美圖秀秀是一款中國自拍編輯應用程式,可對照片進行動畫風格的編輯,蘋果和安卓應用程式商店都提供下載。自2008年首次推出以來,它被下載了數十億次,已風靡亞洲好幾年,最近開始在美國流行。但專家指,美圖存在嚴重的安全問題,它將用戶的大量數據發回中國,或用以監控用戶。

美媒「The Intercept」引述手機安全專家的話說,這款應用程式有一個嚴重的隱私和安全問題。專家在安卓手機上對這款軟件進行了測試。代碼指示用戶的手機將大量數據發送回中國。

這些信息有可能是用來監視用戶和他們的通訊的。

根據服務條款,這款應用程式的權限包括:訪問日曆、相機、地理位置數據、聯繫人、屏幕分辨率、照片、手機USB的內容和其它數據。

檢查過美圖軟件的安全專家里納瑞斯(Greg Linares)告訴「The Intercept」,這款程式似乎在收集用戶手機的唯一ID和IMEI號碼。IMEI是一個15位數字的序列號,可以確定手機的產地和型號。

里納瑞斯說,被收集的信息將允許某些人「將手機跟個人配對,然後,通過合適的設備,你可以複製手機,並攔截電話和短信」。

里納瑞斯說,複製手機在大多數的國家是非法的,但是它是一種相對容易和廉價的間諜方式。

里納瑞斯寫道,美圖盜竊的這些信息可以賣給那些擁有工具、手段,並有興趣複製手機的個人或機構。

美圖周五(1月20日)就此發佈一份聲明說,該公司「非常嚴肅地對待個人數據」,僅僅收集那些幫助改善性能的數據。美圖「不以任何形式出售用戶數據」。

然而,如果黑客掌握了這些數據,他們將獲得下載美圖軟件的數百萬人的詳細信息。里納瑞斯說,如果黑客將這些數據跟其它洩密數據(比如聯邦人事管理局洩露的數據)配對,就可能對某個人的信息有更深入的掌握。

中共網信辦最近發佈新規,要求各應用程式收集能驗證用戶身份的數據。

「The Intercept」的調查發現,美圖軟件向中國不同的IP地址發送一系列數字,包括疑似IMEI號碼。

獨立安全研究員本雷特(Jay Bennett)告訴「The Intercept」,他徹底解析了美圖的源代碼,證實美圖獲取IMEI號碼以及其它的信息,包括你的時區、MAC地址(媒體存取控制位址,用來確認網路設備位置)、屏幕分辨率和你的SIM卡信息。

雖然美圖的行為似乎是在用戶不知情的情況下,故意秘密收集個人信息,但是它的確徵詢了用戶的許可。而用戶在勾選「同意」的時候,可能並不理解,甚至沒有閱讀那些條款。

本雷特告訴「The Intercept」:「美圖的服務協議非常長,如果毫無戒心的用戶同意了這些條款,美圖就可以獲得他們的信息。」

「The Intercept」注意到,現在,美圖公司在其網站上發佈了一條有關美圖的隱私政策,提及IMEI數據,但是先前他們並沒有在應用程式商店提及這一點。而該公司的其它產品,比如美妝相機,也收集跟美圖一樣的信息,卻沒有更新隱私政策。該公司的某些應用程式甚至完全沒有服務條款。◇