手機App資安黑洞!讓蝦皮和YouTube讀你的簡訊和通訊錄,你也按下「同意」了嗎?

手機App資安黑洞!讓蝦皮和YouTube讀你的簡訊和通訊錄,你也按下「同意」了嗎?
2019-04-15
文、圖・劉宏恩(國立政治大學法學院基礎法學中心主任)
84206
你知道嗎?八成Android手機App都「過度取得授權」,要求消費者同意App取得個人簡訊、行事曆、通訊錄等非必要個資,形成巨大的資安黑洞⋯⋯

【註】:受限於篇幅及系統性質差異,本文不討論iOS系統,僅討論Android系統

如果你在路上遇到一個推銷員,推銷一個能帶給你生活便利的小產品。但是當你問他多少錢,他卻說,「不用錢,只要把家裡的鑰匙給我就好。」你還想要這個「免費」便利小物嗎?

一定不會。

但是在台灣,每天卻有成千上萬的人用手機下載「免費」App,同意業者擁有進入他手機的「鑰匙」。

按下「接受」,手電筒App就知道你跟誰講電話

例如這兩個Android手機的「手電筒」App,下載時,只要你點選「同意」或「接受」,就代表日後它有權讀取你的電話號碼、知悉你何時通電話、通話對方的電話號碼、你的手機國際識別碼IMEI和網路連線資訊。


不僅如此,它還能讀取你手機裡的相片影片和檔案,掌握你手機裡還安裝使用哪些App;甚至,它還可能啟動你手機的鏡頭和麥克風,勘查你手機周遭的活動。仔細一看,左邊那支手電筒還可以追蹤你的GPS位置,右邊那支則能讀取你手機的連絡人通訊錄。

只要你的手指點一下「同意」或「接受」,上面提到的所有個資,一瞬間就全部授權給這些App了。

雖然業者可能反駁:「你授權給我,並不代表我會亂用,別擔心。」但是,若拿到你鑰匙的陌生人也說:「雖然拿到你家鑰匙和住址,但不代表我會隨便開你家門。」你真的放心嗎?誰知道他會不會開、什麼時候開、可能去你家做什麼? 

【繼續閱讀】:當你的個資變成他的商機⋯⋯Facebook, Google, Amazon, Apple,誰管得住科技四巨頭?
 
上述App取得同意的方式,並非各國個人資料保護法律所普遍要求的「知情同意」(informed consent),它只是形式上虛晃一招的「無意義同意」。

這些資料個別或結合起來,便足以直接或間接識別出我們個人,因此它們應屬「個人資料保護」相關法律的保護範圍。但業者卻完全未依法說明蒐集個資和隱私資訊的「目的」:

手電筒照亮功能,與我們的電話號碼、通話記錄和對象、手機裡的相片、影片和檔案、GPS位置⋯⋯等,有什麼關聯?

此外,業者也沒有具體說明,我們手機的個資權限將如何被使用、誰能使用、使用多久、資料可能流向何方等等。

換句話說,我們並不清楚點選「同意」所代表的意義及可能的後果,這並不符合法律上所要求的「知情同意」。(可參考我國《個人資料保護法》第8條、歐盟《一般資料保護規範》GDPR第7條)

網購App為何需要你的行事曆?八成安卓App「過度授權」

可能有人會說,「還好,我沒有安裝這些手電筒app。」別放心得太早,根據學者Mamdouh Alenezi於2017年在電機電子工程師學會(IEEE)的國際研討會上發表的實證研究,高達八成的Android系統手機App,都過度取得授權,要求消費者同意該App運作時根本不必要的權限。

其實,許多常見的手機App都有類似的問題。例如底下這個「蝦皮購物」(v.2.22.17):

  

請問曾使用「蝦皮購物」的讀者,你真的曾經「知情同意」,蝦皮可以取得你手機門戶的這麼多把鑰匙嗎?當我們下載App時,它曾告知我們取得這些權限的「目的」嗎?

請問蝦皮,我只是購物,為什麼你需要追蹤我的GPS位置?為什麼需要讀取我的連絡人通訊錄?為什麼可以讀取我的行事曆、知道我的每日行蹤、甚至修改我的行事曆?

為什麼,你需要我手機一開機就自動啟動這個App,讓你可以利用這些權限?為什麼你需要讀取我的簡訊——請注意:這包括我跟親友間的私人通訊,甚至銀行寄給我的一次性密碼!

不久前曾有媒體報導此事,也採訪了蝦皮。蝦皮的回覆,果然就是我們前面提過的那套說詞:

「我雖然拿到你家鑰匙和住址,但這不代表我會隨便開你家門,別擔心。」

既然如此,那請問你拿我家鑰匙做什麼?真是莫名其妙。

【繼續閱讀】:華為手機安全嗎?你可能已不小心下載了「內應」程式

搜集個資愈多愈好?小心違反個資法「最小必要原則」

大數據經濟和巨量資料產業蜂起,業者蒐集消費者個資的誘因愈來愈大;加上未來商機無可限量,資料更是愈多愈好,如用來分析消費者使用習慣、優化個人化廣告投放與行銷,甚至將蒐集到的各種資料待價而沽,將來拿去跟其他業者分享交易;或建立資料庫,等待未來開發新的商業(甚至政治)用途。

問題是,這可能違法。

根據個人資料保護法律,業者蒐集個人資料,必須符合特定目的範圍的最小必要原則(data minimization)。「順便多蒐集一些」「即使與App功能目的無關但也先留著備用」的作法,不但是利用消費者對資安和手機權限用語的不熟悉,取得「同意」的方式違反誠實信用與透明性原則;而且,這些個資蒐集權限與App功能目的之間,並無合理關聯和必要性,顯然已經涉嫌違法。(可參考我國《個人資料保護法》第5條、歐盟《一般資料保護規範》GDPR第5條)

反正家裡沒什麼錢,鑰匙隨便給陌生人也沒關係?

或許也有讀者說,「好加在,我也沒裝蝦皮。」那麼,請問你裝了YouTube與Instagram嗎?

以下畫面,分別是它們的12.37.59版及17.0.0.15.91版本,可能從你的手機取得的權限:

請問,我只是要看個影片和分享照片心情,為什麼它們需要讀取我的「簡訊」的權限?

請注意(因為很重要,所以再說一次):如果它們想要,也可以讀取我們與親友的私人通訊,及銀行寄給我們的一次性密碼!

或許有讀者採取「阿Q精神勝利法」自我安慰:「反正我也不是什麼大人物,應該沒什麼人對我的個資有興趣。」

你錯了。業者為了搜集大數據,從中作資料探勘,你的個資(和千千萬萬民眾的個資),業者確實是有興趣的。更何況,請問你會說,「反正我家裡也沒什麼錢,鑰匙隨便給陌生人沒關係」嗎?

【繼續閱讀】:資安懶人包|不用華為手機,是資安還是政治問題?翟神、駭客、張善政、專家想得都不一樣

Google不可靠!子公司YouTube App也能讀你的簡訊

細心的讀者可能會說:「我手機安裝的最新版蝦皮、YouTube、Instagram⋯⋯等APP,已經沒有取得『簡訊』的權限了。」

這是因為,歐盟去年實施GDPR法律,加上Google Play下載平台屢遭抗議,Google發現問題實在太過嚴重,從2019年起禁止浮濫取得「簡訊」及「電話通訊」權限的App上架。

事實上,新版蝦皮、YouTube、Instagram⋯⋯等APP不敢再要求消費者授與「簡訊」等權限,但App依舊運作正常,恰恰就證明了它們之前取得這些權限,根本就違反了「最小必要性」原則。

但是,能依賴Google Play等下載平台替我們把關嗎?當然不行。別忘了,上面提到、原本可能查看我們簡訊的YouTube,就是Google的子公司。

左手保護個資、右手促進數據產業  國發會角色衝突

在保護民眾個資及隱私上,法律和公權力必須扮演更積極的角色;歐盟的GDPR及其會員國的個資保護專責機構,任務正是如此。

但在我國,個人資料保護的主管機關是「國家發展委員會」,但該機關的主要業務之一卻是「促進產業發展」,包括大數據產業、法規鬆綁和資料開放。這與民眾與消費者的個人資料保護任務,明顯有角色上的衝突;而且在該機關,只有一間小小的專案辦公室負責個資保護業務。

【繼續閱讀】:新加坡總理病歷遭駭 專家:駭客可能為中國國家級組織

另一方面,手機內建App是歸國家通訊傳播委員會(NCC)管;商業性App則交給經濟部工業局。他們對業者均採「自願送檢才做資安/個資保護檢測」的管理方式;由於絕大多數業者根本不會自願送檢,民眾只能自求多福。

讀者若想知道自己是否曾經在「不知情同意」下,授與業者很多進入你手機門戶的權限,Android 6.0以上的手機請到【設定】→【應用程式】→【某APP】→【權限】→【右上角三個點】→【所有權限】查詢,每一個個別權限還可以再點下去看細節。

例如在「日曆」權限,Android會告訴你:蝦皮可以新增、移除、變更你行事曆上的活動;這可能使它能偽裝成日曆擁有者傳送訊息,或私自修改活動。

現階段,民眾必須以上述方式,一一自行檢查、關閉有疑慮的App權限。但你可能接著發現:許多App即使已關閉多數權限,我們需要使用的功能卻絲毫無損。業者過去要求我們授與這麼多權限,只是讓我們不明就裡地做了許久的個資冤大頭,令人氣結。

延伸閱讀

why bother?成大教授:不只政府,全民都要提防華為等中國手機被抓的駭客與抓人的警察,17年後合作賺資安財!【2019天下經濟論壇】知名駭客談資安:壞人都在用AI,好人更要善用AI!

其他人也在看

你可能有興趣

影音推薦

#廣編企劃|【2023 天下城市高峰論壇 #9】新竹市交通處長 倪茂榮:改善交通,必須先做出優良示範道路|天下雜誌✕未來城市

已成功複製連結