如果隨意在軟體市場安裝了一款金融借貸APP,在你登陸註冊時,這款軟體可能已經默默打開攝像頭拍下了你的頭像資訊,並竊取了你的短信、通話記錄等各種隱私資訊。360安全大腦近日監測到,在金融類移動軟體中,存在一批具有隱秘拍照行為的軟體魚目混珠,以提供借貸服務之名,悄無聲息竊取、收集隱私資訊,隱私安全如履薄冰。
監測數據顯示,截至今年6月中旬,共發現信用袋、給你花、唄唄花、萬分期貸、花易貸、今日錢包、魚躍分期、魚米分期、開心果等9款軟體,這些軟體“偷盜”手段相比以往略有不同,除了非法收集用戶敏感通訊數據外,還會嘗試對用戶面部圖像進行靜默偷拍與上傳。
技術人員介紹,這類軟體都借助了開源的無預覽拍照工具AndroidHiddenCamera進行靜默偷拍,用戶打開登錄界面後,這款工具便會開啟“非法之路”,先檢測手機機型,然後根據機型調用前置或後置攝像頭,最後進行靜默拍照,也不會發出提示音與閃光,輕鬆躲避用戶感知。狡猾的是,如果檢測到用戶使用的是具有升降攝像頭的特定型號手機,軟體還會避開採集面部圖像,以免攝像頭升起讓用戶有所察覺,達到偷拍目的。
此外,由於用戶登錄成功後必須先完成多重認證才能進行借款操作,借助這一認證環節,這類軟體乘機收集用戶短信、通話記錄與安裝軟體列表,並將這些個人敏感資訊連同認證時上傳的身份證照片一併明文發送至指定伺服器。
360稱,經安全大腦溯源分析,根據該類軟體中部分軟體的隱私回傳伺服器域名確定,非法收集用戶隱私的目標單位為湖南新薪時代信用服務有限公司。據該公司官網業務與官方介紹,其主要從事海外金融APP開發。除“給你花”、“信用袋”、“唄唄花”等9款具有靜默拍照行為的軟體外,還有5款為該公司非法收集用戶隱私的軟體,這些軟體同樣都是借貸軟體,雖然沒有動用靜默拍照功能,但同樣存在用戶無感知的隱私收集行為。
安全專家提醒,用戶應謹慎授予隱私許可權和許可隱私聲明,盡可能從可信應用市場下載APP,安裝並及時更新殺毒軟體。
來源:北京日報 | 撰稿:辛文 | 責編:俞舒珺 審核:張淵
新聞投稿:184042016@qq.com 新聞熱線:13157110107
來源:北京日報 | 撰稿:辛文 | 責編:俞舒珺 審核:張淵