近期,美图开始进军美国市场。然而有信息安全专家指出,美图应用向用户手机请求的数据远多于普通照片应用的必要水平。
美图应用可以通过谷歌 Play 和苹果 App Store 免费下载。这并不是唯一一款提供免费下载,但需要用户提供个人数据的应用。然而,在意隐私保护的用户在使用这款应用之前或许需要三思。
照片应用申请摄像头和相册权限是正常的,这是为了照片的拍摄和编辑。然而,信息安全专家格雷格·里奈尔斯(Greg Linares)指出,Android 版美图应用申请了过多的权限。这款应用可以知道,用户还在运行其他什么应用、用户的精确位置、设备唯一标识符(IMSI)、通话信息、运营商信息和 WiFi 连接情况。
另一名专家乔纳桑·齐兹亚斯基(Jonathan Zdziarski)则指出,iOS 版美图应用同样申请了大量数据。尽管苹果采取措施,阻止应用获得用户的 IMSI 数据,但美图仍可以获得运营商信息,并知道用户的手机是否越狱。齐兹亚斯基表示,美图应用的部分代码可能违反了苹果 App Store 关于数据收集的政策。苹果尚未对此置评。
Sudo 信息安全集团总裁威尔·斯特拉法奇(Will Strafach)也分析了美图的 iPhone 应用。他表示:“美图应用的 iOS 版本获得了某些‘非常敏感’的数据,例如移动运营商信息,但这在数据分析包中并不罕见。许多应用都会这样做。”斯特拉法奇运营着 Verify.ly,该服务帮助用户检查应用的隐私保护情况。
他表示:“人们并不清楚,这样的做法有多么普遍。此外,许多人认为 Android 版应用要比 iOS 版更有侵略性。我认为,展开这样的讨论是件好事。我希望这可以促使信息安全业人士打开更多的应用,了解这些应用在干什么。”
滥用系统权限的问题并不仅仅存在于美图一款应用。许多免费应用都会要求用户提供超出必要水平的更多数据。这些信息可以出售给市场营销者,或是通过其他方式谋利。里奈尔斯表示:“这正在成为一种新常态。”
美图表示,该公司只会将用户数据用于身份保护、服务升级、犯罪调查和用户反馈等目的。然而里奈尔斯警告称,这些数据也可以用于其他目的。在 Android 版中,发送给美图的 IMSI 数据可以用于跟踪用户在网上的活动,例如当用户使用其他应用和浏览器时。
美图一名发言人表示:“我们已经注意到这些报道。我们的应用被媒体、明星和用户注意到,这是个很好的问题。我向你们保证,对于产品的每个版本,我们都与苹果和谷歌密切合作。我们严格遵守隐私政策。我认为,我们的工程师足够聪明,不需要使用偷来的代码。”
美图并没有回答,为何需要用户提供某些类型的数据,以及该公司利用这些信息去做什么。一些研究员指出,根据中国法律,美图需要收集 IMSI 数据。
里奈尔斯:“真正的问题在于,你是否愿意将数据提供给一家不了解的公司?答案是否定的。如果我可以选择不提供这些数据,那么我就会说不。”