3月19日晚,高鸿股份(000851.SZ)发布澄清公告称,公司在开展移动应用推广业务中通过使用“大唐神器”安装的三个后台应用程序收集IME1、MAC地址、手机型号和应用软件列表等信息,此事项属实。公告指出,该三个应用程序涉嫌手机用户的个人信息属实,对此致歉。
不过,就在“3·15晚会”的第二天,公司还称:从未传播吸费等任何恶意软件、用户可自由删除高鸿通信推广的移动应用产品、不存在收集用户个人信息的行为、“3·15晚会”报道中的北京鼎开联合信息技术有限公司(下称“鼎开联合”)与公司无任何关系。
据悉,其改口的缘由是:“公司在用户个人信息认识上和有关方面对国家的法律、法规规定的专业解读存在一定的偏差。”
在最新的公告中,其强调,“高鸿通信从未从事吸费、植入木马等任何恶意软件的传播”。
互联网安全从业人士、天融信副总裁刘辉接受21世纪经济报道记者采访时表示,国家在前几年发布过保护个人隐私的法规,但是在细节上没有界定得那么清晰。
同时,他对记者表示,由于手机从生产厂商到消费者手中的环节很长,中间会不会被预装恶意软件很难保证。据业内人士监测,目前行业内类似“大唐神器”的工具并不少。
谁在窃取用户数据?
按高鸿股份的说法,其仅收集到IME1、MAC地址、手机型号和应用软件列表等信息,并未涉及特定用户身份信息,如电话号码、通讯录、通讯记录等。
不过,21世纪经济报道记者从国内知名的网络安全厂商中获得一份其对“大唐神器”所做的安全技术报告却给出了不同的结论。
该技术报告指出,包名为“com.android.ds”的样本携带了“文件md5:a8910b0bb6cb3db27517fbe9a24f7183”,其危害是通过云指令控制用户手机上传通话记录、静默安装应用。
具体表述为:在用户不知情时,远程为其手机后台自动下载并自动安装任意应用(root机);远程上报任意指定号码指定时间内通话记录(8位号),记录包括:来去电通话人电话、通话开始时间、通话结束时间;上传用户手机已安装应用列表。
关于“大唐神器”安装的三个后台应用程序是否可以获取用户通话记录的问题,3月20日下午,记者致电高鸿股份证券部,工作人员称董秘和证代都出差在外,要求记者过两天再来电,记者随后拨打高鸿股份董秘王芊手机,对方电话已关机。
艾媒咨询CEO张毅把获取用户个人信息的应用分为两种:一是向用户索要授权而光明正大地获取信息,用户不授权就无法使用,只得无奈授权,这种方法几乎所有应用都会用到,令人讨厌但并不违法;另一种是利用软件跟随病毒恶意获取信息,显然违法。
3月20日,21世纪经济报道记者联系到鼎开联合技术人员,他告诉记者,“我们没有和高鸿股份合作。”并否认对用户扣费。而针对高鸿股份承认的获取用户信息,他称这是“高鸿自己的技术,这些技术不是难题,很多软件都能做到。”
一位IT从业人员对记者表示,“如果他们并没有合作,那么可能是鼎开联合与其他公司有商业合作,而这种合作涉及到了用户信息的数据分析,或者说鼎开联合与预装软件有直接关系。”
“两家公司应该是并列的关系。”张毅分析。
“数据就是王道,现在用户的数据太值钱,用来做广告推广、信息变卖都很有价值。”前述IT从业人员说。
对于央视曝光的扣费情况,高鸿股份、鼎开联合都予以了否认。刘辉分析,可能是用户在打开手机的数据通信的通道后,不知晓的应用软件偷偷在上网,一旦流量费用超过流量包,扣费就会比较严重。
更多“大唐神器”
也许是淡化影响,高鸿股份在澄清说明中同时介绍了公司的移动业务推广业务情况。据了解,该业务是高鸿股份全资子公司大唐高鸿通信技术有限公司(下称“高鸿通信”)的试行业务之一,高鸿通信2013年净利润为-1.05万元,占高鸿股份净利润比例为-0.02%。
对于相关法律法规,业内人士接受记者采访时提到,其实这一块并不明朗。
张毅告诉记者,目前移动互联网监管主要是工信部为主,“但感觉约束力不够强,立法跟不上,目前监管细则都集中在有线网络上,无线网络监管细则上有必要细化。”
而抛开“大唐神器”类的工具在推广APP时获取用户相关信息的风险,业内人士提示,其他手机软件可能也会有一些安全风险,比如预装软件。
“手机到消费者的链条特别长,从软件本身的准入方面,类似安卓这样的开放系统缺乏准入机制,容易鱼目混珠,确实有一些软件带着恶意的企图收集用户信息。”刘辉指出,一般非正规的小厂商会在手机预装软件,大的手机厂商会在预装上控制,不过,销售通道上,因为周转环节比较多,经销商、运输的人员容易在手机上动手脚,这一过程中很多人都可以轻松地安装一些软件,而预装可能会有一些携带恶意病毒。
前述技术报告似乎也印证了刘的上述说法。报告指出,“目前该病毒推广的应用基本上是大厂商的正规应用。”报告中其列举了12款手机应用,如360手机卫士 、搜狗输入法、UC浏览器等。
报告指出,其传播渠道是以三星等热门高端品牌贸易机型,Android(安卓)操作系统智能手机全国各省级地市的地包、大型卖场、连锁店、运营商平台、零售终端等手机渠道分销商为主,进行大批量的渠道预装工作拓展。