消委會評測2款垃圾電話攔截app疑外洩用戶資料!推薦1網站更安全
消委會評測2款垃圾電話攔截app疑外洩用戶資料!推薦1網站更安全|香港的垃圾電話日漸猖狂,不少人都會下載垃圾電話攔截程式,阻止垃圾電話來電騷擾。不過近日消委會檢視了市面上5款垃圾電話攔截app,發現當中涉嫌披露用戶的個人及聯絡人資料,私隱安全成疑,即睇詳情啦。
電話卡實名制難阻垃圾電話滋擾
即使香港實施了電話卡實名制,各種垃圾來電仍然猖狂,所以很多人都僧下載垃圾電話攔截程式,阻止垃圾電話來電騷擾。但你又怎會想到,用來阻截垃圾電話、減少私隱外洩機會的垃圾電話攔截app,原來都暗藏私隱危機?消委會公布了市面上5款垃圾電話攔截app的評測報告,發現當中2款涉嫌披露用戶的個人及聯絡人資料。
消委會評測方法
消委會於2月測試了5款較多香港人使用的app,分別為1.CallApp 2.小熊來電3.芝麻來電Jima Caller ID 4.Truecaller 及5.Whoscall。然後於2月至4月調查其服務條款、私隱政策、網站、網上客服等渠道取得上述程式的服務資料。其中2.、3.及5的調查所得的資料已獲有關公司確認和核實。
5款垃圾電話攔截App資料
存取資料數量|Facebook登入存取多達8項資料
在5個app中,Truecaller及小熊來電Android版規定了用戶必須註冊來使用。而如果在Call App登入時使用Facebook,亦會要求存取姓名、電郵地址、個人頭像等資料,其中個人頭像一般可略過。倘若用戶以登入Facebook帳戶的方法註冊,Call App將要求存取多達8項個人資料,包括姓名、個人頭像、電郵地址、出生日期、相片、影、朋友名單,以及生活時報連結。假如消費者不欲提供,應考慮以其他方式註冊帳戶或選用其他攔截程式。此外,另外小熊來電和Truecaller亦要求用戶通過電話號碼驗證程序。
私隱外流|通訊錄資料遭上載
除了個人資料之外,聯絡人的資料亦有外流的風險。許多App都要存取聯絡人來識別來電。調查後發現除了「芝麻來電」之外,其他App的Android版本都會要求相關權限。而「小熊來電」的Android版本則預設了無須存取通訊錄。除非用戶手動開啟「忽略聯絡人」功能防止通訊錄的聯絡人遭攔截。
然而,調查顯示當「CallApp」取得用戶通訊錄的權限後,通訊錄中的所有聯絡人資料同時會被自動上載和整合到商戶的電話資料庫中,可以供其他用戶搜索。即是說,若有用戶在通訊錄中儲存了親友的電話號碼,再選擇同意被讀取通訊錄,即使該些親友本人從未下載或批准,他的資料也會被取用和上載,做法有欠公允之餘亦令人防不勝防。通訊錄資料一旦被錄入到Call App的資料庫中,其他用戶便可透過程式內的「反向搜索」(reverse lookup),輸入功能,輸入他人電話號碼去追查該號碼持有者身分、姓名、電郵地址,甚至是社交媒體連結等個人資料。若用戶經App Store或Google Play下載「Truecaller」,其私隱政策表明不會分享用戶的通訊錄;不過,若然用戶以其他途徑下載,例如其官方網站的APK檔,就會額外提供一個名為「強化搜尋」(Enhanced Search Functionality)的功能,用戶啟用後同樣會把通訊錄資料分享,並將聯絡人姓名等個人資料加入到商戶的電話資料庫中,供其他用戶搜索,情況與CallApp相似。
個人資料遭披露
消委會準備了一部插有一張全新電話卡的手機,實試5款攔截app的反向搜索功能會否披露他人資料,消委會在手機的通訊錄內輸入新登記電話號碼的模擬聯絡人。結果發現,不少參與實試的職員及其親友的私人電話號碼皆可在CallApp和Truecaller的資料庫中搜索得到,包括姓名等資料,更有部份機主的舊有住址(包括樓層和單位)甚至是每月租金等敏感資料也在其中,推測源自當事人的業主或地產經紀的通訊錄。
另外,實測中手機內的通訊錄資料随後亦被上載到CallApp的資料庫中。以另一部手機同樣可以搜尋得到模擬聯絡人新登記的號碼,而號碼持有人的姓名正是原先實試手機中儲存的資訊,再次反映程式有取用和分享聯絡人資料。
使用HKJunkCall網站更安全
HKJunkCall為本地非應邀來電回報網站,收集網民提交疑似促銷和詐騙電話舉報,並分析資料,整理成垃圾電話清單供攔截程式使用。調查中的「小熊來電Call Defender」、「芝麻來電Jima Caller lD」和「Whoscall」以及香港警方的「防騙視伏器」均有參考HKJunkCal的相關數據。HKJunkCall另設白名單,以助市民判別公營機構的來電,免於鑽失重要資訊。HKJunkCall亦強調回報訊息不容許包括號碼持有人的個人資料,網站也有機制防止起底等行徑,讓市民在使用時更安心。
消息來源:消委會