手機 App 資安黑洞!讓蝦皮和 YouTube 讀你的簡訊和通訊錄,你也按下「同意」了嗎?

【為什麼我們要挑選這篇文章】只有華為手機才有資安疑慮嗎?其實你也常常過度授權給 App,有些還可以讀取你的簡訊、行程!本文讓政大法學院副教授劉宏恩,一次告訴你 App 背後的隱私、資安隱憂。(責任編輯:方禹涵)

「《科技報橘》徵才中!跟我們一起定位台灣產業創新力 >> 詳細職缺訊息
快將你的履歷自傳寄至 [email protected]

作者: 劉宏恩(國立政治大學法學院基礎法學中心主任)

你知道嗎?八成 Android 手機 App 都「過度取得授權」,要求消費者同意 App 取得個人簡訊、行事曆、通訊錄等非必要個資,形成巨大的資安黑洞⋯⋯

註:受限於篇幅及系統性質差異,本文不討論 iOS 系統,僅討論 Android 系統

如果你在路上遇到一個推銷員,推銷一個能帶給你生活便利的小產品。但是當你問他多少錢,他卻說,「不用錢,只要把家裡的鑰匙給我就好。」你還想要這個「免費」便利小物嗎?

一定不會。

但是在台灣,每天卻有成千上萬的人用手機下載「免費」App,同意業者擁有進入他手機的「鑰匙」。

按下「接受」,手電筒 App 就知道你跟誰講電話

例如這兩個 Android 手機的「手電筒」App,下載時,只要你點選「同意」或「接受」,就代表日後它有權讀取你的電話號碼、知悉你何時通電話、通話對方的電話號碼、你的手機國際識別碼 IMEI 和網路連線資訊。

不僅如此,它還能讀取你手機裡的相片影片和檔案,掌握你手機裡還安裝使用哪些 App;甚至,它還可能啟動你手機的鏡頭和麥克風,勘查你手機周遭的活動。仔細一看,左邊那支手電筒還可以追蹤你的 GPS 位置,右邊那支則能讀取你手機的連絡人通訊錄。

只要你的手指點一下「同意」或「接受」,上面提到的所有個資,一瞬間就全部授權給這些 App 了。

雖然業者可能反駁:「你授權給我,並不代表我會亂用,別擔心。」但是,若拿到你鑰匙的陌生人也說:「雖然拿到你家鑰匙和住址,但不代表我會隨便開你家門。」你真的放心嗎?誰知道他會不會開、什麼時候開、可能去你家做什麼?

上述 App 取得同意的方式,並非各國個人資料保護法律所普遍要求的「知情同意」(informed consent),它只是形式上虛晃一招的「無意義同意」。

這些資料個別或結合起來,便足以直接或間接識別出我們個人,因此它們應屬「個人資料保護」相關法律的保護範圍。但業者卻完全未依法說明蒐集個資和隱私資訊的「目的」:

手電筒照亮功能,與我們的電話號碼、通話記錄和對象、手機裡的相片、影片和檔案、GPS 位置⋯⋯等,有什麼關聯?

此外,業者也沒有具體說明,我們手機的個資權限將如何被使用、誰能使用、使用多久、資料可能流向何方等等。

換句話說,我們並不清楚點選「同意」所代表的意義及可能的後果,這並不符合法律上所要求的「知情同意」。(可參考我國《個人資料保護法》第 8 條、歐盟《一般資料保護規範》GDPR 第 7 條)

網購 App 為何需要你的行事曆?八成安卓 App「過度授權」

可能有人會說,「還好,我沒有安裝這些手電筒 app。」別放心得太早,根據學者 Mamdouh Alenezi 於 2017 年在電機電子工程師學會(IEEE)的國際研討會上發表的實證研究,高達八成的 Android 系統手機 App,都過度取得授權,要求消費者同意該 App 運作時根本不必要的權限。

其實,許多常見的手機 App 都有類似的問題。例如底下這個「蝦皮購物」(v.2.22.17):

請問曾使用「蝦皮購物」的讀者,你真的曾經「知情同意」,蝦皮可以取得你手機門戶的這麼多把鑰匙嗎?當我們下載 App 時,它曾告知我們取得這些權限的「目的」嗎?

請問蝦皮,我只是購物,為什麼你需要追蹤我的 GPS 位置?為什麼需要讀取我的連絡人通訊錄?為什麼可以讀取我的行事曆、知道我的每日行蹤、甚至修改我的行事曆?

為什麼,你需要我手機一開機就自動啟動這個 App,讓你可以利用這些權限?為什麼你需要讀取我的簡訊——請注意:這包括我跟親友間的私人通訊,甚至銀行寄給我的一次性密碼!

不久前曾有媒體報導此事,也採訪了蝦皮。蝦皮的回覆,果然就是我們前面提過的那套說詞:
「我雖然拿到你家鑰匙和住址,但這不代表我會隨便開你家門,別擔心。」

既然如此,那請問你拿我家鑰匙做什麼?真是莫名其妙。

搜集個資愈多愈好?小心違反個資法「最小必要原則」

大數據經濟和巨量資料產業蜂起,業者蒐集消費者個資的誘因愈來愈大;加上未來商機無可限量,資料更是愈多愈好,如用來分析消費者使用習慣、優化個人化廣告投放與行銷,甚至將蒐集到的各種資料待價而沽,將來拿去跟其他業者分享交易;或建立資料庫,等待未來開發新的商業(甚至政治)用途。

問題是,這可能違法。

根據個人資料保護法律,業者蒐集個人資料,必須符合特定目的範圍的最小必要原則(data minimization)。「順便多蒐集一些」「即使與 App 功能目的無關但也先留著備用」的作法,不但是利用消費者對資安和手機權限用語的不熟悉,取得「同意」的方式違反誠實信用與透明性原則;而且,這些個資蒐集權限與 App 功能目的之間,並無合理關聯和必要性,顯然已經涉嫌違法。(可參考我國《個人資料保護法》第 5 條、歐盟《一般資料保護規範》GDPR 第 5 條)

反正家裡沒什麼錢,鑰匙隨便給陌生人也沒關係?

或許也有讀者說,「好加在,我也沒裝蝦皮。」那麼,請問你裝了 YouTube 與 Instagram 嗎?

以下畫面,分別是它們的 12.37.59 版及 17.0.0.15.91 版本,可能從你的手機取得的權限:

請問,我只是要看個影片和分享照片心情,為什麼它們需要讀取我的「簡訊」的權限?

請注意(因為很重要,所以再說一次):如果它們想要,也可以讀取我們與親友的私人通訊,及銀行寄給我們的一次性密碼!

或許有讀者採取「阿 Q 精神勝利法」自我安慰:「反正我也不是什麼大人物,應該沒什麼人對我的個資有興趣。」

你錯了。業者為了搜集大數據,從中作資料探勘,你的個資(和千千萬萬民眾的個資),業者確實是有興趣的。更何況,請問你會說,「反正我家裡也沒什麼錢,鑰匙隨便給陌生人沒關係」嗎?

Google 不可靠!子公司 YouTube App 也能讀你的簡訊

細心的讀者可能會說:「我手機安裝的最新版蝦皮、YouTube、Instagram⋯⋯等 APP,已經沒有取得『簡訊』的權限了。」

這是因為,歐盟去年實施 GDPR 法律,加上 Google Play 下載平台屢遭抗議,Google 發現問題實在太過嚴重,從 2019 年起禁止浮濫取得「簡訊」及「電話通訊」權限的 App 上架。

事實上,新版蝦皮、YouTube、Instagram⋯⋯等 APP 不敢再要求消費者授與「簡訊」等權限,但 App 依舊運作正常,恰恰就證明了它們之前取得這些權限,根本就違反了「最小必要性」原則。

但是,能依賴 Google Play 等下載平台替我們把關嗎?當然不行。別忘了,上面提到、原本可能查看我們簡訊的 YouTube,就是 Google 的子公司。

左手保護個資、右手促進數據產業,國發會角色衝突

在保護民眾個資及隱私上,法律和公權力必須扮演更積極的角色;歐盟的 GDPR 及其會員國的個資保護專責機構,任務正是如此。

但在我國,個人資料保護的主管機關是「國家發展委員會」,但該機關的主要業務之一卻是「促進產業發展」,包括大數據產業、法規鬆綁和資料開放。這與民眾與消費者的個人資料保護任務,明顯有角色上的衝突;而且在該機關,只有一間小小的專案辦公室負責個資保護業務。

另一方面,手機內建 App 是歸國家通訊傳播委員會(NCC)管;商業性 App 則交給經濟部工業局。他們對業者均採「自願送檢才做資安/個資保護檢測」的管理方式;由於絕大多數業者根本不會自願送檢,民眾只能自求多福。

讀者若想知道自己是否曾經在「不知情同意」下,授與業者很多進入你手機門戶的權限,Android 6.0 以上的手機請到【設定】→【應用程式】→【某 APP】→【權限】→【右上角三個點】→【所有權限】查詢,每一個個別權限還可以再點下去看細節。

例如在「日曆」權限,Android 會告訴你:蝦皮可以新增、移除、變更你行事曆上的活動;這可能使它能偽裝成日曆擁有者傳送訊息,或私自修改活動。

現階段,民眾必須以上述方式,一一自行檢查、關閉有疑慮的 App 權限。但你可能接著發現:許多 App 即使已關閉多數權限,我們需要使用的功能卻絲毫無損。業者過去要求我們授與這麼多權限,只是讓我們不明就裡地做了許久的個資冤大頭,令人氣結。

作者介紹:
劉宏恩 ,國立政治大學法學院基礎法學中心主任,政大法律科際整合研究所副教授,美國史丹福大學法律科學博士。主要研究領域為:科技倫理與法律、專業倫理與法律。

(本文經原作者 劉宏恩 授權轉載,本文原刊載於《未來城市@天下》,並同意 TechOrange 編寫導讀。圖片來源:Pixabay, CC licensed)

延伸閱讀

WHY BOTHER?成大教授:不只政府,全民都要提防華為等中國手機
被抓的駭客與抓人的警察,17 年後合作賺資安財!
【2019 天下經濟論壇】知名駭客談資安:壞人都在用 AI,好人更要善用 AI!

更多資安相關文章

華為設備再掀資安爭議!新北公車被爆用「華為網卡」提供免費 WiFi
臉書又爆資安醜聞!上億用戶密碼「沒加密」,隨便 2 萬名員工翻閱
假新聞已成全球性威脅!蔡英文:解方就是把資安拉到「國安層級」

點關鍵字看更多相關文章: