微信淘寶等5款內地App 可取用戶敏感資料傳外地伺服器

撰文:香港01記者
出版:更新:

傳真社今日(10日)揭發內地5款熱門付費App-WeChat、淘寶、淘寶全球、支付寶錢包及天貓存取用戶資料傳送到內地伺服器,並可能追蹤、監視手機的一舉一動。

傳真社發現五款內地付款App或會追蹤用戶手機活動。

傳真社上月針對Android系統程式分析,調查5款由內地研發的熱門支付或網購App,包括由騰訊開發的Wechat和阿里巴巴集團開發的淘寶App。調查由網絡安全專家和電腦保安及黑客技術專家確認研究方法的可行性。根據港區Google Play資料,5款App共有逾億次下載量。

傳真社以靜態形式測試,發現五款App會在安裝時,取得「讀取手機狀態及識別碼」權限,應用程式可隨時存取用戶國際移動設備識別碼(IMEI)、國際移動用戶識別碼(IMSI)、SIM卡編碼(ICCID)、電話號碼、通話狀態、通話對方電話號碼等敏感資料。但用戶安裝程式時,程式僅稱只會「讀取手機狀態及識別碼」,用戶難以察覺其他敏感資料已被取用。

淘寶App啟動即發資料予阿里巴巴

在五款程式當中,「淘寶全球」會在首次啟動時,即時將IMEI和IMSI傳送至杭州阿里巴巴廣告有限公司,同時將電話號碼、IMEI、IMSI以及ICCID共4項敏感資料,記錄在其檔案內;亦包括一個後門惡意軟件backdoor.androidos.ginmaster,可在用戶不知情下盜取手機任何資訊。

WeChat可存用家資料至香港以外伺服器

至於香港有不少人使用的WeChat,政策訂明會「收集、儲存和使用」用戶的個人資料、位置數據及日誌資料,亦會與第三方「使用、分享及轉移」用戶的個人資料至用戶所在地或以外地區,故用戶電話的IP位址、元數據、網絡搜尋詞語及所造訪的社交媒體頁面,均有機會儲存到香港以外地區伺服器。另外,支付寶的錢包安裝檔,則包含一款木馬程式Android Trojan SMS Spy,會攔截並盜取用戶SMS短訊。