舊版Android無王管 Apps可擅取照片檔案

(綜合報道)(星島日報報道)個人資料私隱專員公署測試發現Android系統最新漏洞，應用程式（App）竟可毋須用家同意，讀取Android 4.3或更舊系統記憶體內所有私人相片和下載文件等資料，即使是最新的Android4.4版本，App開發商仍可獲得內部記憶體內的資料，當中可能包括敏感資料，甚至被上傳網絡永久保存。公署已向開發商Google，並聯絡美國聯邦貿易委員會要求跟進。 手機App大行其道，由兩大應用程式平台Android與IOS共執牛耳。個人資料私隱專員公署自行研發測試程式，竟揭發Android系統有嚴重泄露私隱漏洞，App開發商可在不作相關私隱聲明下，自行讀取使用者Android手機或平板電腦內的記憶體內容，如屬Android4.3或更舊的版本，可直接讀取公共記憶體內，獲得包括裝置拍下的照片和曾下載的檔案，以及其他App儲存在公共記憶體的任何資料；即使Android4.4已糾正公共記憶體問題，App開發商仍可獲得內部記憶體內的資料，亦可能含有有關裝置的敏感資料。 個人資料私隱專員公署資訊科技顧問張宗頤表示，按Google現行政策，Android用戶安裝App前可於「權限」頁面查閱該程式會讀取的資料，但公署的測試程式只透過簡單設計，已毋須用家許可，自行讀取手機內資料，如App有上網功能，資料更可能被上載互聯網永久保存。 張宗頤稱，有三分之二Android用戶正使用較舊版本，部分更因裝置無法更新至Android4.4，但IOS系統就無此問題。公署已去信Android開發商Google，並將聯絡美國聯邦貿易委員會要求跟進，又呼籲用戶考慮自行加密敏感資料，保障私隱。 電腦保安事故協調中心高級顧問梁兆昌表示，App有獨立的程式和數據空間，程式不能夠讀取其他程式的資料，一般只有較不重要的資料會放在公共記憶空間，但外置記憶卡廣泛使用，大量程式的重要資料會移至外置記憶卡，使App可以透過外置記憶卡讀取其他App的資料，如果App設計不佳，將例如是照片或者通訊簿資料儲存在公共空間，亦會有泄密危機。 另外，公署今年抽查六十款本地熱門App（包括Android及IOS），主要屬旅遊和娛樂類別，發現八成半App收取私隱的權限過高，超出用家預期，或者過度收集私隱，比率遠超於全球三成一的比例；另有七成二本地App未有提供私隱聲明或聲明不清晰，亦較全球五成九的比例為高。 私隱專員蔣任宏表示，今年首十一個月公署接五十一宗涉及應用程式投訴，較去年全年二十二宗多逾一倍，但當中僅五宗個案的確涉及程式運作問題。蔣任宏認為App私隱問題嚴重，會增強與業界聯繫，並會主動調查個案。 個人資料私隱專員公署今年主動調查十四個流動應用程式，發現旅遊App「俠客行•旅遊」在一星期內，因未有隨IOS系統更新程式，使六名顧客的姓名、電話、出生日期及身分證號碼資料外泄，「縱橫遊」和「翱翔遊」則涉過度收集出生日期及身分證號碼等資料，以及未有通知下收集資料，涉及三萬名登記會員。 蘋果和Google兩家開發商不斷更新平台配套，但App開發商未有跟上更新，便釀下災難。「俠客行•旅遊」旅遊App供顧客購買機票和查詢訂購記錄，顧客首次使用App時，須輸入姓名、出生日期、身分證或護照號碼及聯絡人姓名、電話及電郵等資料，IOS會以手機或平板電腦的MAC位址識別非會員的身分。 不過，蘋果去年九月十八日正式推出IOS7系統，不會再披露真正的MAC位址，變相只是提供一組固定數字，但「俠客行•旅遊」程式保養承辦商佰邦達未有同時更新App，由十九日至二十五日間，共有六名非會員顧客使用程式，被視作同一人作出交易，導致非會員顧客可閱覽其他非會員買家個人資料。經公署去信後已糾正問題。 至於「縱橫遊」和「翱翔遊」App則涉過度收集出生日期及身分證號碼等資料，以及未有通知下收集資料，涉及三萬名登記會員。 公署認為收集的資料只是作核對身分之用，並不需要有關資料，上周四要求兩家公司在廿一日內糾正問題。