3月27日開始,一則知乎網帖在微信朋友圈里刷爆,該帖透露上海花生地鐵WiFi不但抓取用戶的位置信息,還能獲取手機里的任意文件內容、安裝的所有App名稱以及粗略的家庭與工作地址等信息,甚至在特定情況下還有可能獲取用戶提交的敏感信息,比如銀行卡號碼等。
多位權威信息安全專家向《IT時報》記者表示,如果網帖內容屬實,則花生地鐵WiFi確實存在過度收集信息的嫌疑。3月29日,《IT時報》記者向花生地鐵WiFi官方求證,但并未收到回復。
3月30日,截至記者發稿前,花生地鐵WiFi運營方召開新聞通氣會稱, 文中存在大量失實描述及常識性錯誤,花生地鐵在無線方面遵守國家工信部、安全方面遵守國家公安部的有關規定。
一條刷爆微信群的知乎帖
就在幾天之前,一篇名為《上海旁友!請遠離“花生地鐵”免費WiFi,被賣了都不知道!》的微信公眾號文章在微信朋友圈里火爆刷屏,公號名為“上海名大夫”,文章內容來源于知乎網帖——網友提問:“上海的‘花生地鐵’WiFi盈利模式是什么?”,一位知乎網友利用圖文數據表明,花生地鐵WiFi通過App接入上網的方式,不但抓取用戶的站點位置信息,還能獲取用戶手機里已保存的網絡名、手機網卡MAC地址、用戶的進出站點信息、手機里的任意文件內容以及安裝的所有App名稱。
此外,該帖還表示,花生地鐵WiFi有可能利用App向其他互聯網公司上傳用戶手機內的信息,以作商業用途。
針對這條網帖,《IT時報》記者用安卓系統手機專門下載了花生地鐵WiFi的App,發現在安裝過程中,會有“是否允許花生地鐵WiFi讀取短信、彩信、位置信息、已安裝應用列表”等提示,用戶可以選擇禁止或允許,并提示可以在手機管家等權限管理中配置權限。
花生地鐵WiFi到底安全嗎?
就在該帖火熱刷屏之際,上海市民孫女士也向記者反映了她第一次使用花生地鐵WiFi的經歷,當時她按照顯示步驟進入上網頁面,網頁出現是否信任該鏈接的提示,當孫女士點擊“信任”鏈接時,她的手機馬上出現黑屏死機現象。由于該手機綁定了銀行卡、支付寶和微信,涉及金額高達好幾萬,當時她十分恐慌,擔心錢財被騙走。
孫女士至今心有余悸地說:“我懷疑是不是花生地鐵WiFi的鏈接植入了木馬病毒,當時我急得一身冷汗,人都在發抖,為什么會在點擊信任的那一瞬間手機就出現了故障。”
《IT時報》記者隨機采訪了幾位地鐵乘客,多位乘客表示,“平時一直用花生WiFi,覺得挺好,地鐵很多站點根本沒手機信號,想上網一定得靠它。”同時,也有乘客表示,“如果存在泄露個人隱私的情況,那么自己很難接受,希望安全專家和花生WiFi官方能給個說法。”
信息安全專家呂禮勝分析表示,很難判定孫女士手機的故障是由花生地鐵WiFi導致,有可能和App自身的兼容性相關。從技術上來說手機系統自身已經支持WiFi連接協議,并不需要第三方App。加入第三方App主要目的就是為了收集用戶手機上的信息,而這些信息收集的種類取決于手機系統允許App安裝時獲取的權限。Android比較開放,獲取的權限就較多,能被收集的信息種類也比較多,而蘋果手機比較封閉,能收集到的信息就會相對較少。
另一名信息安全專家金龍則明確表示:“如果知乎網帖所描述情況屬實,那么花生地鐵WiFi確實過度收集用戶隱私信息。”
信息抓取的邊界在哪?
公開信息顯示,花生地鐵WiFi是由深圳南方銀谷公司建設并運營的免費地鐵WiFi,2014年底在上海試運營一直發展至今,目前已在十二條上海地鐵線路完成WiFi建設。數據顯示,僅在上海接入用戶量已經超過300萬,另外,廣州、深圳等城市地鐵也均已完成覆蓋。業內人士表示,由于公共WiFi沒有資本支撐,目前盈利狀況堪憂,對于公共WiFi來說,大數據收集或許是一個有效出路。
花生地鐵WiFi官方也曾透露,目前他們可掌握使用用戶的年齡、性別、位置信息、婚姻信息、消費習慣等大數據,日后將有能力提供有價值的數據服務。
王俊(化名)在一家科技公司從事網絡安全工作,他認為,從商家經營的角度看,既然花生地鐵提供免費WiFi自然就會考慮企業的盈利模式,為了確保精準營銷,提供個性化服務,這類公共WiFi抓取更多用戶信息,形成大數據應用就有天然的需求。王俊對《IT時報》記者表示:“據我觀察,花生地鐵WiFi傳送的數據都已進行了加密,理論上來說不會被人截取,即使被截取了也是一堆密文,沒有什么用。”
信息安全專家朱易翔表示:“如果花生地鐵WiFi可以抓取用戶手機上安裝的所有App名稱,那么確實存在過度收集用戶信息的嫌疑,但仍不好判斷其惡意程度。”而對于App采集用戶信息的邊界范疇,他認為需要根據具體的法律法規標準和App的應用方向來判斷,他舉例說,如果是與天氣相關的App卻要抓取用戶的通信信息,這就屬于過度收集,因為這不是這款應用的必須信息。“但最為關鍵是App在下載安裝時,應該告知用戶將抓取哪些信息,又將對信息進行怎樣的處理,這個知情權應該給予用戶。”朱易翔強調。
專家建議:少用免費公共WiFi
公共WiFi抓取用戶隱私信息并非新鮮話題。
王俊表示,現在很多免費公共WiFi存在安全隱患,他提醒普通用戶,在上海各大商業地標有一個i-Shanghai的ssid可以免費上網,這是正規和安全的,但個別黑客通過改變字母大小寫等不被注意的手段,搭建如i-shanghai、i-shangHai或i-ShangHai等名字的釣魚WiFi網絡,誘騙用戶登錄,用戶連上后,所有信息都可能瞬間暴露。王俊建議,普通用戶應該盡量少用免費公共WiFi,尤其是不加密的需要特別注意。
呂禮勝則提醒用戶,使用相關服務前看看有沒有隱私條款,是否和自己的隱私保護要求存在沖突,如果要進行購物支付、網銀等高風險的操作,建議使用4G網絡,而不是免費公共WiFi。
金龍則直接表示,目前普通用戶的信息安全防范意識還偏低,他認為“免費的往往是最貴的”,如果沒有特別需求,不建議使用免費公共WiFi。
京公網安備 11010502049343號