微信扫一扫
分享到朋友圈
爆红的“子弹短信”,犯了大多国产App都会犯的错!
近日,上线才一周的子弹短信可谓风头无两,不仅迅速登顶苹果App Store免费榜和社交榜,还刚刚获得了1.5亿A轮融资。不过,有媒体曝出,子弹短信存在重大的安全隐患,不法分子可以轻易从网页源代码获得用户姓名、手机号、社交媒体账号等个人信息。还有网友反映,注册子弹短信账号之后无法注销。
南都记者亲测发现,虽然网页源代码的问题已经被修复,但子弹短信依然存在未获授权收集个人信息、未经用户明示同意调用短信、无法注销等问题。南都个人信息保护研究中心认为,一款新的产品能迅速蹿红,证明了它本身的价值与魅力,而子弹短信的隐私争议,源于现今国内软件产品的普遍弊病——占领市场为先,安全隐私稍后再谈。
子弹短信此前被曝隐私泄露问题
8月20日,子弹短信在锤子科技新品发布会上首次亮相,并在短短几天内迅速爆红。数据显示,子弹短信仅用了三天就蹿升至苹果App Store总榜单第一名,目前(29日)仍在免费榜中排名第一。
但就在8月21日,有网友发现,当用户第一次使用子弹短信向手机通讯录中的好友发送信息时,子弹短信会帮该用户生成一个个人页面,任何人都可以通过这个页面的源代码查看该用户的个人信息,包括该用户的ID、昵称、手机号及微博、微信、QQ等账号信息。
此外,网友指出,子弹短信使用“自增 ID”,也存在隐私漏洞。所谓“自增ID”,简单来说,就是用户ID 按注册顺序排列(第一个注册者ID 是1,第二个注册者 ID 是2,依次类推)。网友认为,攻击者可能通过前述网页源代码依次输入用户ID,从而大批量查询、导出用户个人信息。
接到网友反馈后,子弹短信官方关闭了前述页面。
8月23日,子弹短信官方微博回应称,已经对“自增ID”进行了紧急修复,且之前的接口设置有限频功能,第三方不能够将用户信息批量导出。子弹短信团队对用户隐私非常重视,一定更加严谨地保障用户的信息安全。
29日晚,子弹短信发布声明,再次解释网页源代码和添加陌生人可看到手机号等隐私问题均已被修复。
不少隐私合规问题依然存在
然而,南都记者注意到,子弹短信依然存在不少隐私合规问题。
1、未经用户授权收集手机号码
南都记者亲测发现,不同于一般App注册前须勾选同意用户协议,子弹短信的注册页面只需输入手机号和验证码,没有任何说明如何收集、使用用户信息的用户协议或隐私政策。
左为注册页面,右为设置页面。
只有完成注册以后,才能在“设置”里看到《子弹短信隐私协议》和《子弹短信服务条款》。这意味着,子弹短信可能在未经用户授权的情况下就已经收集了用户的手机号码。
根据《子弹短信隐私协议》,快如科技收集的个人信息包括姓名、电话号码、身份证、面部特征、指纹信息、位置信息等。
收集了这么多个人信息甚至个人敏感信息,子弹短信对于信息安全的承诺却并不令人放心。
《子弹短信隐私协议》称,快如科技将尽合理的努力保障您的信息安全,但是您应当知道快如科技不能完全避免与个人信息安全相关的风险(特别是发生快如科技无法控制的情况时,如不可抗力或第三方原因),因此,快如科技对隐私信息的维护或保密无法做出任何确定性的保证或承诺。
2、未经用户明示同意调用短信
子弹短信官微置顶的微博列出的添加好友方法中提到,“你也可以给还没有注册子弹短信的好友直接‘发送消息’,对方会从本机短信通道直接收到你的信息”。
南都记者发现,当子弹短信用户向没有注册的用户发送消息时,会直接替用户编辑好短信内容并跳转到短信页面,以用户自己的手机号向对方发出“邀请你开通子弹短信”的信息,同时手机号码也会直接被显示在收到的短信里。
左为短信发送方,右为短信接收方。
3、无法注销
上海的黄先生向南都记者反映,他注册子弹短信后想要注销,却发现无从下手,“App里连一个客服电话都没有”。然而,在《子弹短信隐私协议》里却明明白白地写着:“在您主动注销账号时,快如科技会根据使用法律法规的要求尽快使其匿名或删除您的个人信息。”
对此,子弹短信在微博回应称,目前账号注销功能正在开发测试中,待稳定运行后,会尽快上线。
子弹短信无法注销或涉嫌违约
今年5月实施的国家标准《信息安全技术 个人信息安全规范》规定,收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则,并获得个人信息主体的授权同意。在收集个人敏感信息时,还应取得个人信息主体的明示同意,并确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。
“隐私政策肯定是要在用户注册之前呈现的”,中国信息安全研究院副院长左晓栋指出。从注册流程一开始,用户输入手机号时,就不能排除子弹短信就已经在用户不知情的情况下收集个人信息,这违反了上述国家标准的要求。即便在注册后再让用户阅读隐私政策及相关协议,实际意义也不大。
他认为,子弹短信调用短信权限的行为作为一种业务模式,本身无可厚非,但应该事先采用弹窗等增强型告知形式通知用户,并详细说明调用目的,在经过用户明示同意之后,才能使用该权限。
此外,虽然发送短信的动作是用户自主做出的,但在一连串的操作下,用户可能没有足够的思考时间就发出了短信,并不完全出于自愿。在这种情形下,虽然子弹短信规避了自身风险,但难免有转嫁责任之嫌。
针对子弹短信的免责条款,左晓栋表示,一方面锤子科技在个人信息保护领域还算“生手”,不像BAT已经形成了专业的隐私合规团队,子弹短信的开发人员可能缺乏个人信息保护方面的认识,使得隐私政策的措辞过于随意;另一方面子弹短信在隐私合规上的确不尽人意,关注度又高,更容易被网友吐槽。
“《子弹条款隐私协议》本质上可视为企业与用户签订的合同,既然对注销功能做出了承诺,就要保障用户的权利”,他提到,子弹短信没有按照条款保证去做肯定属于违约行为。“事实上,目前无法注销的情况大范围存在且无人监管,这已经成了互联网企业的常态。”
南都个人信息保护研究中心认为,一款新的产品能迅速蹿红,证明了它本身的价值与魅力,但子弹短信在蹿红的同时受到的隐私争议,源于现今国内软件产品的普遍弊病——占领市场为先,安全隐私稍后再谈。国际知名安全技术专家Bruce Schneier近日就表示,现如今,计算机领域很多安全问题都是历史遗留问题。计算机在设计之初并没有考虑安全概念,一些不安全的协议流传至今仍在使用,这也导致计算机世界的不安全。
因此,在设计之初或在制定政策与战略时,就让安全技术人员参与其中是有效避免出现隐私争议的重要方式。在这个鼓励互联网不断创新的时代,将安全与用户隐私在设计伊始就摆在足够高度的初创者,才能够在这场市场竞争的长跑中一路领跑。
南方都市报(nddaily)原创报道
南都记者 蒋琳 冯群星 实习生 尤一炜
* 南方都市报(nddaily)原创内容未经授权,不得转载。
标星+置顶南方都市报
一秒找到南都君
▼
觉得本文不错的,点个 ↓↓
1、头条易读遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2、本文内容来自“南方都市报”微信公众号,文章版权归南方都市报公众号所有。
