用戶通訊錄被APP監(jiān)控到的可能性很高,搜集用戶數(shù)據(jù)的行為非常頻繁。

當(dāng)你打開一個借款A(yù)PP,你的朋友圈已經(jīng)變成透明的了。

澎湃新聞(www.thepaper.cn)10月24日曾報道,網(wǎng)貸催收者在QQ上建立了上百個信息共享群,而“催客”慣用“呼死你”的手機(jī)轟炸軟件攻擊借款逾期者,甚至是其親友。而具體是如何拿到親友的電話號碼的呢?借款A(yù)PP手機(jī)“讀取通訊錄”功能在其中部分起到了“牽線搭橋”作用。更讓人意想不到的是,網(wǎng)絡(luò)借貸APP“入侵”你的通訊錄,可能正是經(jīng)過你允許的。

上海掌御信息科技有限公司CTO李卷孺表示,如果借貸APP申請了訪問用戶通訊錄的權(quán)限,而且用戶確認(rèn)了,那它就可以隨意讀取,其實安裝的時候都會有提示這個APP申請的權(quán)限,不過通常來說用戶并不會看,都是直接同意的。他還表示,如果完全不經(jīng)過用戶就直接訪問,這種情況比較罕見,一般的APP做不到。

而至于這方面蘋果和安卓手機(jī)的異同,李卷孺稱,蘋果系統(tǒng)會彈出提示,也是需要用戶確認(rèn),只要用戶確認(rèn)了它也是隨意讀取,這一方面并不比安卓隱私保護(hù)更強(qiáng),而安卓要看版本,在5.0和之前版本都只是在安裝這個APP的時候提示,6.0以后以及一些國內(nèi)廠商定制的早期版本,在默認(rèn)情況下,有訪問請求就會提示。

但是這種提示真的有效嗎?

“事實上,用戶通訊錄被APP監(jiān)控到的可能性很高,搜集用戶數(shù)據(jù)的行為非常頻繁。很多APP明目張膽地做,哪怕就是不斷提示,時間長了用戶煩了也會同意,” 李卷孺稱。

網(wǎng)絡(luò)借貸拿到用戶通訊錄等隱私,會轉(zhuǎn)而售賣出去嗎?

一位網(wǎng)貸業(yè)內(nèi)人士表示,一般正規(guī)互聯(lián)網(wǎng)金融公司即便掌握手機(jī)通訊錄等用戶數(shù)據(jù),也不會惡意兜售,但是如果系統(tǒng)被黑客攻擊,這些資料的安全性就難以保證了。

可惜的是,互聯(lián)網(wǎng)金融APP的安全指數(shù)并不高。中國信息通信研究院信息產(chǎn)業(yè)通信軟件評測中心在今年8月公布的《2015-2016移動互聯(lián)網(wǎng)金融APP信息安全現(xiàn)狀白皮書》顯示,互聯(lián)網(wǎng)金融APP普遍存在加密算法的誤用、網(wǎng)絡(luò)傳輸保護(hù)不足、應(yīng)用程序缺乏保護(hù)措施、本地文件及系統(tǒng)日志敏感信息泄漏等幾個方面的問題。

報告稱,15%的互聯(lián)網(wǎng)金融APP與服務(wù)器端交互的數(shù)據(jù)通過明文的通信信道傳輸,這可以導(dǎo)致用戶進(jìn)行的金融交易信息、密碼口令等秘密數(shù)據(jù)完全暴露在攻擊者面前。攻擊成功后,黑客不僅可以監(jiān)聽用戶進(jìn)行的所有交易信息,還可以篡改交易內(nèi)容甚至冒充用戶登錄進(jìn)行交易。

除了黑客攻擊,內(nèi)部人員離職后泄露客戶信息的現(xiàn)象也對用戶隱私構(gòu)成威脅。一位網(wǎng)絡(luò)炒股軟件公司員工對澎湃新聞表示,曾有多位該軟件用戶向公司舉報遭到同類產(chǎn)品推銷電話騷擾。經(jīng)查證后發(fā)現(xiàn),原因是一位內(nèi)部銷售員在離職后,將自己負(fù)責(zé)的用戶通訊錄賣給對手公司,后來該軟件公司作報警處理。(澎湃新聞)