探射燈:下載賀年Apps 私隱派通街
馬年馬到功成!新春期間,不少市民會下載賀年手機應用程式(Apps)應節,惟在欠缺法例監管下,用家下載應節Apps,隨時私隱外洩。記者抽查近二百個賀年Apps,發現逾七成需提取用家四項以上資料,包括讀取用家的個人資料、通訊錄、短訊,甚至通話紀錄等逾十項資料;有求籤App在下載後,更自動附送其他不明來歷的Apps及廣告,間接將用家資料通街派。有App的作者坦言不知道開發商從中提取用家資料,而網絡保安專家直指,部分Apps提取大量與程式無關的資料,若落入不法之徒手上,易整合成犯罪工具。
新年伊始, App Store及 Google Play 有逾六百個賀年新Apps上架,大部分均要提取用家資料,其中Android手機更屬重災區,其中一個上月推出的生肖運程App已錄得逾萬人次下載,該程式可瀏覽十二生肖馬年運程、流年太歲及新年吉日等應節資訊。雖然內容豐富,惟要存取大量個人資料。用家下載後,首先彈出應用程式權限的視窗,要求可查閱用家個人資料、接收短訊、衞星定位位置等十三項資料,當中包括讀取用戶手機內聯絡人資料,下載App的同時,手機內資料隨時被「剝光豬」。有新春鈴聲App更無故要讀取聯絡人資料及通話紀錄等,甚至連日曆及手機的機密資訊也要統統曝光。
來歷不明廣告紛紛彈出
隨着科技進步,新年求籤、占卜、寫揮春和應節賀卡,亦由Apps代勞。但記者下載一個求籤App後,需同意被控制九項資料及權限,當中更包括讀取通話紀錄。另一個寫揮春App開啟程式後,只見黑色屏幕,惟手機系統卻顯示正在運算,下載後,無端出現多個來歷不明的Apps及廣告,令人擔心個人資料已被廣傳。在這些Apps中,只有部分交代私隱政策聲明,惟未有提及資料用途,只有極小量的Apps不需提取資料。
香港電腦事故保安協調中心最近發表應用程式保安風險報告 ,在測試一百六十七款Apps中,其中一款新年App能夠獲取SIM卡狀態等,成為六款高風險應用程式之一。「呢類Apps喺下載嘅時候,已經畀咗部分資料佢(開發商)!」專業教育學院(屯門)資訊及通訊科技系系主任梁秉雄查看有關Apps後,直指不少Apps提取與程式無關的個人資料,他以一款算命占卜App為例,除無故存取包括位置及通話等十項資料,下載後還需輸入更多個人資料作占卜,令人擔憂。
議員:非本地註冊難追究
「用家通訊錄,喺玩算命同姓名分析嗰時,又要輸入埋出生年月日同真名,咁等於畀機會開發商整合你全套資料,唔排除有人會將收集到嘅資料分類,再賣畀廣告商圖利!」梁表示,有關Apps不用提取任何權限,也可做到相同功能,證明有濫取個人資料之嫌。梁強調,私隱被提取後果可大可小,「最危險嘅係有人可以將你信用卡交易資料盜用,幫你畀錢,又或者利用你部手機發放殭屍程式,製造電腦病毒。」
資訊科技界立法會議員莫乃光則指,曾與個人資料私隱專員公署反映,現時手機App收集個人資料情況氾濫,惟現時署方只向業界發出指引,並無任何法例監管,「好難管,因為批核上架好寬鬆,有Apps就算寫係本地製作都唔一定喺本地註冊,(用家)就算被用資料都難以追究。」莫稱,用家應避免下載不必要的手機程式,Apps長期閒置或不再使用,宜即時刪除,避免令人有機可乘。
記者向有關程式作者及開發商查詢,其中生肖運程App的作者對其所寫App提取大量用家資料感到驚訝,他稱該程式由開發商代為撰寫,他對提取用家資料內容並不知情,會進一步向開發商了解跟進,並會停止提取不必要的私隱資料,而經本報查詢後,該App已將存取資料減至三項。
另一個求籤App的開發商表示,該App本身沒有收集任何使用者資料,惟內有廣告,索取有關權限是應廣告商需要。其他則未有回應。
圖:關萬亨、崔祖佑
文:林建平、李子輝