高德地图遭曝光 上传用户密码不经第三方验证

　比特网(ChinaByte)3月15日消息，据央视315晚会曝光，地图和位置服务商高德软件旗下高德地图涉嫌泄露用户隐私并非法牟利。根据报道，在使用高德地图的位置分析功能时候高德地图会把用户的账号密码信息直接上传至服务器，原则是这是由第三方网站直接验证的，不需要高德来进行管理。

　　央视315晚会曝光Android手机泄露用户隐私，央视指出，除了软件开发企业，一些移动互联网广告公司也加入了获取用户个人信息的行业，通过在手机应用软件内植入一个SDK包，这些公司就能轻易地获取用户的数据。

　　央视选取一款智能手机，其安装有高德地图的安卓版软件，它有一个位置共享服务，用户可以通过它直接将自己当前的位置信息连接到微博等第三方软件，当用户输入微博的帐号和密码时竟然被以明文的方式传给了高德的服务器。

　　央视指出，这些帐户信息应该是直接交由第三方网站进行验证，但在检测中发现这些帐户信息是发给高德的服务器地区。这是一种非常明显的用户帐号泄露的行为。用户哪里知道一些安卓版软件给用户带来方便的同时也在肆无忌惮地窃取用户隐私。

　　受此消息影响，高德地图在美上市股票开盘下跌，截至美东时间上午9:48，高德(AMAP)股票跌0.13美元，报每股10.84美元，跌幅1.19%。

* 本文为ChinaByte比特网原创内容，版权所有，转载请注明出处和原文链接，未经授权请勿用于商业用途。

( 7 )

    【搜狐IT消息】在今晚的315晚会中，安卓App隐私泄密收到关注。晚会数据显示，在被监测的安卓软件中，有58%以上有隐私泄密行为，这些行为往往可以导致用户手机通讯录、地理位置等信息泄露。甚至有软件可使用户在不知情的情况下上传头像至未知网站。
　　在曝光的App当中甚至包括高德地图这样的著名导航应用，据复旦大学移动互联网数据安全技术研究中心检测，用户通过高德地图分享信息时，在新浪微博、搜狐微博等网站输入的账号和密码，被以明文的方式，传给了高德的服务器。
　　据悉央视曝光，这些泄露的信息，绝大部分被送到了软件开发商手中，另一部分则发给了不知名的地址。广告公司是这些行为的罪魁祸首，这些“大数据”最终流向了广告公司。而广告公司根据这些已获取的数据信息进行广告“精准”投放。暗访对象说“这一切和到别人家里去翻别人账本是一样的。”
　　以下是央视315晚会曝光手机App盗取、泄密用户隐私部分的图文实录：
　　主持人：为什么安卓的手机软件可以轻而易举的偷偷获取用户信息，这一现象背后隐藏着怎样的秘密呢？重庆小面是重庆蓝盒子科技有限公司开发的一款手机应用软件，产品经理王杰告诉记者利用软件收集用户信息对他们并不是难事儿。通过这个软件可以获取用户什么信息？账号，地理位置，甚至我们会诱导他填手机号，头像，你在后台可以看得到。
　　记者试着安装这款软件，安装前会看到这样的提醒，允许该应用程序了解或使用读取使用人数据，如果安放了这款软件，就能随时随地被蓝盒子跟踪到。只要你使用手机，就可以在地图上把你的位置标出来。这个用户知道吗？不知道。有了这个定位技术的支持，再配合手机里的应用软件，蓝盒子就找到了推送广告这笔生财之道。它可以在不打开APP的情况下，响一个铃声，就像收到短信一样，你收到某个商家的优惠券了。
　　记者随后又走访了重庆、深圳、上海等地一些手机软件开发企业，发现在这个行业，利用安卓版手机软件调取用户个人信息的现象并非个案。深圳华移科技有限公司："能获取到哪些信息呢，手机上他的手机型号、手机型号、位置"。上海狄三科贸发展有限公司："比如我要调他的通讯录，这个安卓（系统）来说，应该说是不受限制的，我都可以去调。"深圳盈烨发展集团润鸿鑫数码技术有限公司："短信这个肯定是可以的， SD卡里的任何东西都可以的拿到。"重庆矩形空间："获取联系人就像我手机里边的通讯录这个实际上是在互联网上默认的一个潜规则。"
　　互联网广告公司大量获取用户个人信息。除了软件开发企业，一些移动互联网广告公司也加入了获取用户个人信息的行列，通过在手机应用软件内植入一个SDK包，这些公司就能轻易获取用户个人信息。北京力美广告有限公司高级客户总监王岩："只要媒体（应用软件）里加入我们的SDK，我们就会抓取到这个用户的很多数据，他的手机的型号，他的手机的MAC地址，包括他日常的消费习惯。"北京掌阔移动传媒科技有限公司客户总监邸振东："我们根据WIFI 3G和服务器可以锁定任何地域，我们可以精确到某一幢楼的某一个房间。"
　　一些安卓版手机软件开发者告诉记者，他们调取用户个人信息，是为了给用户提供更好的服务，而且在安装前，都会提示用户，该软件具有哪些涉及到个人信息的权限。然而一旦用户安装了这样的软件，个人信息就可能偷偷流向软件开发者的服务器。
　　重庆蓝盒子科技有限公司产品经理王杰："像这种上传用户的位置信息，包括手机串号、行为信息，其实都是不允许的，严格意义上讲最起码你得经过用户同意，这个就跟你进别人家里翻别人账本是一个道理。"重庆矩形空间："这个就是通过软件来实现的，技术对类似于流氓软件有一点像，我们就能够获取他手机里的一些信息，从个人角度讲，你希望他获取你的个人信息吗，肯定不希望了，但是没办法啊，因为再说了，百分之八九十的人 可能都不知道手机上会有这么一个东西出现，但是实际上很多都有。"
　　用户主动安装软件会得到提示，而对于一些出厂时就已经预装的应用软件，用户连这样的提示都不会看到。上海狄三科贸公司就曾经为大众点评网开发过安卓版手机预装软件。上海狄三科贸发展有限公司副总经理王靖："他给我的就是最高的权限了，它这个都有什么样的权限啊，就刚才那些啊，只是说我开机的时候，工厂已经装进去了。"记者："比如说它能调取通讯录吗？"王靖："对对对，可以调对包括读取SD卡"。记者选取了几款安卓版手机应用软件进行监测，一款名为爱聊的安卓版软件，来自其官方网站，在用户完全不知情的情况下，会收集用户的手机号码，通讯录。一款名为红警世界联盟的安卓版软件，收集用户手机号码，手机串号，用户谷歌（邮箱）账号，以及用户手机上的通讯录，以及地址为。
　　一款预装在摩托罗拉XT928手机内，名为公信卫士的安卓版软件。监测人员发现这款软件在第一次应用时，竟然会偷偷向他们的服务器发送一条短信。复旦大学移动互联网数据安全技术研究中心杨珉常务副主任："这条短信直接包含了用户的手机设备号等一些私密信息，当然，他也会直接带来用户手机号码的泄露。"一条偷偷发送的短信，不仅使用户的信息被泄露，甚至还产生了一角钱的短信费用，而在手机里居然没有这条短信的发送记录。
　　这是一款预装在摩托罗拉XT685手机内，名为高德地图的安卓版软件。高德地图有一个位置共享服务，用户可以通过它直接将自己当前的位置信息链接到新浪微博、搜狐微博、网易微博、人人网等第三方网站。然而监测人员发现，当用户通过高德导航软件输入这些微博的账号和密码时，这些账号和密码，竟然被以明文的方式，传给了高德的服务器。复旦大学移动互联网数据安全技术研究中心杨珉常务副主任："这些账户信心，应该是直接交由第三方网站去验证的 但是我们在检测中却发现 这些账户信息是发给高德的服务器地址，我们认为，这是一种比较明显的，用户账号泄露的行为。"用户哪里知道，一些安卓版手机软件，给我们带来方便的同时，也在肆无忌惮地窃取着我们的隐私。