国内发朋友圈必备神器美图秀秀一夜之间在大洋彼岸火了。国外网友甚至明星大咖也按耐不住好奇之心,给自己、最喜欢的政客、爱逗的照片上化上一个日式动漫感觉的“可爱妆”,上传到社交网站让全世界感受这种好玩的效果。
然而,国外安全研究员提醒你,当你想到App Store或是谷歌应用商店获取这一免费的工具时,有些事情一定要知道:当你对着照片哈哈大笑的时候,美图正在索取你的大量信息。并且,这款应用像是包含一些可疑代码。
国外社交网站频现美图秀秀
大咖也在玩
安全专家指出Meitu存在安全问题
你肯定知道,当下载一个新应用的时候,用户都会收到相关使用手机权限的请求,美图当然也会。一个照相应用要求访问手机的相机(拍照片使用),手机的内存(以便编辑和保存图片),以及一些网络连接。这样看起来就够了。
然而事实上,美图并未就此停止。它还需要用户的定位信息、电话号码,并且开机自动运行等等超乎理解的权限。
难道一个图片编辑应用还需要拨打电话不成?为什么它要修改手机的音频设置,或是和手机上运行的其他应用搅在一起?
这就是安全研究员Jonathan Zdziarski在安卓版美图软件上发现的问题,并且他还在iOS版本的美图软件上发现了几行十分奇怪的代码。
美图App里包含了可疑代码
据Jonathan Zdziarski称,iPhone上的美图软件会悄悄地检查,正在运行的手机是否越狱,以及使用的是哪家运营商服务,甚至还能够标识该手机使用的唯一硬件MAC地址。
Jonathan Zdziarski提出美图安全问题
Jonathan Zdziarski提出美图安全问题
谁需要知道这些信息呢?安全研究员推测,美图公司正在把用户的信息卖给其他的公司,这些公司利用这些数据,再向用户推送有针对性的广告。
手机应用远程见那个数据卖给广告公司并不少见,但是一款应用能够持续地、悄悄地搜集(使用违反苹果应用商店条款的代码)数据,即便用户重启手机,或是调到睡眠模式也不停止,这就足以引起一些隐私安全问题。
当然,这些只是安全专家的推测,还有许多问题都有待证实,比如,美图是否在搜集和转卖用户数据。在这些问题搞清楚之前,用户在下载软件到手机的时候,有必要谨慎。
而社交网站Twitter上一个自称为“安全悲观者”的FourOctets称,美图已经将用户手机唯一的国际移动设备身份码(IMEI码)发送到中国多个服务器。
对上述事件,美图官方发布声明进行了辟谣。
美图表示“美图一向尊重用户隐私,珍视用户对我们的信任,美图严格遵守各大平台安全条款,严格保护用户隐私。”同时强调,并没有拿用户的电话号码这个信息。
不仅如此官方还放出了证据,以下是官方公布的内容:
其中在iOS平台,没有申请Apple开发者手册所允许以外的权限。在Android使用的特殊权限包括以下代码:
使用这些数据来进行用户数据统计(安装、活跃度等)。因为中国市场无法使用Google Play(被隔离),因此我们使用第三方和自己的统计系统。为了确保统计信息的唯一性,我们使用了以下内容:
1、Mac Address/IMEI:我们在部分情况下无法同时获取两者信息,部分情况下不同设备会出现上述设备ID相同的情况,因此需要两个ID组合成唯一ID来标识用户设备
2、局域网 IP 地址:防止商业作弊
3、SIM卡国家编码(用于粗略定位国家)
4、定位(GPS,网络定位):区分国家和地区,作为广告系统的投放标准
5、运营商信息是标准的统计维度之一,可以参考知名第三方统计工具Flurry
用户信息方面采用https传输协议对用户的信息进行加密传输,保障用户信息在传输中的安全。
并且用户的信息进行强制且多层加密存储,防止用户数据泄露。此外,我们的服务器执行严格的权限访问控制,机房配备高级防火墙以及IDS、IPS设备,阻断外来攻击,我们同时配备专业的安全团队进行24小时安全应急响应,第一时间保护用户的隐私安全。美图的内部系统执行严格的访问授权机制,限制员工接触用户资料。
