“隱私門”升級(jí) HTC、三星和CIQ遭集體訴訟

一款手機(jī)數(shù)據(jù)記錄軟件CarrierIQ(下文俗稱CIQ)在全球掀起了一股“涉密丑聞”的風(fēng)暴。包括蘋果、HTC、三星、摩托羅拉和美國(guó)運(yùn)營(yíng)商AT&T、Sprint、T-Mobile等6家公司，均被牽涉其中。

12月3日有境外媒體報(bào)道，由于涉嫌違反美國(guó)聯(lián)邦反竊聽(tīng)法，CIQ以及HTC和三星電子兩家手機(jī)廠商遭到美國(guó)用戶的集體訴訟。CIQ已經(jīng)在密蘇里州和伊利諾伊州遭遇集體訴訟。

昨日(12月6日)有消息傳出，目前歐洲監(jiān)管部門已開(kāi)始對(duì)跟蹤軟件CIQ的使用展開(kāi)調(diào)查，以確保手機(jī)廠商和移動(dòng)運(yùn)營(yíng)商不會(huì)侵犯用戶隱私權(quán)。另?yè)?jù)《每日經(jīng)濟(jì)新聞》了解，部分國(guó)產(chǎn)機(jī)型也發(fā)現(xiàn)了CIQ軟件，對(duì)此相關(guān)公司表示，目前正在開(kāi)會(huì)研究此事，暫時(shí)沒(méi)有進(jìn)一步的消息對(duì)外透露。

業(yè)內(nèi)分析稱，CarrierIQ占領(lǐng)了全球1.41億部終端。如果以每年數(shù)千萬(wàn)部水貨手機(jī)的輸入量推算，國(guó)內(nèi)飽受“CIQ隱私門”困擾的用戶也在百萬(wàn)量級(jí)，這或許是截至目前全球范圍影響最大的手機(jī)隱私監(jiān)聽(tīng)事件。

CIQ與手機(jī)廠商“互咬”

據(jù)《每日經(jīng)濟(jì)新聞》了解，25歲的Android系統(tǒng)安全研究員特維爾·艾克哈特(TrevorEckhart)此前公布視頻稱，CarrierIQ旗下軟件在幕后記錄了用戶向安全站點(diǎn)發(fā)送的信息。

而這也引起了全球的安全廠商的注意，直到上周六CIQ以及HTC和三星電子均為此被告上了法庭。這場(chǎng)集體訴訟聲稱，上述公司違反了將近1.5億位用戶的數(shù)字隱私權(quán)。

隨后，蘋果、HTC及三星等手機(jī)制造商及運(yùn)營(yíng)商紛紛發(fā)表澄清聲明，而這種同CIQ劃清界線的態(tài)度也“惹怒”了CIQ。CIQ稱，公司旗下軟件為服務(wù)提供商及智能手機(jī)廠商，就手機(jī)的性能問(wèn)題收集相關(guān)數(shù)據(jù)，如短信是否被準(zhǔn)確發(fā)送或者一款應(yīng)用是否會(huì)消耗電池等。

CIQ營(yíng)銷副總裁安德魯·卡瓦德(AndrewCoward)在接受媒體采訪時(shí)表示，收集用戶信息的責(zé)任不在該公司，而在手機(jī)廠商。他指出，這次收集用戶信息風(fēng)波的中心問(wèn)題之一是，部分HTC手機(jī)以文本方式保存機(jī)密信息。業(yè)界之前認(rèn)為這是CIQ帶來(lái)的安全漏洞。但卡瓦德稱，創(chuàng)建該文件的并非是CIQ軟件，該為此負(fù)責(zé)的是手機(jī)制造商合作伙伴。

對(duì)于CIQ的指責(zé)，HTC在昨日回復(fù)《每日經(jīng)濟(jì)新聞》的聲明中指出，CIQ僅出現(xiàn)在HTC面向美國(guó)市場(chǎng)發(fā)售的產(chǎn)品中，HTC與CIQ沒(méi)有合作關(guān)系，并且沒(méi)有從CIQ公司及其應(yīng)用，以及與CIQ有合作伙伴關(guān)系的運(yùn)營(yíng)商處獲取任何數(shù)據(jù)信息。HTC正在考慮如何使消費(fèi)者卸載該應(yīng)用。

竊聽(tīng)的灰色鏈條

TitleOWASP中國(guó)區(qū)西南地區(qū)Joey在接受《每日經(jīng)濟(jì)新聞》采訪時(shí)表示，CIQ的監(jiān)控功能權(quán)限太高，而且基本上在屬于明知會(huì)侵犯用戶隱私的情況下依然監(jiān)聽(tīng)并上傳了用戶的通訊數(shù)據(jù)，“但是一家普通的手機(jī)應(yīng)用軟件提供商是無(wú)法完成這一動(dòng)作的。”

網(wǎng)秦手機(jī)安全專家則表示，CIQ的主要特征是能通過(guò)后臺(tái)靜默上傳用戶手機(jī)中的隱私內(nèi)容，且采用了不固定的數(shù)據(jù)上傳周期，在用戶自己很難全面掌控手機(jī)聯(lián)網(wǎng)狀態(tài)的情況下，將無(wú)法清晰查詢到其在后臺(tái)運(yùn)行的軌跡，并且不具有移除選項(xiàng)。

據(jù)《每日經(jīng)濟(jì)新聞》了解，CIQ事件并非是Android手機(jī)隱私泄露的首個(gè)事件，事實(shí)上，據(jù)金山手機(jī)安全中心統(tǒng)計(jì)，在一年時(shí)間內(nèi)，Android平臺(tái)上爆發(fā)的影響較大的此類事件就已超過(guò)10起。

據(jù)一位Android第三方應(yīng)用商店人士透露，手機(jī)監(jiān)聽(tīng)等病毒主要為獲得經(jīng)濟(jì)利益或者用戶統(tǒng)計(jì)分析，涉及一些ROM制作商、應(yīng)用開(kāi)發(fā)商、第三方應(yīng)用商店、手機(jī)廠商、下載渠道甚至運(yùn)營(yíng)商等眾多環(huán)節(jié)。

金山手機(jī)安全專家李鐵軍對(duì)《每日經(jīng)濟(jì)新聞》表示，隱私監(jiān)聽(tīng)?wèi)?yīng)用或病毒進(jìn)入用戶手機(jī)的渠道主要包括水貨手機(jī)刷機(jī)包(ROM)、第三方應(yīng)用商店等非官方下載渠道、惡意捆綁等，竊密應(yīng)用不少還直接偷偷定購(gòu)SP業(yè)務(wù)，并購(gòu)買游戲充值卡，直接吸取用戶話費(fèi)，有些應(yīng)用還會(huì)在后臺(tái)偷偷安裝其他程序，賺取推廣費(fèi)用；有的還主動(dòng)打開(kāi)指定瀏覽器導(dǎo)航頁(yè)，賺取廣告費(fèi)，同時(shí)偷偷消耗了用戶手機(jī)流量。部分制造商和運(yùn)營(yíng)商聲明蘋果：自從iOS5發(fā)布以后，大部分設(shè)備已停用CIQ，未來(lái)的軟件更新徹底移除該軟件。

HTC和三星：終端確實(shí)裝有CIQ，但是運(yùn)營(yíng)商要求預(yù)裝，數(shù)據(jù)直接發(fā)送至運(yùn)營(yíng)商服務(wù)器，與終端商無(wú)關(guān)。

AT&T和Sprint：使用該應(yīng)用的主要目的是為了改善無(wú)線網(wǎng)絡(luò)表現(xiàn)。