五款中國支付Apps紀錄用戶手機敏感資料 可用作追縱和監聽

FactWire傳真社發現5款由內地公司開發的熱門網絡支付應用程式,WeChat、淘寶、淘寶全球、支付寶錢包及天貓,將可識別用戶身份、記錄活動和位置定位等敏感資料存取成檔,可隨時傳送到中國大陸的伺服器。

社會

中國計劃5年內實施「社會信用體系」,國民的日常網絡行為亦被納入體系之中。FactWire傳真社利用開放原始碼組合程式,分析應用程式供應商收集用戶資料的情況,發現5款由內地公司開發的熱門網絡支付應用程式,WeChat、淘寶、淘寶全球、支付寶錢包及天貓,將可識別用戶身份、記錄活動和位置定位等敏感資料存取成檔,可隨時傳送到中國大陸的伺服器。電腦及黑客技術專家指,相關敏感資料被收集後,用戶在手機中的一舉一動,都可能被追蹤、監視或監聽。個人資料私隱專員公署指出,香港目前並無條文禁止個人資料轉移至香港以外地方。

根據中國國務院《社會信用體系建設規劃綱要(2014-2020年)》,計劃在2020年,對中國境內每個國民在行政、商業、社會及司法制度中的誠信表現,作記錄、評估及建立檔案,供政府或相關機構監控,網絡行為亦被納入體系之中。今年8月開始,內地的應用程式供應商者亦須保存用戶日誌信息60日,供有關部門監督檢查。

港人使用的熱門手機應用程式,不少由中國企業開發及營運,令人關注上述在中國境內實施的法規,是否同樣影響港人。FactWire傳真社上月底於應用程式商店Google Play「熱門免費應用程式」排行榜中,調查首五款香港人最熱門使用的中資網絡支付或網購應用程式。

五款應用程式皆為中國企業開發及營運。WeChat由中國應用程式開發商騰訊(0700)開發;淘寶、淘寶全球及天貓由阿里巴巴集團開發;支付寶錢包由阿里巴巴關聯公司螞蟻金服營運。根據香港區Google Play資料顯示,該5款應用程式合共錄得至少逾億次下載量。

手機敏感資料可用作追蹤、監視或監聽

記者使用的分析方法包括靜態及動態程式分析。靜態程式分析是在應用程式無運作情況下,審查應用程式索取的系統權限、基本資料形態的數值和字串,以評估其索取了甚麼資料。動態程式分析則透過在虛擬平台上運行應用程式,觀察其開啟過的檔案、運行過的服務、加密及解密行為、連接過的網絡地址和傳送過的檔案等。記者同時執行「數據流追蹤」,為敏感資料數據加上「污漬」,然後追蹤數據在電腦系統內的傳播路徑。當這些數據到達目的地,再與原始敏感數據比對,若污漬相同,則顯示該應用程式存取了敏感資料。基於現有技術所限,是次分析僅限對Android系統應用程式進行。蘋果手機iOS系統的應用程式並非是次分析對象。

研究網絡及系統安全專家、中文大學信息工程學系助理教授張克環,以及電腦保安及黑客技術專家賴灼東,確認以上方法在追蹤程式存取敏感資料的可行性。

靜態程式分析發現,五個應用程式在安裝時即取得「讀取手機狀態及識別碼」的權限,即應用程式可以隨時存取用戶國際移動設備識別碼(IMEI)、國際移動用戶識別碼(IMSI)、SIM卡編碼(ICCID)、電話號碼、通話狀態、通話對方電話號碼等敏感資料。

用戶安裝應用程式時,手機畫面僅顯示「讀取手機狀態及識別碼」,並沒有註明是否包含IMSI、IMEI等敏感資料,用戶或難以察覺。

從靜態程式分析結果亦可看到,五個應用程式均會取得管理或使用指紋、存取位置以及錄音的權限,用戶安裝有關應用程式時已授權應用程式讀寫檔案、使用網絡等權限。

記者利用動態程式分析進一步了解,結果顯示,應用程式在安裝後首次運行,即使用戶未有進行支付交易,五款應用程式已將用戶的IMEI,記錄在有關應用程式的檔案內,隨時可被傳送到中國的伺服器。支付寶錢包、淘寶全球、淘寶及天貓更同時記錄IMSI。

其中淘寶全球在首次啟動時,更即時將IMEI和IMSI傳送至杭州阿里巴巴廣告有限公司,同時將電話號碼、IMEI、IMSI以及ICCID共4項敏感資料,記錄在其檔案內。

根據該應用程式在安裝時取得的權限,包括讀取數據及全面網絡存取權,令這些已寫入敏感資料的檔案,可以在隨後使用時發送至各個應用程式在中國相應的伺服器。

IMEI(International Mobile Equipment Identity)是每部手機獨特編碼,共15位數字,包含手機廠牌、型號、產地及生產序號等資料,如同每部手機的身份證;IMSI(International Mobile Subscriber Identity)則是電訊商為裝置所編的號碼,以界定有關裝置使用電訊商服務的權限,通常儲存於SIM卡之中;ICCID(Integrated Circuit Card Identifier)則為每張SIM卡獨有的識別碼。

中文大學信息工程學系助理教授張克環看過記者展示測試結果後表示,IMEI、IMSI及ICCID都是非常敏感的資料,「拿到這個IMEI可以做很多事情。不論你在哪裡,不管你裝了甚麼軟件,不管你訪問了甚麼樣的服務,他都可以唯一的知道這個你,這就是你」。

至於SIM卡編碼ICCID,張指出,這是唯一可以追蹤SIM卡,甚至進行機站定位的資料,「電訊商通常使用的電話通訊系統是Signalling System 7(SS7),但這是非常老的系統,安全性幾乎沒有太多保證。換句話說,如果有人能夠介入到這個SS7訊號系統,他實際上可以監聽你的,可以跟你打電話,都是有可能的,這個就非常危險」。他強調,如果洩漏ICCID此敏感資料,用戶在手機中的一舉一動,都可能被追蹤、監視或監聽。

發現木馬程式和後門惡意軟件

記者以Google旗下、集合58個防毒軟件掃描引擎的惡意軟件分析服務VirusTotal,分析Google Play及官方網站下載的應用程式,是否含有病毒或惡意軟件,掃描結果顯示,支付寶錢包安裝檔含有一款木馬程式Android Trojan SMS Spy,會攔截並盜取用戶SMS短訊;淘寶則有一個後門惡意軟件backdoor.androidos.ginmaster,會在用戶不知情下,打開手機系統的後門,盜取任何資訊。

 

阿里巴巴集團就淘寶、淘寶全球及天貓回覆查詢,表示對於信息的收集、儲存和使用均遵守適用法規,過程中高度重視用戶信息保護。回覆中又稱,收集IMEI、IMSI、手機號碼和SIM卡信息,「是安全保障的一個重要程序,用於用戶身份驗證、交易和支付安全、反詐騙等內部安全措施。比如使用IMEI來判斷賬戶有被盜用的風險時,提示用戶需要重新登錄」;並稱淘寶應用程式並不存在後門程序。

螞蟻金服就支付寶錢包回覆查詢,表示在得到用戶授權後收集IMEI、IMSI數據,是為了更好的保障用戶的賬戶安全。

傳真社同時測試了另外三個網上交易應用程式,包括Android Pay、Google Wallet以及八達通,從而檢視其他應用程式存取IMEI等識別碼作交易用途的情況。靜態及動態分析結果顯示,以上3個應用程式均未有存取IMEI、IMSI等敏感資料作交易認證。記者翻查Android Pay及Google Wallet官網,發現它們採用「憑證化技術」,產生一組獨一無二的識別編碼去取代信用卡作交易,而不必取用IMEI作認證。而八達通則採用八達通卡上的NFC晶片作實體認證。

傳真社在截稿前兩次向WeChat查詢,公司有否收集Android手機應用程式用戶的IMEI傳送至中國深圳的伺服器,以及曾否應《移動互聯網應用程序信息服務管理 》將有香港用戶資料的數據,交予中國政府相關部門等問題, 至截稿前未獲回覆。

記者翻查WeChat私隱政策,政策訂明會「收集、儲存和使用」用戶的個人資料、位置數據及日誌資料(包括IP位址、元數據、網絡搜尋詞語、所造訪的社交媒體頁面、通訊對象、通訊時間、數據和時間長短等等),WeChat亦會與第三方「使用、分享及轉移」用戶的個人資料至用戶所在地或以外地區,公司「可在世界各地多個司法管轄區操作、繼續操作伺服器,因此,使用和儲存您個人資料的伺服器未必位於您所在的司法管轄區內」。

電腦保安及黑客技術專家賴灼東指出,某些國家政府或執法部門在技術上,可以透過「機器學習」(Machine Learning)等人工智能科技,在海量數據中整合出每個人的行為模式,從而監控網絡行為,「你很清楚一些異見人士因為使用WeChat就被識別出來,接著透過WeChat就可以拿到他的ip地址。然後其他交易,比對淘寶或支付寶就可以知道他做過甚麼交易,如果他有用這些程式的話」。

賴又指出,單一應用程式未必會洩漏一個人在網絡上的所有資料,如生活習慣和購物行為。但從科技層面來看,政府只要將所有數據組合起來,然後分析出每個人的行為模式,就可達至監控。

傳真社就上述情況向個人資料私隱專員公署查詢,現行條例能否避免、保障香港人在本地使用內地手機應用程式時,其個人資料不會被傳送至內地伺服器,配合相關部門監督檢查;應用程式收集用戶手機IMEI、IMSI、ICCID、電話號碼以及電話系統記錄檔等資料,是否個人私隱、有否違反條例;以及公署對應用程式開發商的規管情況。

公署表示,香港的《個人資料(私隱)條例》(下稱《條例》)並無域外法律效力,亦不會評論個別國家或司法管轄區的法例或規定。又指,如果流動應用程式的私隱政策及條款中已列明會將用戶的個人資料轉移至香港以外的執法機構作調查之用,而用戶亦同意相關條款,則被視為得到資料當事人的同意。

至於,現行條例能否避免或保障香港人的個人資料不會被傳送至內地伺服器,公署表示《條例》第33條禁止個人資料轉移至香港以外的地方的條文尚未生效。目前,公署透過《保障個人資料:跨境資料轉移指引》(下稱《轉移指引》)鼓勵資料使用者(應用程式開發商、營運商)採取指引內所建議保障個人資料。

法政匯思發言人、熟悉私隱條例的法律顧問蔡騏指,由於用戶已同意應用程式的條款及細則,加上香港仍未實行《條例》第33條,而且《轉移指引》並無法律效力,因此應用程式開發商、營運商在收集用戶個人資料後,「無須得到他們的同意,就可以轉移至中國大陸」。蔡騏又指,當用戶的個人資料被轉移至中國後,便受到內地相應法規監管,例如按執法部門要求,提供所有用戶日誌信息,加上內地私隱法並不全面,部分香港人「認為受到私隱法保障的資料,在大陸其實不被保護」。

賴灼東認為,市民在選用手機應用程式時,應考慮被監控的風險,「我建議市民如無需要,不要用WeChat,如不是(到中國)做生意的就盡量不要使用」。他又建議市民可以分別使用兩部手機,將一些如WeChat有可能存在監控風險的應用程式安裝至另一部非日常使用的手機,減低被監控的風險。賴又指出,如市民擔心被監控,可轉用不具名登記的「太空卡」,以及不要安裝不必要的中資應用程式。

中國國務院兩年前公佈《社會信用體系建設規劃綱要(2014-2020年)》(下稱《綱要》),至2020年,中國境內每個國民、每間機構,都會被納入一個名為「社會信用體系」的制度之中。每個個人在行政、商業、社會及司法制度中的誠信表現,都會被記錄、評估、評分,歸納成檔,供政府或相關機構監控。當局或會就有關紀錄決定個人以後的生活,由會否獲稅務優惠,乘火車可否選擇軟臥,可否乘飛機、出境等等,都受影響。

網絡行為亦被納入體系之中。 據《綱要》,個人的網絡行為會被歸納成「網絡信用檔案」,成為可以共享的資料;又會建立網絡信用黑名單制度,將有嚴重網絡失信行為的個人列入黑名單,「採取網上行為限制、行業禁入等措施,通報相關部門並進行公開曝光」。

中國國家互聯網信息辦公室今年8月1日實施《移動互聯網應用程序信息服務管理規定》(下稱《規定》),列明互聯網應用程式提供者須對用戶採取實名制,以及真實身份認證;應用程式提供者須記錄用戶日誌信息,並保存60日。《規定》亦訂明,應用程式提供者和應用商店服務提供者應當配合有關部門依法進行的監督檢查。


這篇報道獲以下新聞媒體採用: 

明報    星島日報    香港電台    東方日報    HK01    蘋果日報    南華早報    台灣自由時報

 

表1 各應用程式在動態分析中連接過的中國伺服器(傳真社製圖)

表2 應用程式取得涉及敏感資料的權限(傳真社製圖)

表3 動態程式下發現應用程式所取得的敏感資料(傳真社製圖)

相關報道