消委會｜攔截電話CallApp可存取達8項個人資料　易被反向搜索泄密

本港的垃圾電話問題猖獗，消委會近日實測市面上5款較受歡迎的垃圾電話攔截程式，並於今日（16日）發布結果，發現部份程式會把用戶的通訊錄上載到伺服器供其他用戶反向搜索，其中CallApp在註冊時更有機會存取多達8項個人資料，提醒消費者要留神。

Facebook註冊可存取相片、朋友名單等

消委會今日發布最新一期《選擇》月刊，其中實測市面上5款較受歡迎的垃圾電話攔截程式，包括CallApp、小熊來電Call Defender、芝麻來電Jima Caller ID、Truecaller及Whoscall。5款程式除了提供免費攔截服務外，全部另設付款功能，價錢由最低每月8元至最高每年1,790元不等，尤以Truecaller的Premium Gold為最昂貴的計劃。

測試由消委會職員於2月至4月期間進行，當中CallApp在用戶註冊時除索取電話號碼外，如以登入Facebook帳戶的方法註冊，將要求存取多達8項個人資料，包括姓名、個人頭像、電郵地址、出生日期、相片、影片、朋友名單以及生活時報連結。不過，消費者亦可以其他方式，例如登入google帳戶來註冊，只需提供姓名、電郵地址及個人頭像。

另外，小熊來電Call Defender及Truecaller會要求驗證電話號碼，前者的開發商表示，有關措施為確保匯報資料的可靠性和打擊惡意舉報等濫用行為，而用戶提供的電話號碼會被城市自動轉換成雜湊值（hash value）且無法被還原，因此不能被用於識別用戶身份。

大部分程式要求存取通訊錄　易被反向搜索親友資料

消委會又指出，許多垃圾電話攔截程式需要存取通訊錄方能識別聯絡人的來電，調查發現，CallApp取得該權限後，通訊錄所有聯絡人資料同時被自動上載和整合到商戶的電話資料庫中，並可供其他用戶搜索。換言之，如有用戶在通訊錄儲存了親友的電話號碼，而在使用該程式時同意被讀取通訊錄，即使該些親友本身從未下載或批准該程式使用其個人資料，其資料也會被取用和上載。消委會形容「做法有欠公允之餘，亦令人防不勝防。」。

消委會解釋，通訊錄資料一旦被錄入CallApp的資料庫後，其他用戶便可透過程式內的「反向搜索」（reverse lookup)功能，輸入他人的電話號碼以追溯該號碼持有者身份，以及查閱其中、英文姓名、電郵地址，甚至社交媒體連結等個人資料。

另外，消委會指如經Truecaller官方網站下載該程式檔案（APK檔），則會獲額外提供「強化搜尋」（Enhanced Search Functionality)功能，啟用後同樣會將通訊錄資料分享於程式，並將聯絡人姓名等個人資料加入到商戶的電話資料庫中，供其他用戶搜尋。

實測發現竟可查看住址、租金資料

消委會利用只載有消委會新登記電話號碼的模擬聯絡人的手機，實測5款程式的反響搜索功能時，發現有職員及其親友的電話號碼皆可在CallApp及Truecaller的資料庫中搜索得到，號碼持有人的姓名等資料，毋須經相關人士批准便可在程式中任意查看，當中更包括了舊有住址、每月租金等敏感資料也被顯示在姓名一欄中。

消委會提醒，如不幸發現自身的電話號碼被程式上載及供他人搜索，可要求有關商戶將其刪除，並緊急與相關頁面或電郵輸入該號碼所屬區號，例如香港的+852。

另外，是次調查的部分攔截程式可能並非於香港營運。消費者如欲對程式開發商做出追討，或會遇上一定困難，故選用有關程式時宜多加注意。