[香港] 5中資手機Apps取用戶敏感資料 淘寶全球資料即傳內地伺服器 專家：可監控用戶生活

serrurier

5中資手機Apps取用戶敏感資料  淘寶全球資料即傳內地伺服器  專家：可監控用戶生活
; z' Q8 {5 ~& Y5 S: y  rtvb now,tvbnow,bttvb公仔箱論壇; e! C8 b3 a( n0 Q9 A; |: b' o
  公仔箱論壇8 Q) o; t  E" @; {* K

2 \* Q$ {% a0 }( E$ w繼來電攔截程式泄露全球30億人的電話號碼後，再爆出手機應用程式私隱危機。傳真社測試5款中資開發的應用程式，包括微信(WeChat)、淘寶、淘寶全球、支付寶錢包及天貓，發現上述程式都會存取並記錄可識別用戶身分的敏感資料，淘寶全球甚至即時把資料傳送到內地伺服器。電腦保安專家指出，整合從不同應用程式收集的資料便可監控用戶生活，建議避免使用或在常用的手機安裝可疑應用程式。
4 `: P$ w4 r; g) Y* e2 u
5 O. c8 U9 `# `8 u- ~傳真社測試證實，上述應用程式要求用戶授權「讀取手機狀態及識別碼」，後者包括每部手機獨有的國際移動設備識別碼(IMEI)；電訊商為個別裝置所編號碼(IMSI)；以及每張SIM卡獨有的識別碼(ICCID)，均可識別用戶身分。這些資料在首次開啟程式時便被記錄，程式另會存取用戶電話號碼、位置及錄音。傳真社為敏感資料加上記號，追蹤發現淘寶全球把用戶的IMEI和IMSI傳送至杭州阿里巴巴廣告有限公司。此外，支付寶錢包的安裝檔含木馬程式，可攔截並盜取用戶短訊；淘寶則有惡意軟件，可盜取手機內資訊。  z/ O0 H1 m6 M/ j% A5 `
; Z4 i+ U* L; M4 G
倡用低額信用卡  勿解除原廠限制: v( B1 O; Q6 g6 c3 ~1 }, v
5.39.217.768 n% L( @" o  R, S/ Q9 j
華爾基利信息安全研究組織電腦保安研究員賴灼東指出，不同應用程式收集的資料各異，只要把資料整合及互相比對，便可了解用戶生活習慣，例如透過購物和位置紀錄，知道其常買商品、常到訪地點等，達到監控效果。他建議避免使用可疑應用程式，至少不要在常用的手機安裝；若需登記信用卡資料作網上購物，最好選擇信用限額較低的信用卡。
& V9 X& }6 F8 a+ q& l
) q4 ~$ a& l& T1 W6 \# G9 m賴與資訊科技界立法會議員莫乃光都不鼓勵root機(解除原廠限制)。賴指出，原廠設定不准應用程式存取手機內部分只限系統使用的功能，若用戶自行解除限制，等於容許應用程式變成手機管理員，輕易提取資料。莫補充，root機後易受間諜軟件攻擊。
1 d& f" y' I) W" n& o
5 l) e  f5 |8 m' i" j  B" ]6 G$ P禁個人資料轉移外地  條例未生效
0 B5 K" @, N+ O& Y( GTVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。 8 x4 L4 }+ G8 N7 |. f( D0 U; I
個人資料私隱專員公署回覆表示，不宜評論個別應用程式是否違規。《個人資料(私隱)條例》第33條禁止把個人資料轉移至香港以外地方，目前尚未生效。法政匯思發言人蔡騏指出，由於用戶已同意應用程式條款，且《條例》第33條未生效，應用程式營運商毋須獲用戶同意便可轉移資料至內地。公署建議用戶安裝程式前查明其私隱政策；安裝後定期檢視其權限設定，如有懷疑應移除程式。
, b3 X0 [' G- {( H7 Q" U7 i7 L8 q
$ |7 v* \+ z6 e% o1 E; F. I阿里巴巴：驗證身分反詐騙之用
* U: o+ f5 C* F5.39.217.76
8 L2 R- w8 \) Z2 l: V開發淘寶、淘寶全球及天貓的阿里巴巴集團回覆傳真社，識別碼及電話號碼用於驗證用戶身分及反詐騙等安全措施，例如IMEI用以判斷帳戶有否被盜用，以提示用戶需重新登錄。集團亦否認淘寶有惡意軟件。螞蟻金服回覆表示，支付寶錢包在得到用戶授權後收集其手機識別碼，用以保障用戶的帳戶安全。WeChat則未作回應。

serrurier

匯豐恒生轉帳App 電話號可查機主姓氏! [2 a* Z6 w% d( E
TVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。8 s2 f$ h  s( t( s4 t
3 [+ [- b( M. \7 V/ K; X; F
% n) d1 N- q9 o4 e( S

2 z: ]& y% D$ |' Y, Q$ _繼來電攔截軟件被發現可查詢電話號碼持有者身分後，匯豐銀行及恒生銀行分別推出的「匯豐轉賬易」及「恒生轉賬易」，亦被發現在供人輸入電話號碼後，若對方在兩家銀行有開通網上理財服務，便會顯示持有者英文姓氏及名字首個英文字母。資訊保安專家認為相關程式設計可能被人利用作電話詐騙。tvb now,tvbnow,bttvb# F# N3 |. n" `5 e
( y, E; v9 J6 j9 [" `* H
恒生：供用戶確認交易資料公仔箱論壇! o$ w' J! ^5 c

' E7 c  {/ ~) ]; @9 ?& E恒生銀行發言人承認，有關交易確認畫面顯示上述資料，供用戶確認交易資料是否正確，但不會顯示收款人戶口號碼、戶口種類或開戶分行；匯豐銀行發言人則稱設內部系統監察，重申沒授權或委任中介作電話促銷個人消費無抵押信貸產品。兩間銀行皆指出，如客戶不欲有關資料被顯示，可致電或聯絡銀行安排取消顯示。
" w9 Q7 k5 a! f( Z8 C2 Z5.39.217.76
/ @, b9 _4 y5 H4 M6 o% _4 t  ~公仔箱論壇兩間銀行今年9月底啟用該轉帳應用程式，付款人登記使用後，登入個人流動理財應用程式並輸入編碼器顯示的保安編碼，便可作小額轉帳。付款人輸入一組電話號碼，只要對方在恒生或匯豐銀行持有合資格戶口，並開通了網上理財服務，程式便會顯示對方的英文姓氏，以及名字首個英文字母；付款人若確認付款，受款人便會收到短訊通知。" K$ S+ C0 _8 q( m

3 r* ]3 p6 B0 m7 m! \TVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。恒生網上理財客戶阿欣上月收到不稔熟的網店店主通知，稱已用「轉賬易」送她0.5元，阿欣之後發現店主以其電話號碼查得其姓氏，對此感不安。她說沒主動登記「轉賬易」，又指若店主沒確認轉帳，她根本不會知道個人資料被查閱。
) g, i/ w* F* d" n公仔箱論壇 5.39.217.761 f: F/ Y- g8 z/ e
保安專家：或泄資料作電話詐騙# ^# P6 y, A! C6 T9 o! ?
' j1 k' J1 e1 I
專業資訊保安協會保安召集人范健文認為，銀行應獲收款人同意使用該服務才開通，否則收款人不知相關服務的潛在風險，而設計可讓人「白撞」，以電話號碼掌握機主更多資料，以作促銷或詐騙，「如有人打電話嚟講得出我個姓，名嘅首個字母，又知我有用個電話號碼登記銀行戶口，會令我更易相信他」，如該服務未有設查詢次數限制，更有可能被用作大量蒐集電話號碼持有人資料的工具。