|
明明拒絕了小程序獲取自己的位置信息���,后臺還是能精準定位�����。這究竟是怎么做到的?
近日��,有媒體測試了此項漏洞�����,繞過用戶授權(quán),獲取并存儲了用戶所在地點的經(jīng)緯度信息���。
測試中�����,只要是系統(tǒng)中設(shè)置允許微信APP可獲取用戶位置信息��,那么到了小程序中��,即使在未經(jīng)用戶授權(quán)的情況下����,某些小程序能夠利用API接口偷偷獲取用戶當(dāng)前地理位置點坐標����,并成功將坐標導(dǎo)到小程序后臺。 在系統(tǒng)設(shè)置中��,允許微信訪問用戶位置信息:以正常的小程序(如摩拜)為例,關(guān)閉小程序定位授權(quán)時���,它的定位信息顯示在了非洲 ——為何是非洲����?其實這是GPS坐標未賦值時的0,0位置:危險小程序則可非法收集用戶位置經(jīng)緯度信息: 這些定位信息,或居于設(shè)備的GPS�����,或居于基站�����、Wi-Fi��,“準頭價值”還是較大的�����。 而根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定�,網(wǎng)絡(luò)運營者收集、使用個人信息時�,應(yīng)經(jīng)被收集者同意���。 國家標準《信息安全技術(shù)個人信息安全規(guī)范》也要求����,個人信息控制者收集、分享精準定位等個人敏感信息前����,應(yīng)征得個人信息主體的明示同意。因此����,在用戶未授權(quán)未知情情況下,直接獲取用戶位置信息�,顯然已經(jīng)侵犯了公民隱私。而如果公民位置信息被用于非法用途���,那就更是值得警惕了����。此前���,就市面上就有不少專門為“捉小三”���、“催債”等提供的所謂“位置獲取”工具,原理和方法也是各種各樣:從運營商或執(zhí)法部門“內(nèi)鬼”非法查詢途徑,到黑產(chǎn)����,到“黑客”手段,也包括微信���、QQ等的位置獲取等等都有��,為了達到目的����,真可謂無所不用其極了(比如本文末尾的各種方法)�����。之前也曾出現(xiàn)一種利用“分享鏈接”給對方��,借助對方疏忽大意點擊了“同意”授權(quán)按鈕而獲取地理位置信息的方式����,相比今天介紹的漏洞而言,可謂并不高明��,后者更加隱蔽�����,幾乎可以說是在無感知狀態(tài)下就泄露了信息�,危害更勝一籌。最后需要一提的是����,據(jù)老編所知道的,至少2年之前這個“漏洞”就應(yīng)該是已經(jīng)一直在被利用了����,不想如今依然被人挖掘發(fā)現(xiàn)仍然有效。
|
