美图秀秀美国意外走红,却遭安全专家吐槽

下一篇文章

轻薄化,小型化,游戏市场能成为 PC 的救命稻草吗?

昨天,美图秀秀意外在大洋彼岸爆红,从特朗普希拉里的玉照开始,Instagram 和 Facebook 上到处都是过度磨皮的老美自拍。在中国,美图秀秀已然成为一代修图神器, 美图的母公司一个月前也成功在香港上市 ,成为港交所市值仅次于腾讯的第二大科技公司。在美国,美图秀秀则刚刚为人所知 24 个小时,不过表现相当惊人。在 iOS App Store,它已经冲到了 总榜 55,摄影类第 7(甚至超过神器 VSCO);在 Play Store 也冲到了 摄影类第 25 位

不过,安全专家对这款免费的修图神器表达了一丝忧虑:作为一款照片应用,它申请获取的手机信息有点太多了。

当然,美图秀秀并不是市场上唯一一个对用户资料狮子大张口的照片应用,只不过这样的设置对于那些对隐私敏感的用户来说并不友好。

一般来说,用户只需要给照片应用授予访问相机和相簿的权限就能满足它的拍摄、编辑、储存功能,信息安全研究员 Greg Linares 指出 ,Android 版美图秀秀还想知道你安装了什么应用;你手机唯一的 IMSI 码;你的通信记录、运营商信息和 WIFI 信息。

安全分析师 Jonathan Zdziarski 指出,iOS 版美图秀秀也收集许多数据,包括你的运营商信息,手机是否越狱等等,好在 IMSI 号因为苹果的限制无法被获取。Zdziarski 还认为美图秀秀里的一些代码可能有违反 App Store 关于信息收集的政策,对此我们已经向苹果发去问询。

著名 iOS 安全专家 Will “Chronic” Strafach 使用 Verify.ly(一款分析手机应用隐私保护功能的工具)分析了美图的 iOS 应用,他的结论是:“在信息收集方面,iOS 版美图秀秀已经极端克制。虽然它使用的分析工具也会收集一些不算非常敏感的信息如移动运营商,但这也是其他应用里常见的。”

“人们往往不知道这些事情是惯例还是特例。很多人也认为 Android 应用比 iOS 应用更具侵略性。我认为这可以作为讨论的开端,我希望这件事可以鼓励更多安全人员对更多主流应用做一遍隐私检查,”他说。

滥用接口授权并不是美图的专利,许多免费应用的(潜在)盈利模式就是用数据换使用,这些收集到的数据可以转卖给市场分析,也可以自己拿来寻找盈利的途径。

“这已经是一种常态,”Linares 说。“在现在这个社会,人们会为了点赞转发攒粉把自己的信息安全抛在脑后。”

尽管美图表示这些数据会完全匿名,只会用于产品的优化,但 Linares 指出,暴露一些数据会比想象中危险。比如 Android 版美图获取的每部手机唯一的 IMSI 号,通过这个号码,用户的行为会被完全暴露,无论是使用其他应用还是浏览网页。

对于这个问题,美图发言人回复说:“我们注意到了有关报告,我们很高兴收到媒体和用户的反馈……我们在这里特别保证,我们无比重视用户隐私,我们与苹果和 Google 紧密合作,保证每个产品、每个版本的安全。”

美图回避了关于为什么需要收集不同种类信息,以及如何使用这些信息的问题,一些安全分析师指出,美图收集 IMSI 号是响应国家网信办的 《移动互联网应用程序信息服务管理规定》 中实名制的有关条款。

“问题就是,你愿意把隐私交给你不认识的公司吗?我不会。如果我有不提供隐私信息的选择,我绝对不会把它轻易交给别人。”Linares 说。

blog comments powered by Disqus