3月19日晚��,高鴻股份(000851.SZ)發(fā)布澄清公告稱�����,公司在開展移動應(yīng)用推廣業(yè)務(wù)中通過使用“大唐神器”安裝的三個(gè)后臺應(yīng)用程序收集IME1、MAC地址�����、手機(jī)型號和應(yīng)用軟件列表等信息��,此事項(xiàng)屬實(shí)。公告指出�����,該三個(gè)應(yīng)用程序涉嫌手機(jī)用戶的個(gè)人信息屬實(shí),對此致歉�����。
不過��,就在“3·15晚會”的第二天�,公司還稱:從未傳播吸費(fèi)等任何惡意軟件���、用戶可自由刪除高鴻通信推廣的移動應(yīng)用產(chǎn)品�����、不存在收集用戶個(gè)人信息的行為���、“3·15晚會”報(bào)道中的北京鼎開聯(lián)合信息技術(shù)有限公司(下稱“鼎開聯(lián)合”)與公司無任何關(guān)系����。
據(jù)悉���,其改口的緣由是:“公司在用戶個(gè)人信息認(rèn)識上和有關(guān)方面對國家的法律�����、法規(guī)規(guī)定的專業(yè)解讀存在一定的偏差。”
在最新的公告中�,其強(qiáng)調(diào)�����,“高鴻通信從未從事吸費(fèi)、植入木馬等任何惡意軟件的傳播”����。
互聯(lián)網(wǎng)安全從業(yè)人士����、天融信副總裁劉輝接受21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪時(shí)表示����,國家在前幾年發(fā)布過保護(hù)個(gè)人隱私的法規(guī),但是在細(xì)節(jié)上沒有界定得那么清晰����。
同時(shí)�����,他對記者表示,由于手機(jī)從生產(chǎn)廠商到消費(fèi)者手中的環(huán)節(jié)很長,中間會不會被預(yù)裝惡意軟件很難保證����。據(jù)業(yè)內(nèi)人士監(jiān)測����,目前行業(yè)內(nèi)類似“大唐神器”的工具并不少���。
誰在竊取用戶數(shù)據(jù)�����?
按高鴻股份的說法,其僅收集到IME1、MAC地址�����、手機(jī)型號和應(yīng)用軟件列表等信息���,并未涉及特定用戶身份信息���,如電話號碼���、通訊錄、通訊記錄等。
不過�,21世紀(jì)經(jīng)濟(jì)報(bào)道記者從國內(nèi)知名的網(wǎng)絡(luò)安全廠商中獲得一份其對“大唐神器”所做的安全技術(shù)報(bào)告卻給出了不同的結(jié)論�。
該技術(shù)報(bào)告指出�����,包名為“com.android.ds”的樣本攜帶了“文件md5:a8910b0bb6cb3db27517fbe9a24f7183”���,其危害是通過云指令控制用戶手機(jī)上傳通話記錄��、靜默安裝應(yīng)用。
具體表述為:在用戶不知情時(shí)�,遠(yuǎn)程為其手機(jī)后臺自動下載并自動安裝任意應(yīng)用(root機(jī))�����;遠(yuǎn)程上報(bào)任意指定號碼指定時(shí)間內(nèi)通話記錄(8位號),記錄包括:來去電通話人電話����、通話開始時(shí)間、通話結(jié)束時(shí)間;上傳用戶手機(jī)已安裝應(yīng)用列表�。
關(guān)于“大唐神器”安裝的三個(gè)后臺應(yīng)用程序是否可以獲取用戶通話記錄的問題�,3月20日下午�,記者致電高鴻股份證券部,工作人員稱董秘和證代都出差在外�����,要求記者過兩天再來電�,記者隨后撥打高鴻股份董秘王芊手機(jī),對方電話已關(guān)機(jī)���。
艾媒咨詢CEO張毅把獲取用戶個(gè)人信息的應(yīng)用分為兩種:一是向用戶索要授權(quán)而光明正大地獲取信息,用戶不授權(quán)就無法使用��,只得無奈授權(quán)��,這種方法幾乎所有應(yīng)用都會用到�,令人討厭但并不違法��;另一種是利用軟件跟隨病毒惡意獲取信息��,顯然違法。
3月20日�����,21世紀(jì)經(jīng)濟(jì)報(bào)道記者聯(lián)系到鼎開聯(lián)合技術(shù)人員��,他告訴記者��,“我們沒有和高鴻股份合作。”并否認(rèn)對用戶扣費(fèi)�。而針對高鴻股份承認(rèn)的獲取用戶信息����,他稱這是“高鴻自己的技術(shù)���,這些技術(shù)不是難題���,很多軟件都能做到���。”
一位IT從業(yè)人員對記者表示����,“如果他們并沒有合作���,那么可能是鼎開聯(lián)合與其他公司有商業(yè)合作�,而這種合作涉及到了用戶信息的數(shù)據(jù)分析,或者說鼎開聯(lián)合與預(yù)裝軟件有直接關(guān)系���。”
“兩家公司應(yīng)該是并列的關(guān)系。”張毅分析�。
“數(shù)據(jù)就是王道���,現(xiàn)在用戶的數(shù)據(jù)太值錢����,用來做廣告推廣、信息變賣都很有價(jià)值��。”前述IT從業(yè)人員說�����。
對于央視曝光的扣費(fèi)情況�����,高鴻股份���、鼎開聯(lián)合都予以了否認(rèn)����。劉輝分析,可能是用戶在打開手機(jī)的數(shù)據(jù)通信的通道后��,不知曉的應(yīng)用軟件偷偷在上網(wǎng)���,一旦流量費(fèi)用超過流量包����,扣費(fèi)就會比較嚴(yán)重。
更多“大唐神器”
也許是淡化影響,高鴻股份在澄清說明中同時(shí)介紹了公司的移動業(yè)務(wù)推廣業(yè)務(wù)情況。據(jù)了解�,該業(yè)務(wù)是高鴻股份全資子公司大唐高鴻通信技術(shù)有限公司(下稱“高鴻通信”)的試行業(yè)務(wù)之一��,高鴻通信2013年凈利潤為-1.05萬元,占高鴻股份凈利潤比例為-0.02%��。
對于相關(guān)法律法規(guī)���,業(yè)內(nèi)人士接受記者采訪時(shí)提到���,其實(shí)這一塊并不明朗�。
張毅告訴記者,目前移動互聯(lián)網(wǎng)監(jiān)管主要是工信部為主�����,“但感覺約束力不夠強(qiáng)����,立法跟不上,目前監(jiān)管細(xì)則都集中在有線網(wǎng)絡(luò)上�,無線網(wǎng)絡(luò)監(jiān)管細(xì)則上有必要細(xì)化�。”
而拋開“大唐神器”類的工具在推廣APP時(shí)獲取用戶相關(guān)信息的風(fēng)險(xiǎn)�,業(yè)內(nèi)人士提示���,其他手機(jī)軟件可能也會有一些安全風(fēng)險(xiǎn)�,比如預(yù)裝軟件。
“手機(jī)到消費(fèi)者的鏈條特別長����,從軟件本身的準(zhǔn)入方面�,類似安卓這樣的開放系統(tǒng)缺乏準(zhǔn)入機(jī)制�,容易魚目混珠,確實(shí)有一些軟件帶著惡意的企圖收集用戶信息��。”劉輝指出����,一般非正規(guī)的小廠商會在手機(jī)預(yù)裝軟件,大的手機(jī)廠商會在預(yù)裝上控制,不過�,銷售通道上��,因?yàn)橹苻D(zhuǎn)環(huán)節(jié)比較多,經(jīng)銷商、運(yùn)輸?shù)娜藛T容易在手機(jī)上動手腳,這一過程中很多人都可以輕松地安裝一些軟件�����,而預(yù)裝可能會有一些攜帶惡意病毒���。
前述技術(shù)報(bào)告似乎也印證了劉的上述說法���。報(bào)告指出���,“目前該病毒推廣的應(yīng)用基本上是大廠商的正規(guī)應(yīng)用。”報(bào)告中其列舉了12款手機(jī)應(yīng)用,如360手機(jī)衛(wèi)士 �����、搜狗輸入法���、UC瀏覽器等��。
報(bào)告指出,其傳播渠道是以三星等熱門高端品牌貿(mào)易機(jī)型���,Android(安卓)操作系統(tǒng)智能手機(jī)全國各省級地市的地包、大型賣場�����、連鎖店�、運(yùn)營商平臺、零售終端等手機(jī)渠道分銷商為主,進(jìn)行大批量的渠道預(yù)裝工作拓展。
