 
  该人士表示,目前用户没有更好的解决方案,要不就不用这些应用工具,要不就只能打开“调试模式”。而是否这些公司会非法利用这些“通道”,完全靠开发应用的企业自律。而正如王俊煜在“说明”中表示,豌豆荚唯一能赢得用户的信任的途径,即是高度自律。作为一款互联网产品,豌豆荚必须对用户隐私慎之又慎,避免重蹈行业前辈们的覆辙。
 
  广东电信计划今年新增2万个接入点
 
  应选择有密码认证的WiFi网络
 
  (记者薛松)“假WiFi”问题经本报曝光后,引起了读者的关注。据广东电信相关负责人透露,目前广东电信WiFi在全省共有5万个接入点,主要集中在校园、酒店宾馆、机场/火车站、大型购物广场、聚类市场、商务楼、休闲娱乐等七类场所,计划今年还将新增2万个WiFi热点。
 
  如何识别真假WiFi?真WiFi网络是否就一定安全?安全专家和运营商人士建议,用户应尽量选择那些需要账号密码认证的免费网络。
 
  用户在公共场合选择WiFi热点时,一定要看清楚热点名称,黑客一般会起非常相近、容易迷惑人的WiFi名字,如Starbucks 2、KFC1等等,用户要问现场柜台人员,不能轻易选择。
 
  金山网络信息安全专家李铁军提醒用户,相对而言,在公共场合,目前国内运营商提供的免费WiFi热点安全性相对较高。
  专家教你识别假WiFi
 
  疑问一:怎么确定搜索到的WiFi接入点是运营商提供的呢?
 
  广东电信相关负责人解释:电信提供的免费WiFi均需要账号密码做身份认证,使用时会有专门的Portal认证页面或者专用的客户端软件。而部分商家和黑客提供的免费WiFi基本上用户无需确认身份即可使用。因此,用户可以根据有无需要密码认证来辨别是否为运营商提供的WiFi。
 
  疑问二: 多个用户在公共场所连接到同一个WiFi网络里也可能发生恶意攻击窃取信息的情况吗?
 
  广东电信技术人员解释称,电信的WiFi网络都是采用电信运营级的网络设备,性能比家庭级设备稳定。并且,电信WiFi组网时都部署了安全措施,如身份认证、安全隔离等,在一些高安全要求的地区还应用了无线空口加密、VPN等安全技术。
中科服网络 www.zhongkefu.com.cn